Yo,
L'affaire n'ayant plus lieu d'être tenue secrète je vous fais le petit retex d'un tentative d'arnaque financière qui a faillit arriver chez un client. Par soucis de confidentialité, je tairais les noms des entreprises impliquées.
Donc tout commence courant Juillet; la personne chargé des paiements fournisseurs chez un client (qu'on appelera M.Dupont), reçoit l'avis d'un fournisseur, demandant le changement de ces coordonnées bancaires. Un point attire l'attention de M.Dupont: la demande est signée "M.Bémole, Responsable du pôle financier" et non pas "M.Bémole, Responsable du service financier" (plus courant dans le cadre privé). M.Dupont téléphone donc chez le fournisseur et demande à parler à M.Bémole. La standardiste lui répond donc qu'il n'y a pas de M.Bémole dans leur entreprise. M.Dupont en prend bonne note, et ne modifie donc pas les coordonnées bancaires.
Début septembre, M.Dupont reçoit un Email de M.Bémole, lui réclamant la facture de Juillet, jointe à l'Email, et en tout point similaire à une facture émise légitimement par le fournisseur. M.Dupont joue le jeu, et lui répond que se sera rapidement fait. A côté de cela, M.Dupont prévient donc sa direction, qui, plutôt que de démasquer l'imposteur préfère lui laisser croire que tout va bien, mais prévient la gendarmerie. Celle-ci dépèche des enquêteurs qui récupèrent les Emails et commence leur enquête.
M.Dupont n'effectue bien entendu pas le paiement, et M.Bémole l'appel au téléphone. Une fois, deux fois, trois fois, Septembre passe et début Octobre M.Bémole envoi et réclame non plus Juillet, mais Juillet et Août (on parle de 150k€ quand même).
La gendarmerie ayant finie par tomber dans un cul de sac (l'arnaqueur étant ou en Israël ou au Mexique), et M.Bémole se faisant de plus en plus insistant, le directeur de l'entreprise fini par faire tomber le masque.Maintenant, nous savons également comment M.Bémole a fait pour monter son coup. Tout commence par le choix de la cible: entreprise (mon client) membre d'un grand groupe, implantée dans une vallée connue pour ces partenariats Clients-Fournisseurs. Dans son enquête, M.Bémole a réussi à faire le lien Client-Fournisseur grâce à une coupure de presse trouvée sur le net, parue en 2004, annonçant la collaboration des deux entreprises.
Fort de cette information, il a créé un nom de domaine sur le net, crédible par rapport au nom du client. Il a ensuite appelé le fournisseur, en se faisant passer pour le client, lui demandant de lui envoyer par Email les factures dues, soit disant perdue lors d'un crash informatique. Le fournisseur s'exécute.
A ce niveau, M.Bémole connait donc les choses suivantes:
- La mise en page des factures employées par le fournisseur
- Le nom de la personne en charge des paiements chez le client mentionnée sur la facture
- Le format des adresses emails du fournisseur ainsi que son nom de domaine
- Le montant du business, de façon a réclamer une somme cohérente qui n'attirera pas l'attention
De là, M.Bémole, en prenant le nom d'une personne au hasard, a ouvert un nouveau nom de domaine en Italie, excessivement proche du nom de domaine du fournisseur (en rajoutant -eu parès le nom), et crée une redirection depuis ce nom de domaine, sur le bon domaine, de façon à ce qu'une visite envoi un curieux sur le bon site.
Enfin, il a fini en recopiant la mise en page des factures du fournisseur et en extrapolant le montant du business par rapport à ce qu'il avait sur les factures.
On voit que la catastrophe a été évitée par rien: un simple "
Pôle financier" au lieu de "
Service financier".
Du coup, quelques idées pour ne pas se faire avoir, ou ne pas participer - involontairement - à arnaquer un tier:
- ne jamais donner de nom de contact par téléphone, Email, on même en rendez-vous, à une personne avec laquelle on ne travail pas déjà
- en cas de demande tournant autour d'une question financière (que se soit le changement de coordonnées comme l'envoi de facture), prendre contact directement avec la personne, en passant par le standard téléphonique de l'entreprise
- N'effectuer que des paiements strictement égaux aux factures. Si la somme change, appeler la personne par le standard.
- Ne pas croire que cela n'arrive qu'aux autres.
Tcho
Hugo