Nos Partenaires

Auteur Sujet: Tentatives d'arnaque et usurpation d'identité  (Lu 9062 fois)

15 octobre 2014 à 21:24:40
Lu 9062 fois

Patapon


Yo,

L'affaire n'ayant plus lieu d'être tenue secrète je vous fais le petit retex d'un tentative d'arnaque financière qui a faillit arriver chez un client. Par soucis de confidentialité, je tairais les noms des entreprises impliquées.

Donc tout commence courant Juillet; la personne chargé des paiements fournisseurs chez un client (qu'on appelera M.Dupont), reçoit l'avis d'un fournisseur, demandant le changement de ces coordonnées bancaires. Un point attire l'attention de M.Dupont: la demande est signée "M.Bémole, Responsable du pôle financier" et non pas "M.Bémole, Responsable du service financier" (plus courant dans le cadre privé). M.Dupont téléphone donc chez le fournisseur et demande à parler à M.Bémole. La standardiste lui répond donc qu'il n'y a pas de M.Bémole dans leur entreprise. M.Dupont en prend bonne note, et ne modifie donc pas les coordonnées bancaires.

Début septembre, M.Dupont reçoit un Email de M.Bémole, lui réclamant la facture de Juillet, jointe à l'Email, et en tout point similaire à une facture émise légitimement par le fournisseur. M.Dupont joue le jeu, et lui répond que se sera rapidement fait. A côté de cela, M.Dupont prévient donc sa direction, qui, plutôt que de démasquer l'imposteur préfère lui laisser croire que tout va bien, mais prévient la gendarmerie. Celle-ci dépèche des enquêteurs qui récupèrent les Emails et commence leur enquête.

M.Dupont n'effectue bien entendu pas le paiement, et M.Bémole l'appel au téléphone. Une fois, deux fois, trois fois, Septembre passe et début Octobre M.Bémole envoi et réclame non plus Juillet, mais Juillet et Août (on parle de 150k€ quand même).

La gendarmerie ayant finie par tomber dans un cul de sac (l'arnaqueur étant ou en Israël ou au Mexique), et M.Bémole se faisant de plus en plus insistant, le directeur de l'entreprise fini par faire tomber le masque.


Maintenant, nous savons également comment M.Bémole a fait pour monter son coup. Tout commence par le choix de la cible: entreprise (mon client) membre d'un grand groupe, implantée dans une vallée connue pour ces partenariats Clients-Fournisseurs. Dans son enquête, M.Bémole a réussi à faire le lien Client-Fournisseur grâce à une coupure de presse trouvée sur le net, parue en 2004, annonçant la collaboration des deux entreprises.

Fort de cette information, il a créé un nom de domaine sur le net, crédible par rapport au nom du client. Il a ensuite appelé le fournisseur, en se faisant passer pour le client, lui demandant de lui envoyer par Email les factures dues, soit disant perdue lors d'un crash informatique. Le fournisseur s'exécute.

A ce niveau, M.Bémole connait donc les choses suivantes:
  • La mise en page des factures employées par le fournisseur
  • Le nom de la personne en charge des paiements chez le client mentionnée sur la facture
  • Le format des adresses emails du fournisseur ainsi que son nom de domaine
  • Le montant du business, de façon a réclamer une somme cohérente qui n'attirera pas l'attention

De là, M.Bémole, en prenant le nom d'une personne au hasard, a ouvert un nouveau nom de domaine en Italie, excessivement proche du nom de domaine du fournisseur (en rajoutant -eu parès le nom), et crée une redirection depuis ce nom de domaine, sur le bon domaine, de façon à ce qu'une visite envoi un curieux sur le bon site.

Enfin, il a fini en recopiant la mise en page des factures du fournisseur et en extrapolant le montant du business par rapport à ce qu'il avait sur les factures.

On voit que la catastrophe a été évitée par rien: un simple "Pôle financier" au lieu de "Service financier".

Du coup, quelques idées pour ne pas se faire avoir, ou ne pas participer - involontairement - à arnaquer un tier:
  • ne jamais donner de nom de contact par téléphone, Email, on même en rendez-vous, à une personne avec laquelle on ne travail pas déjà
  • en cas de demande tournant autour d'une question financière (que se soit le changement de coordonnées comme l'envoi de facture), prendre contact directement avec la personne, en passant par le standard téléphonique de l'entreprise
  • N'effectuer que des paiements strictement égaux aux factures. Si la somme change, appeler la personne par le standard.
  • Ne pas croire que cela n'arrive qu'aux autres.

Tcho

Hugo
« Modifié: 16 octobre 2014 à 00:07:04 par Hurgoz »
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

15 octobre 2014 à 21:59:02
Réponse #1

Loriot


Bien vu!
Je me permet d'ajouter un point important.
Une ou un secrétaire comptable compétent et une bonne collaboration des services avec lui ou elle. De la communication donc...
Quand Pourine veut la lune tu lui baises les pieds

15 octobre 2014 à 22:08:12
Réponse #2

Patapon


Yep,

En faite, dans ce genre de cas, l'arnaqueur essai de ce glisser dans le lien entre le client et le fournisseur pour empêcher les deux de communiquer, sans que ni l'un ni l'autre ne se rende compte de rien.

De la même façon, au sein d'une grosse structure, les tâches sont souvent réparties entre plusieurs personnes; par exemple, la personne qui saisie les factures en compta n'est pas la même que celle qui effectue les paiements. Du coup, la personne qui effectue les paiements ne reçois que des demande interne de paiement, et n'a pas forcément les infos qui lui permettraient d'avoir un doute.

Dans ma liste a faire/à ne pas faire, il faudrait aussi rajouter qu'il ne faut pas envoyé de documents officiels (papier entête) par Email, sauf si le destinataire est connu et qu'on a l'habitude de traiter avec.

On peu ajouter qu'il faut être vigilant sur l'adresse Email du destinataire ou l'expéditeur d'un Email, mais ça....moi je le fais, car c'est mon métier, mais un néophyte, j'en doute.

Tcho

Hugo
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

15 octobre 2014 à 22:58:37
Réponse #3

psydomos


Salut!


Attention, il ne faut pas croire que cela n'arrive qu'aux grandes structures, la petite assoc' de commerçant de mes parents à Lyon à été victime de la même tentative d'escroquerie sur un paiement de quelques milliers d'euro en juillet.
 La trésorière a eu un doute et c'est comme ça qu'ils ont découvert le pot au rose.

A+

"Je sais que je ne sais rien" Socrate
"Le progrès est ce qu'on en fait, confier son dernier souci à des milliers d'inconnus qui n'en n'ont rien à foutre ou permettre de vrais moments de vie démultipliés.."
Patrick, o "cacique" do CEETS

15 octobre 2014 à 23:22:53
Réponse #4

Patapon


Yo,

En faite, ce qui rend possible ces actions c'est avant tout le manque d'information et de sensibilisation.

Dans ma vallée, il y a eu 120 cas, et certains ont pris. Du coup, il y a un forum organisé autour du sujet, dans lequel, le directeur de l'usine chez qui j'interviens va prendre la parole pour une partie "cas concret".

Pour ma part, étant assez impliqué chez ce client, je vais rédiger un article pour leur journal interne de façon à sensibiliser l'ensemble du personnel.

On a aussi tendance à penser que seules les équipes administratives et les services supports ont accès à des données sensibles. Toutefois, quelqu'un qui travail à la réception de  produits, aura accès aux noms des fournisseurs, quantité pièces livrées, à quelle fréquence, etc

Et, enfin, je connais un assez bon forum sur lequel ce genre de diffusion peu avoir un effet ricochet grâce ces membres.  ;#

En gros, plus on est à faire gaffe, moins on laisse d'espace aux arnaqueurs.

Tcho

Hugo
« Modifié: 16 octobre 2014 à 00:08:07 par Hurgoz »
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

16 octobre 2014 à 14:30:54
Réponse #5

spica


Une très bonne lecture sur le sujet : "Ghost in the wires", l'autobiographie de Kevin Mitnick, qui fut pendant quelques années le hacker le plus recherché par le FBI (avant de se reconvertir avec succès en consultant sécurité à sa sortie de prison...). Très instructif quand on voit que le gros de son travail de hacker passait par le social engineering : gagner la confiance de l'interlocuteur au bout du fil, donner un semblant de légitimité à ses demandes... et la plupart du temps, les informations importantes dont il avait besoin pour accéder à des données confidentielles passaient par l'exploitation du maillon faible, l'humain, qui malgré ce qu'on en dit, à une propension à faire confiance et à accepter de rendre service facilement pour peu qu'il n'ait pas de raison évidente de mettre en doute la bonne foi de la personne en face (et qu'il ne réalise pas, comme c'est très souvent le cas, en quoi le bout d'information assez infime qu'il révèle ou l'entorse minime à la politique de sécurité de son entreprise qu'il commet pourrait la mettre sérieusement en péril).

22 octobre 2014 à 11:33:17
Réponse #6

zangetsu74


Salut Hurgoz et merci pour ton partage d'infos très (très !) intéressant.

C'est impressionnant de constater l'énergie et la motivation déployée pour arriver à cela.

Je me suis permis de faire suivre au service compta de ma boite (marque horlogère dans un grand groupe de luxe), afin de les sensibiliser, au cas où.
Nous avons des procédures, mais il y a forcément une faille quelque part, ou quelque chose à laquelle les personnes n'ont pas pensé, donc cela peut toujours être utile.

Une des personnes a réagi et m'a appelé pour me remercier et pour me poser une question, que je me permets de te faire suivre. Si tu peux y répondre sans briser de chose confidentiel ou autre, c'est cool, mais ne te sens pas obligé non plus, car ce n'est pas forcément le point le plus important dans ton RETEX.

La question était au niveau des coordonnées bancaires de l'escroc :
Comment a-t-il procédé ? Les fausses coordonnées bancaires étaient-elles également créées de toutes pièces en utilisant l'astuce d'un nom similaire (genre "rn" au lieu de "m") ?
Etaient-ce des coordonnées bancaires "société" ?
Ou a-t-il agi plus "simplement" en utilisant un IBAN "quelconque" et en remplaçant le nom sur la facture par celui auquel le client s'attendait ?
La différence entre la théorie et la pratique ?
En théorie il n'y en a pas, mais en pratique il y en a une.

22 octobre 2014 à 19:03:28
Réponse #7

Merlin06


L'âme sûre ruse mal.
Le matin du grand soir il y aura de la confiture de bisounours au petit déjeuner.
Nous avons deux souverains, Dame Physique et Sire Temps.

22 octobre 2014 à 22:43:03
Réponse #8

Patapon


Yo,

Je me suis permis de faire suivre au service compta de ma boite (marque horlogère dans un grand groupe de luxe), afin de les sensibiliser, au cas où.
Nous avons des procédures, mais il y a forcément une faille quelque part, ou quelque chose à laquelle les personnes n'ont pas pensé, donc cela peut toujours être utile.

Tu as bien fait: c'est fait pour! :)

Citer
La question était au niveau des coordonnées bancaires de l'escroc :
Comment a-t-il procédé ? Les fausses coordonnées bancaires étaient-elles également créées de toutes pièces en utilisant l'astuce d'un nom similaire (genre "rn" au lieu de "m") ?
Etaient-ce des coordonnées bancaires "société" ?
Ou a-t-il agi plus "simplement" en utilisant un IBAN "quelconque" et en remplaçant le nom sur la facture par celui auquel le client s'attendait ?

Il a fait très simple: il a écrit un mail en disant que leur identification bancaire avait changée et que maintenant c'était tel IBAN (un compte à lui, vraisemblablement)...

Si ça avait marché, la nouvelle ID aurait été renseignée dans l'ERP, du quel sort à la demande un fichier envoyé à la banque pour effectuer les virements (après quelques opérations de contrôle)....ça aurait été transparent jusqu'à ce que le vrai fournisseur demande ces paiements, mais il y aurait eu un perte avant.

En espérant t'avoir répondu de façon concise,

Hugo
« Modifié: 22 octobre 2014 à 22:50:55 par Hurgoz »
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

23 octobre 2014 à 10:08:14
Réponse #9

Tompouss


Les mecs font quand même preuve d'une sacrée motivation. Je vais en discuter avec le DAF de la société où je travaille, ces infos pourraient lui être utiles. Merci pour ton retour  :up:
Everybody swears that they are solid, but ice is solid too... until you put some heat on it.

03 novembre 2014 à 22:09:19
Réponse #10

raphael


http://www.lepoint.fr/economie/le-groupe-michelin-victime-d-une-arnaque-au-president-03-11-2014-1878451_28.php

"Le groupe de pneumatiques s'est fait voler 1,6 million d'euros via une escroquerie reposant sur de faux ordres de virement. "

Si même les grands groupes se font piéger....
Se connaitre et s'accepter


03 novembre 2014 à 22:44:21
Réponse #11

Merlin06


Et Michelin est un grand pro de la sécurité des informations, la moindre intervention chez eux est un cauchemar.  8)
L'âme sûre ruse mal.
Le matin du grand soir il y aura de la confiture de bisounours au petit déjeuner.
Nous avons deux souverains, Dame Physique et Sire Temps.

04 novembre 2014 à 19:43:15
Réponse #12

Djeep


Allumez le feu :-)
Donnez un titre honorifique à un clampin et il se sentira l'âme d'un petit chef !

04 novembre 2014 à 19:48:20
Réponse #13

Patapon


Yo,

BJR http://www.liberation.fr/economie/2014/11/04/de-la-nigeriane-a-la-pdg-guide-des-arnaques-aux-entreprises_1135975 HN

 :doubleup:

Si même les grands groupes se font piéger....

Contrairement à ce qu'on pourrait croire, un groupe est plus facile à piéger qu'une PME.

Cela s'explique par sa complexité et ces différentes ramifications, qui rendent la communication plus difficile. Hors, c'est principalement la dessus que s'articule une usurpation d'identité: faire croire à la victime qu'on est une personne précise.  :glare:

Mes 1.6M€...

Tcho

Hugo
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

06 novembre 2014 à 20:35:16
Réponse #14

Patapon


"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

06 novembre 2014 à 22:32:15
Réponse #15

Merlin06


J'aime beaucoup la remise question du directeur de Nausicaà, qui va payer? Encore...
L'âme sûre ruse mal.
Le matin du grand soir il y aura de la confiture de bisounours au petit déjeuner.
Nous avons deux souverains, Dame Physique et Sire Temps.

09 novembre 2014 à 00:32:36
Réponse #16

winadeath


si j'ai bien compri le procédé utiliser s'appele de l'ingenieurie sociale, beaucoup utiliser par les hacker pour trouver une porte d'entrer dans les système informatique sans trop se foulé, mais cela permet aussi des cas comme sa, si vous ette interesser et que l'anglais ne vous fait pas peur taper "social engineering" sur google, vous y trouverai des renseignement sur ce type de manipulation, le meilleur moyen de se protéger, c'est de sensibiliser, et quelle meilleur moyen que d'aprendre soit meme a le faire ou au moin en comprendre le fonctionemen, j'espere ne pas ettre hors sujet.

cordialement,moi

09 novembre 2014 à 08:39:05
Réponse #17

sharky




Un des moyens de ne pas se faire piéger, c est de repérer les fautes d orthographes dans les mails que l on reçoit  :lol:
Fais un effort quand tu rédiges, ça pique vraiment les yeux et cela rend illisible ton message.
Même le dernier phishing que j ai reçu était mieux écrit.

Désolé, c était mon quart d heure orthographe du dimanche matin.
''what you learn in the afternoon must work for you that evening in the parking lot" Kelly Mc Cann

"despite what your mamma told you, violence does solve problems." Ryan Job

09 novembre 2014 à 09:04:48
Réponse #18

bloodyfrog


Salut Winadeath,

Si tu veux continuer à participer aux débats, il va falloir que tes lecteurs puissent te lire sans avoir mal à la tête.
Tu dois faire un effort particulier en orthographe.

D'autres l'ont fait avant toi avec succès, et le forum intègre aujourd'hui un correcteur d'orthographe.
Si lorsque tu tapes un mot, il est souligné en rouge, c'est qu'il contient une faute d'orthographe ou d'accord.
Un simple clic sur le mot souligné avec le bouton droit de la souris te donne alors un choix possible pour une correction rapide.
Ca va te demander un peu de temps au début, mais c'est autant de temps que tu ne demanderas pas à tes lecteurs pour te lire.

Merci d'avance pour cet effort.

Manu.


Si j'ai bien compris le procédé utilisé s'appelle de l'ingénierie sociale, beaucoup utilisée par les hackers pour trouver une porte d'entrée dans les systèmes informatiques sans trop se fouler, mais cela permet aussi des cas comme ça.
Si vous êtes intéressés et que l'anglais ne vous fait pas peur tapez "social engineering" sur google, vous y trouverez des renseignements sur ce type de manipulation, le meilleur moyen de se protéger, c'est de sensibiliser, et quel meilleur moyen que d'apprendre soit même à le faire ou au moins en comprendre le fonctionnement, j'espère ne pas être hors sujet.

Cordialement, moi.
« Modifié: 09 novembre 2014 à 09:14:27 par bloodyfrog »

09 novembre 2014 à 10:51:54
Réponse #19

Phil67


Pour ceux n'ayant pas installé de correcteur orthographique ou souhaitant une correction plus efficace, il existe des sites en ligne corrigeant encore mieux l'orthographe et la grammaire : www.bonpatron.com et www.scribens.fr
  • Rédiger son message sur DM (ou ailleurs) + prévisualisation (pour les citations et mises en page)
  • Sélectionner tout le message en cours de rédaction
  • Copier
  • Coller sur www.bonpatron.com ou www.scribens.fr dans un 2ème onglet
  • Corriger en profitant de toutes les explications détaillées pour s'améliorer au passage (et profiter du guide de grammaire simplifié ou de l'onglet règles de Scribens)
  • Faire éventuellement une 2ème passe de correction
  • Sélectionner tout le texte corrigé
  • Copier
  • Coller sur DM (ou ailleurs) en écrasant l'ancien texte
  • Publier

C'est plus lourd que le correcteur intégré au navigateur, mais encore plus efficace (surtout pour la conjugaison et la grammaire) notamment pour des écrits importants.

5 minutes "perdues" par le rédacteur c'est plus de 100 x 1 minute économisées par les lecteurs à décoder.


À l'heure du web et de la généralisation de l'écrit, l'orthographe et la grammaire font partie des compétences utiles à la "survie sociale" à long terme (notamment pour la recherche d'emploi et les échanges par mail). Ça n'est pas pour rien que le coaching et les formations pour adultes se développent dans ce domaine même pour des cadres supérieurs seniors issus de grandes écoles n'ayant plus le filtre de leur secrétaire.
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

09 novembre 2014 à 12:19:53
Réponse #20

Djeep


BJR Et un avantage supplémentaire qui est d'en conserver une copie en cas de besoin ;) HN
Allumez le feu :-)
Donnez un titre honorifique à un clampin et il se sentira l'âme d'un petit chef !

15 janvier 2015 à 18:16:09
Réponse #21

Patapon


Yo,

Une nouvelle petite aujourd'hui: un type appel de la part d'une société truc (qui, biensûr, est un partenaire d'affaires) et dit qu'il envoie des factures. Les factures arrivent sous forme de fichier excel comprenant une Macro. Si celle ci est activer elle va automatiquement télécharger un petit trojan sur le pc de la cible.

Tcho

Hugo
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

15 janvier 2015 à 20:00:53
Réponse #22

musher


En ce moment, on reçoit des factures sous forme de fichier zip qui contient un .exe

15 janvier 2015 à 20:02:44
Réponse #23

Patapon


Ca, il y en a eu pas mal aussi.

Mais généralement, personne n'appel pour te dire je vous envoi une facture.... ;)

Tcho

Hugo
"Prenez soin de la méthode avec laquelle vous vous mettez des choses dans le crâne."

15 janvier 2015 à 20:04:20
Réponse #24

musher


Non mais il y en a que tu repères vite car elles correspondent pas à un fournisseur connu

Par contre il y en a eu qui venaient de la part de fournisseur connu et avec des références exactes.

 


Keep in mind

Bienveillance, n.f. : disposition affective d'une volonté qui vise le bien et le bonheur d'autrui. (Wikipedia).

« [...] ce qui devrait toujours nous éveiller quant à l'obligation de s'adresser à l'autre comme l'on voudrait que l'on s'adresse à nous :
avec bienveillance, curiosité et un appétit pour le dialogue et la réflexion que l'interlocuteur peut susciter. »


Soutenez le Forum

Les dons se font sur une base totalement libre. Les infos du forum sont, ont toujours été, et resteront toujours accessibles gratuitement.
Discussion relative au financement du forum ici.


Publicité

// // //