Vie Sauvage et Survie
Catégorie Générale => Dans la jungle ordinaire => Discussion démarrée par: Patapon le 15 octobre 2014 à 21:24:40
-
Yo,
L'affaire n'ayant plus lieu d'être tenue secrète je vous fais le petit retex d'un tentative d'arnaque financière qui a faillit arriver chez un client. Par soucis de confidentialité, je tairais les noms des entreprises impliquées.
Donc tout commence courant Juillet; la personne chargé des paiements fournisseurs chez un client (qu'on appelera M.Dupont), reçoit l'avis d'un fournisseur, demandant le changement de ces coordonnées bancaires. Un point attire l'attention de M.Dupont: la demande est signée "M.Bémole, Responsable du pôle financier" et non pas "M.Bémole, Responsable du service financier" (plus courant dans le cadre privé). M.Dupont téléphone donc chez le fournisseur et demande à parler à M.Bémole. La standardiste lui répond donc qu'il n'y a pas de M.Bémole dans leur entreprise. M.Dupont en prend bonne note, et ne modifie donc pas les coordonnées bancaires.
Début septembre, M.Dupont reçoit un Email de M.Bémole, lui réclamant la facture de Juillet, jointe à l'Email, et en tout point similaire à une facture émise légitimement par le fournisseur. M.Dupont joue le jeu, et lui répond que se sera rapidement fait. A côté de cela, M.Dupont prévient donc sa direction, qui, plutôt que de démasquer l'imposteur préfère lui laisser croire que tout va bien, mais prévient la gendarmerie. Celle-ci dépèche des enquêteurs qui récupèrent les Emails et commence leur enquête.
M.Dupont n'effectue bien entendu pas le paiement, et M.Bémole l'appel au téléphone. Une fois, deux fois, trois fois, Septembre passe et début Octobre M.Bémole envoi et réclame non plus Juillet, mais Juillet et Août (on parle de 150k€ quand même).
La gendarmerie ayant finie par tomber dans un cul de sac (l'arnaqueur étant ou en Israël ou au Mexique), et M.Bémole se faisant de plus en plus insistant, le directeur de l'entreprise fini par faire tomber le masque.
Maintenant, nous savons également comment M.Bémole a fait pour monter son coup. Tout commence par le choix de la cible: entreprise (mon client) membre d'un grand groupe, implantée dans une vallée connue pour ces partenariats Clients-Fournisseurs. Dans son enquête, M.Bémole a réussi à faire le lien Client-Fournisseur grâce à une coupure de presse trouvée sur le net, parue en 2004, annonçant la collaboration des deux entreprises.
Fort de cette information, il a créé un nom de domaine sur le net, crédible par rapport au nom du client. Il a ensuite appelé le fournisseur, en se faisant passer pour le client, lui demandant de lui envoyer par Email les factures dues, soit disant perdue lors d'un crash informatique. Le fournisseur s'exécute.
A ce niveau, M.Bémole connait donc les choses suivantes:
- La mise en page des factures employées par le fournisseur
- Le nom de la personne en charge des paiements chez le client mentionnée sur la facture
- Le format des adresses emails du fournisseur ainsi que son nom de domaine
- Le montant du business, de façon a réclamer une somme cohérente qui n'attirera pas l'attention
De là, M.Bémole, en prenant le nom d'une personne au hasard, a ouvert un nouveau nom de domaine en Italie, excessivement proche du nom de domaine du fournisseur (en rajoutant -eu parès le nom), et crée une redirection depuis ce nom de domaine, sur le bon domaine, de façon à ce qu'une visite envoi un curieux sur le bon site.
Enfin, il a fini en recopiant la mise en page des factures du fournisseur et en extrapolant le montant du business par rapport à ce qu'il avait sur les factures.
On voit que la catastrophe a été évitée par rien: un simple "Pôle financier" au lieu de "Service financier".
Du coup, quelques idées pour ne pas se faire avoir, ou ne pas participer - involontairement - à arnaquer un tier:
- ne jamais donner de nom de contact par téléphone, Email, on même en rendez-vous, à une personne avec laquelle on ne travail pas déjà
- en cas de demande tournant autour d'une question financière (que se soit le changement de coordonnées comme l'envoi de facture), prendre contact directement avec la personne, en passant par le standard téléphonique de l'entreprise
- N'effectuer que des paiements strictement égaux aux factures. Si la somme change, appeler la personne par le standard.
- Ne pas croire que cela n'arrive qu'aux autres.
Tcho
Hugo
-
Bien vu!
Je me permet d'ajouter un point important.
Une ou un secrétaire comptable compétent et une bonne collaboration des services avec lui ou elle. De la communication donc...
-
Yep,
En faite, dans ce genre de cas, l'arnaqueur essai de ce glisser dans le lien entre le client et le fournisseur pour empêcher les deux de communiquer, sans que ni l'un ni l'autre ne se rende compte de rien.
De la même façon, au sein d'une grosse structure, les tâches sont souvent réparties entre plusieurs personnes; par exemple, la personne qui saisie les factures en compta n'est pas la même que celle qui effectue les paiements. Du coup, la personne qui effectue les paiements ne reçois que des demande interne de paiement, et n'a pas forcément les infos qui lui permettraient d'avoir un doute.
Dans ma liste a faire/à ne pas faire, il faudrait aussi rajouter qu'il ne faut pas envoyé de documents officiels (papier entête) par Email, sauf si le destinataire est connu et qu'on a l'habitude de traiter avec.
On peu ajouter qu'il faut être vigilant sur l'adresse Email du destinataire ou l'expéditeur d'un Email, mais ça....moi je le fais, car c'est mon métier, mais un néophyte, j'en doute.
Tcho
Hugo
-
Salut!
Attention, il ne faut pas croire que cela n'arrive qu'aux grandes structures, la petite assoc' de commerçant de mes parents à Lyon à été victime de la même tentative d'escroquerie sur un paiement de quelques milliers d'euro en juillet.
La trésorière a eu un doute et c'est comme ça qu'ils ont découvert le pot au rose.
A+
-
Yo,
En faite, ce qui rend possible ces actions c'est avant tout le manque d'information et de sensibilisation.
Dans ma vallée, il y a eu 120 cas, et certains ont pris. Du coup, il y a un forum organisé autour du sujet, dans lequel, le directeur de l'usine chez qui j'interviens va prendre la parole pour une partie "cas concret".
Pour ma part, étant assez impliqué chez ce client, je vais rédiger un article pour leur journal interne de façon à sensibiliser l'ensemble du personnel.
On a aussi tendance à penser que seules les équipes administratives et les services supports ont accès à des données sensibles. Toutefois, quelqu'un qui travail à la réception de produits, aura accès aux noms des fournisseurs, quantité pièces livrées, à quelle fréquence, etc
Et, enfin, je connais un assez bon forum sur lequel ce genre de diffusion peu avoir un effet ricochet grâce ces membres. ;#
En gros, plus on est à faire gaffe, moins on laisse d'espace aux arnaqueurs.
Tcho
Hugo
-
Une très bonne lecture sur le sujet : "Ghost in the wires", l'autobiographie de Kevin Mitnick, qui fut pendant quelques années le hacker le plus recherché par le FBI (avant de se reconvertir avec succès en consultant sécurité à sa sortie de prison...). Très instructif quand on voit que le gros de son travail de hacker passait par le social engineering : gagner la confiance de l'interlocuteur au bout du fil, donner un semblant de légitimité à ses demandes... et la plupart du temps, les informations importantes dont il avait besoin pour accéder à des données confidentielles passaient par l'exploitation du maillon faible, l'humain, qui malgré ce qu'on en dit, à une propension à faire confiance et à accepter de rendre service facilement pour peu qu'il n'ait pas de raison évidente de mettre en doute la bonne foi de la personne en face (et qu'il ne réalise pas, comme c'est très souvent le cas, en quoi le bout d'information assez infime qu'il révèle ou l'entorse minime à la politique de sécurité de son entreprise qu'il commet pourrait la mettre sérieusement en péril).
-
Salut Hurgoz et merci pour ton partage d'infos très (très !) intéressant.
C'est impressionnant de constater l'énergie et la motivation déployée pour arriver à cela.
Je me suis permis de faire suivre au service compta de ma boite (marque horlogère dans un grand groupe de luxe), afin de les sensibiliser, au cas où.
Nous avons des procédures, mais il y a forcément une faille quelque part, ou quelque chose à laquelle les personnes n'ont pas pensé, donc cela peut toujours être utile.
Une des personnes a réagi et m'a appelé pour me remercier et pour me poser une question, que je me permets de te faire suivre. Si tu peux y répondre sans briser de chose confidentiel ou autre, c'est cool, mais ne te sens pas obligé non plus, car ce n'est pas forcément le point le plus important dans ton RETEX.
La question était au niveau des coordonnées bancaires de l'escroc :
Comment a-t-il procédé ? Les fausses coordonnées bancaires étaient-elles également créées de toutes pièces en utilisant l'astuce d'un nom similaire (genre "rn" au lieu de "m") ?
Etaient-ce des coordonnées bancaires "société" ?
Ou a-t-il agi plus "simplement" en utilisant un IBAN "quelconque" et en remplaçant le nom sur la facture par celui auquel le client s'attendait ?
-
Merci du partage.
-
Yo,
Je me suis permis de faire suivre au service compta de ma boite (marque horlogère dans un grand groupe de luxe), afin de les sensibiliser, au cas où.
Nous avons des procédures, mais il y a forcément une faille quelque part, ou quelque chose à laquelle les personnes n'ont pas pensé, donc cela peut toujours être utile.
Tu as bien fait: c'est fait pour! :)
La question était au niveau des coordonnées bancaires de l'escroc :
Comment a-t-il procédé ? Les fausses coordonnées bancaires étaient-elles également créées de toutes pièces en utilisant l'astuce d'un nom similaire (genre "rn" au lieu de "m") ?
Etaient-ce des coordonnées bancaires "société" ?
Ou a-t-il agi plus "simplement" en utilisant un IBAN "quelconque" et en remplaçant le nom sur la facture par celui auquel le client s'attendait ?
Il a fait très simple: il a écrit un mail en disant que leur identification bancaire avait changée et que maintenant c'était tel IBAN (un compte à lui, vraisemblablement)...
Si ça avait marché, la nouvelle ID aurait été renseignée dans l'ERP, du quel sort à la demande un fichier envoyé à la banque pour effectuer les virements (après quelques opérations de contrôle)....ça aurait été transparent jusqu'à ce que le vrai fournisseur demande ces paiements, mais il y aurait eu un perte avant.
En espérant t'avoir répondu de façon concise,
Hugo
-
Les mecs font quand même preuve d'une sacrée motivation. Je vais en discuter avec le DAF de la société où je travaille, ces infos pourraient lui être utiles. Merci pour ton retour :up:
-
http://www.lepoint.fr/economie/le-groupe-michelin-victime-d-une-arnaque-au-president-03-11-2014-1878451_28.php (http://www.lepoint.fr/economie/le-groupe-michelin-victime-d-une-arnaque-au-president-03-11-2014-1878451_28.php)
"Le groupe de pneumatiques s'est fait voler 1,6 million d'euros via une escroquerie reposant sur de faux ordres de virement. "
Si même les grands groupes se font piéger....
-
Et Michelin est un grand pro de la sécurité des informations, la moindre intervention chez eux est un cauchemar. 8)
-
BJR http://www.liberation.fr/economie/2014/11/04/de-la-nigeriane-a-la-pdg-guide-des-arnaques-aux-entreprises_1135975 HN
-
Yo,
BJR http://www.liberation.fr/economie/2014/11/04/de-la-nigeriane-a-la-pdg-guide-des-arnaques-aux-entreprises_1135975 HN
:doubleup:
Si même les grands groupes se font piéger....
Contrairement à ce qu'on pourrait croire, un groupe est plus facile à piéger qu'une PME.
Cela s'explique par sa complexité et ces différentes ramifications, qui rendent la communication plus difficile. Hors, c'est principalement la dessus que s'articule une usurpation d'identité: faire croire à la victime qu'on est une personne précise. :glare:
Mes 1.6M€...
Tcho
Hugo
-
Yo,
put**n! Ca tombe comme des petits pain! Encore un: http://www.lavoixdunord.fr/region/boulogne-nausicaa-se-remet-difficilement-de-l-arnaque-ia31b49030n2475069#utm_medium=redaction&utm_source=facebook&utm_campaign=page-fan-vdn (http://www.lavoixdunord.fr/region/boulogne-nausicaa-se-remet-difficilement-de-l-arnaque-ia31b49030n2475069#utm_medium=redaction&utm_source=facebook&utm_campaign=page-fan-vdn) :o
Faites gaffe!!!
Tcho
Hugo
-
J'aime beaucoup la remise question du directeur de Nausicaà, qui va payer? Encore... (http://t3.gstatic.com/images?q=tbn:ANd9GcQj6H1ohJEdnQHcwKaSMGKrCXJlMr2YByxkz9IFS6iTWVq24jW6vS8ycw)
-
si j'ai bien compri le procédé utiliser s'appele de l'ingenieurie sociale, beaucoup utiliser par les hacker pour trouver une porte d'entrer dans les système informatique sans trop se foulé, mais cela permet aussi des cas comme sa, si vous ette interesser et que l'anglais ne vous fait pas peur taper "social engineering" sur google, vous y trouverai des renseignement sur ce type de manipulation, le meilleur moyen de se protéger, c'est de sensibiliser, et quelle meilleur moyen que d'aprendre soit meme a le faire ou au moin en comprendre le fonctionemen, j'espere ne pas ettre hors sujet.
cordialement,moi
-
Un des moyens de ne pas se faire piéger, c est de repérer les fautes d orthographes dans les mails que l on reçoit :lol:
Fais un effort quand tu rédiges, ça pique vraiment les yeux et cela rend illisible ton message.
Même le dernier phishing que j ai reçu était mieux écrit.
Désolé, c était mon quart d heure orthographe du dimanche matin.
-
Salut Winadeath,
Si tu veux continuer à participer aux débats, il va falloir que tes lecteurs puissent te lire sans avoir mal à la tête.
Tu dois faire un effort particulier en orthographe.
D'autres l'ont fait avant toi avec succès, et le forum intègre aujourd'hui un correcteur d'orthographe.
Si lorsque tu tapes un mot, il est souligné en rouge, c'est qu'il contient une faute d'orthographe ou d'accord.
Un simple clic sur le mot souligné avec le bouton droit de la souris te donne alors un choix possible pour une correction rapide.
Ca va te demander un peu de temps au début, mais c'est autant de temps que tu ne demanderas pas à tes lecteurs pour te lire.
Merci d'avance pour cet effort.
Manu.
Si j'ai bien compris le procédé utilisé s'appelle de l'ingénierie sociale, beaucoup utilisée par les hackers pour trouver une porte d'entrée dans les systèmes informatiques sans trop se fouler, mais cela permet aussi des cas comme ça.
Si vous êtes intéressés et que l'anglais ne vous fait pas peur tapez "social engineering" sur google, vous y trouverez des renseignements sur ce type de manipulation, le meilleur moyen de se protéger, c'est de sensibiliser, et quel meilleur moyen que d'apprendre soit même à le faire ou au moins en comprendre le fonctionnement, j'espère ne pas être hors sujet.
Cordialement, moi.
-
Pour ceux n'ayant pas installé de correcteur orthographique ou souhaitant une correction plus efficace, il existe des sites en ligne corrigeant encore mieux l'orthographe et la grammaire : www.bonpatron.com et www.scribens.fr
- Rédiger son message sur DM (ou ailleurs) + prévisualisation (pour les citations et mises en page)
- Sélectionner tout le message en cours de rédaction
- Copier
- Coller sur www.bonpatron.com ou www.scribens.fr dans un 2ème onglet
- Corriger en profitant de toutes les explications détaillées pour s'améliorer au passage (et profiter du guide de grammaire simplifié (http://bonpatron.com/guide/1/) ou de l'onglet règles de Scribens)
- Faire éventuellement une 2ème passe de correction
- Sélectionner tout le texte corrigé
- Copier
- Coller sur DM (ou ailleurs) en écrasant l'ancien texte
- Publier
C'est plus lourd que le correcteur intégré au navigateur, mais encore plus efficace (surtout pour la conjugaison et la grammaire) notamment pour des écrits importants.
5 minutes "perdues" par le rédacteur c'est plus de 100 x 1 minute économisées par les lecteurs à décoder.
À l'heure du web et de la généralisation de l'écrit, l'orthographe et la grammaire font partie des compétences utiles à la "survie sociale" à long terme (notamment pour la recherche d'emploi et les échanges par mail). Ça n'est pas pour rien que le coaching et les formations pour adultes se développent dans ce domaine même pour des cadres supérieurs seniors issus de grandes écoles n'ayant plus le filtre de leur secrétaire.
-
BJR Et un avantage supplémentaire qui est d'en conserver une copie en cas de besoin ;) HN
-
Yo,
Une nouvelle petite aujourd'hui: un type appel de la part d'une société truc (qui, biensûr, est un partenaire d'affaires) et dit qu'il envoie des factures. Les factures arrivent sous forme de fichier excel comprenant une Macro. Si celle ci est activer elle va automatiquement télécharger un petit trojan sur le pc de la cible.
Tcho
Hugo
-
En ce moment, on reçoit des factures sous forme de fichier zip qui contient un .exe
-
Ca, il y en a eu pas mal aussi.
Mais généralement, personne n'appel pour te dire je vous envoi une facture.... ;)
Tcho
Hugo
-
Non mais il y en a que tu repères vite car elles correspondent pas à un fournisseur connu
Par contre il y en a eu qui venaient de la part de fournisseur connu et avec des références exactes.
-
http://www.lepoint.fr/sport/football/l-om-confirme-avoir-ete-victime-d-une-escroquerie-au-virement-30-01-2015-1901046_1858.php (http://www.lepoint.fr/sport/football/l-om-confirme-avoir-ete-victime-d-une-escroquerie-au-virement-30-01-2015-1901046_1858.php)
Selon la Direction centrale de la police judiciaire (DCPJ), 360 entreprises ont été victimes de faux ordres de virement entre 2010, année d'apparition du phénomène, et en 2013. Préjudice global : quelque 300 millions d'euros. Et encore, certaines victimes "ne portent pas plainte", indique-t-on à l'OCRGDF. Pire même : "C'est un véritable raz-de-marée qui s'est abattu sur la France", ont lancé les autorités judiciaires lors de leur passage à Pékin, insistant sur "une accélération des faits fin 2013-début 2014".