194 - Modus Operandi - Fraud using social engineering

Pays demandeur : France
Date de publication : 30 avril 2014
MAUVE
Type d’événement: Escroqueries à l’ingénierie sociale
Date de l’événement: continue depuis 2010
Lieu de l’événement: non applicable
Pays : France – Union Européenne
Description du mode opératoire et/ou de la cache :
Depuis 2010 et plus particulièrement la fin d’année 2013, la France est confrontée à un phénomène d’escroqueries
particulièrement grave au préjudice d’entreprises françaises ou de filiales françaises d’entreprises étrangères. D’autres
pays européens ont également été touchés par ce phénomène. Cette escroquerie fondée sur la technique d’ingénierie
sociale a pour but d’extirper des informations à des salariés sans qu’ils ne s’en rendent compte puis de se faire passer pour
les dirigeants du groupe visé afin de solliciter le versement en toute confidentialité d’importantes sommes d'argent sur des
comptes étrangers, en Chine ou vers des pays européens avant que ces fonds ne soient ensuite réorientés vers Israël. La
seule force de persuasion est la clé de voûte de cette escroquerie.
Ainsi, la France a recensé 520 dossiers comprenant 360 sociétés victimes avec un préjudice estimé à plus de 250 millions
d'euros pour des faits commis et 220 millions pour les tentatives.
Ces infractions génèrent un préjudice financier considérable pour les entreprises qui en sont victimes, pour
l’économie nationale, mais également un préjudice humain pour les employés licenciés après avoir autorisé les
versements.
Des groupes criminels basés en Israël effectuent tout d’abord un environnement de l’entreprise qu’ils ont ciblée
et recherchent tous types de renseignements sur elle.
Cette phase de recueil s’appuie notamment sur le recours à l’Internet, qui permet facilement et à moindre coût,
par une requête sur des sites spécialisés sur les sociétés, d’avoir accès à tout type de renseignement concernant
des dirigeants de société (nom, signature, numéro de téléphone…) à partir de la consultation de documents
officiels (extraits du registre du commerce et des sociétés, état d’endettement de l’entreprise, derniers statuts à
jour, procès-verbaux d’assemblée générale, comptes annuels, etc). D’autres recherches sur le web permettent de
________________________________________________________________________________________________
Les informations de police confidentielles ont été retirées
1/3
recueillir des informations complémentaires telles que le logo de l’entreprise, son organisation, son effectif ou
le « mot du directeur », qui viennent parfaire la connaissance de son langage, de ses marques, etc.
Ces achats d’informations sont effectués grâce à l’utilisation de cartes de paiement prépayées rechargeables.
Ces cartes, essentiellement de marque ICC (Israël Credit Cards), présentent l’avantage, pour leurs
utilisateurs,
PURPLE
d’être anonymes et intraçables.
Munis de ces informations, les escrocs appellent leurs cibles au moyen de numéros de téléphone commençant
par un indicatif français, achetés avec des cartes de paiements prépayées et rechargeables d’un faible montant
auprès de plateformes de dématérialisation des numéros de téléphone.
 L’escroquerie au faux directeur
Ils appellent, par exemple, le directeur financier d’une société française en se faisant passer pour le dirigeant de
l’entreprise et tentent de le persuader d’effectuer un virement sur un compte à l’étranger. Ils peuvent donner
comme justification le besoin de garantir un projet d’investissement immobilier, l’imminence d’un contrôle
fiscal ou le montage d’une OPA. Ils expliquent que ces virements doivent rester absolument secrets et
confidentiels et qu’un secrétaire ou un cabinet d’avocats prendra contact afin d’apporter toutes les instructions
nécessaires.
Malgré de nombreuses campagnes de prévention, les escrocs s’adaptent sans cesse, modifiant le mode opératoire initial.
 Une variante, l’escroquerie au faux bailleur social
Dans ce cas de figure, l’escroc se présente comme étant un responsable du bailleur de la société visée. Il contacte par
téléphone le service de la comptabilité afin de l’informer d’un changement de domiciliation bancaire et de préciser que
désormais le loyer devra être versé sur le compte d'une société domiciliée à l'étranger. Il communique les nouvelles
coordonnées bancaires à la victime à l'aide d'un mail dont l'adresse est proche de celle du véritable bailleur et qui présente
un logo identique à celui de la société dont l'identité a été usurpée.
 Une tendance récente, l’escroquerie au virement SEPA
Mais l’année 2013 a vu surtout la recrudescence des escroqueries dites au virement SEPA. Ce mode opératoire est apparu
suite à la mise en place par le secteur bancaire, les entreprises et l'administration de la norme SEPA visant à harmoniser
l'ensemble des paiements électroniques au sein de la zone euro.
Profitant d’une période de test, les escrocs, usurpant les identités des employés des banques des victimes, contactent les
comptables des sociétés visées et prétextant le passage obligatoire à la norme SEPA les informent que des « techniciens »
vont prendre attache avec eux afin d’effectuer des tests.
Conformément aux instructions, les comptables se connectent sur un site internet où ils procèdent au téléchargement
d’une application de prise de contrôle à distance. Par la suite, les escrocs leur expliquent comment créer un compte client
en indiquant des coordonnées bancaires (domiciliées à l’étranger) et les montants correspondant aux virements tests, les
banques étrangères devant leur faire parvenir des rapports concernant la conformité du nouveau protocole des virements
bancaires.
________________________________________________________________________________________________
Les informations de police confidentielles ont été retirées
2/3
 Le recours à des virus informatiques
S’adaptant aux nouvelles technologies, les escrocs contactent les sociétés pour des motifs diverses (migration SEPA,
fausses factures, audit etc.) afin qu’elles réceptionnent un fichier envoyé par mail contenant un virus ou «cheval de
PURPLE
Troie»,
Conçu pour exécuter des actions à l’insu de l'utilisateur, le programme malveillant ou malware (exemple: Blackshade
RAT) ouvre une « porte dérobée » lui permettant d’accéder secrètement à l’ensemble des fonctionnalités du logiciel et de
prendre, à distance, le contrôle de l’ordinateur. Grâce à ce malware, les escrocs recueillent toutes les informations (codes
administrateurs des responsables autorisés à conduire des transactions, noms d'utilisateurs, mots de passe, identifiants des
emails) leur permettant d’émettre des faux ordres de virement.
Mesures recommandées :
Plusieurs pays apparaissent régulièrement dans ce type d’escroquerie: Israël, où des groupes criminels se sont spécialisés
dans cette criminalité; la France, comme pays où sont ciblées les entreprises; la Chine (Pékin, Wendzou, HongKong), la
Grande-Bretagne, Chypre, la Roumanie, la Lituanie, la Slovaquie, la Pologne, l’Autriche, la Hongrie, les Pays-Bas (liste
non exhaustive) comme lieux de destinations premières des virements.
La prévention en la matière est fondamentale. Elle passe à la fois par une sensibilisation des organismes
institutionnels, entreprises françaises, banques et cabinets d’avocats d’affaires à cette forme de prédation et par
une communication dans la presse économique spécialisée permettant d’informer le plus grand nombre de
responsables et de dirigeants potentiellement concernés.
Une fois l’infraction commise et les fonds virés sur un compte bancaire à l’étranger, l’urgence consiste dans le
blocage des sommes et leur récupération. La mise en place de la coopération judiciaire et policière est alors
essentielle.
Le magistrat en charge du dossier doit en effet mettre en œuvre la procédure dite de certificat de « gel de bien »
qui permet de saisir un élément de preuve ou un bien confiscable dans un pays de l’Union européenne selon
le principe de reconnaissance mutuelle. La saisie est ordonnée sur la motivation que les fonds constituent le
produit de l’infraction ou correspondent à la valeur du produit.
En ce qui concerne les fonds virés dans des pays situés hors de l’Union européenne, le magistrat doit
transmettre en urgence une demande d’entraide internationale pour bloquer les fonds. La France a su
développer avec les pays tiers, et en particulier la Chine, une coopération policière internationale lui permettant
de progresser dans ses enquêtes. Des fonds ont pu être ainsi bloqués en Chine.
Renseignements complémentaires : néant
Cible potentielle de la menace (si elle est connue) : Entreprises européennes et leur filiales à l’étranger.
________________________________________________________________________________________________
Les informations de police confidentielles ont été retirées
3/3