• Fraudeur volant des données

Les étapes d’une fraude

Nous ne le répéterons jamais assez : la fraude est un métier. Elle nécessite rigueur, compétences et préparation. Pour une entreprise, s’en protéger n’est pas un métier.  

La fraude est aujourd’hui une menace internationale reliée au grand banditisme. La fraude au virement bancaire concerne les entreprises de toutes tailles et de tous secteurs : fraude au faux fournisseur, fraude au Président, sont autant de techniques utilisées pour escroquer les sociétés.  

Avec 48% des entreprises touchées, c’est la fraude au faux fournisseur qui est la plus utilisée. Si la technique est connue, son élaboration détaillée reste floue.  

L’organisation d’une fraude est minutieuse. Mettons-nous dans la peau d’un fraudeur et étudions ensemble les différentes étapes. 

Etape 1 : choisir la cible 

Selon ses objectifs (financier, temps, risques), le fraudeur choisit une entreprise à frauder. Il se base sur 3 critères pour choisir sa cible parfaite.  

  • L’entreprise doit être en capacité de payer : L’entreprise peut se permettre de payer la somme demandée. En fonction de son gain visé, il choisit une entreprise. Pour elle, effectuer de telles transactions est habituel.  

  • L’entreprise doit être très peu sensibilisée à la fraude : Le fraudeur choisit une entreprise pour laquelle la sensibilisation à la fraude bancaire n’est pas une priorité.  Elle n’est pas bien avertie sur le sujet.  

  • L’entreprise doit avoir beaucoup d’employés : Plus il y a d’employés, plus il y a de divisions de secteurs, et donc des communications rompues. Il est plus difficile pour la personne victime de consulter l’avis d’autres collègues. Certaines entreprises ont réputation d’être divisées et de ne pas communiquer entre différents secteurs. Cela simplifie la fraude.  

Ensuite, pour choisir le fournisseur dont il va usurper l’identité, il procède de manière similaire. Il effectue une veille des actualités de l’entreprise. Puis, il créé un éventail de relations commerciales. Il s’intéresse ici aux liens entre les employés et fournisseurs. Le fraudeur peut également aller jusqu’à se faire passer pour l’expert-comptable de l’entreprise et demander la balance client. Il a alors en sa possession les factures en attente et peut alors choisir un fournisseur parmi celles-ci.  

Le fraudeur doit se faire passer pour un fournisseur avec lequel l’entreprise a l’habitude de travailler.  

New call-to-action

Etape 2 : trouver les renseignements

Une fois l’entreprise choisie, le fraudeur fait un ciblage particulier et créé une cartographie.  

  • Identifier les profils : Via les réseaux sociaux (Linkedin, Copains d’Avant etc.), le fraudeur établie une première liste des employés et leurs fonctions.  

  • Créer un organigramme : Après avoir établi une liste des employés, le fraudeur rassemble les profils et les organise. Il créé un réel organigramme de la société : Il établit ici qui est susceptible de vérifier le travail de sa victime.  

  • Relations : Il établit ensuite, grâce aux réseaux sociaux privés (facebookinstagram etc.) si les employés ont des relations extraprofessionnelles. 

  • Vie privée : Également grâce aux réseaux sociaux, il établit des plannings de vacances pour savoir qui est susceptible d’être en congés lors de son attaque, il établit aussi une carte mentale de sa victime 

Etape 3 : l’organisation technique

Maintenant qu’il a tous les renseignements nécessaires sur l’entreprise et le fournisseur, le fraudeur démarre l’organisation technique de sa fraude.  

Il créé une fausse société, du même secteur d’activité que celle du fournisseur ciblé et au nom similaire. Cette étape est la plus difficile et nécessite énormément d’attention.  

Il invente une histoire autour de cette société et de son dirigeant, pour qu’elle n’éveille aucun soupçon. Il décide d’utiliser une nationalité différente de la nationalité française. La nationalité choisie lui permet d’obtenir une fausse carte d’identité et un faux KBIS. Il est aisé de trouver des faussaires prêts à créer de toute pièce ce type de documents. La fausse société du fraudeur sera une « coquille-vide ». Ce type d’entreprise n’est pas illégal et garantit à son dirigeant peu de cotisations sociales à verser et aucun impôt ni taxe professionnelle.  

Ensuite, il doit ouvrir un compte en banque professionnel. En France, plusieurs documents sont exigés pour l’ouverture de celui-ci, tels que la carte d’identité ou le passeport d’une personne physique. Les banques vérifient l’authenticité de ces documents, en interne ou via des sociétés proposant des solutions de vérification.  

Ces contrôles ne sont pas infaillibles. Le fraudeur doit s’y prendre à plusieurs reprises avant que sa démarche ne fonctionne. Le fraudeur compte sur le facteur humain et ses failles pour que le contrôle n’ait pas lieu. Grâce aux factures récupérées sur le Dark Web, il réussit à identifier la banque du fournisseur, dans laquelle il ouvre le compte bancaire de sa fausse société. Il n’a alors plus qu’à présenter le KBIS et sa pièce d’identité pour ouvrir le compte. 

Etape 4 : mettre en œuvre la fraude

C’est la dernière phase : entrer en contact avec ses cibles. C’est une étape de psychologie humaine, et d’application de techniques de manipulation. Le fraudeur est un bon acteur. Il met à exécution son scénario de fraude via email. Il envoie un email à la personne qu’il a identifiée comme étant celle en charge de régler les factures :  

“Bonjour Madame X, 

Je suis M. Y, de la société A. Je tiens à vous informer que notre société a récemment changé d’établissement bancaire, les coordonnées que vous avez actuellement ne sont plus correctes. Une facture est toujours en attente de notre côté, il se peut que ce soit dû à ce changement. Veuillez trouver ci-joint la facture mise à jour avec les nouvelles coordonnées afin que vous puissiez faire les modifications nécessaires. Je m’excuse pour la gêne occasionnée et vous remercie d’avance pour votre aide.  

Respectueusement,M .Y” 

Le fraudeur ajoute à son email la fausse facture avec ses coordonnées bancaires falsifiées. Il agit de manière amicale pour pousser son interlocuteur à vouloir lui rendre service. Le fraudeur maintient et adapte son action jusqu’à ce que son objectif soit rempli. 

New call-to-action

L’élaboration d’une fraude prend souvent plusieurs mois. Pour s’en protéger, il faut etre sensibilisé un maximum. L’EBook Catch Them if You can présente l’élaboration d’une fraude à des fins pédagogiques.  

Nous vous livrons un outil complet de sensibilisation, mettant en lumière les outils et techniques utilisés par le fraudeur. Sis ID s’entoure d’experts aux différents profils pour qu’ils se mettent dans la peau d’un fraudeur et montent une fraude de toute pièce. 

En sensibilisant le plus grand nombre d’entreprises sur le cheminement mis en place par le fraudeur et les différentes techniques utilisées, la lutte devient collective.

Je choisis mon réseau et je partage !