Usurpation d’identité fournisseur, comment les fraudeurs s’y prennent-ils ?

La fraude au faux fournisseur consiste pour un fraudeur à usurper l’identité d’un fournisseur et à obtenir une somme à sa place par une entreprise cliente.

L’entreprise est la principale victime, cependant c’est le fournisseur qui subit une usurpation d’identité via cette attaque.  

Après avoir déterminé ses objectifs et choisi son entreprise à attaquer, le fraudeur cible un fournisseur dont il va usurper l’identité numérique. Une entreprise travaille avec de nombreux fournisseurs différents. Le fraudeur doit cibler celui correspondant à son objectif et à même de lui faire gagner la somme attendue.

Comment un fraudeur segmente ses recherches ?  

Étape 1 : L’étude de l’entreprise ciblée  

Étude de l’actualité de l’entreprise  

Pour trouver son fournisseur idéal, le fraudeur effectue une veille des actualités de l’entreprise. 

Grâce aux réseaux sociaux, à la presse et au site web de l’entreprise, il effectue un panorama des récentes actualités, tels que les appels d’offre publics, les relations commerciales, changements de siège, partenariats, références clients et partenaires qu’il peut retrouver sur internet. Il détermine à quels secteurs et quels fournisseurs l’entreprise fait appel.  

Étude des relations commerciales de l’entreprise 

Ensuite, le fraudeur s’intéresse aux liens entre les employés et fournisseurs. Il étudie les relations LinkedIn et les références clients.  

Le fraudeur peut également aller jusqu’à usurper l’identité de l’expert-comptable de l’entreprise et demander la balance client. Ce document rassemble toutes les factures d’une entreprise : celles payées, celles émises et celles en attente. Il a alors en sa possession les factures en attente et peut alors choisir un fournisseur parmi celles-ci.  

New call-to-action

Étape 2 : L’étude du fournisseur  

Le fraudeur doit se faire passer pour un fournisseur avec lequel l’entreprise a l’habitude de travailler. L’usurpation d’identité du fournisseur est déterminée en fonction du montant de la fraude qu’il souhaite mettre en place. Au fil des mois, il va dessiner la personnalité de l’individu dont il va usurper l’identité, s’infiltrant jusque dans sa vie privée.  

L’étude sur le terrain

Le fraudeur peut faire des recherches sur le terrain, en allant directement sur un chantier. Il peut récupérer sur le site des documents (factures jetées, notes internes, papiers vierges etc).  

Sur place, il peut également avoir accès au permis de construire (donnant accès à des informations importantes telles que les coordonnées bancaires du fournisseur), des factures et des informations orales sur les projets en cours ou à venir.   

Recherche d’informations  

Pour effectuer des recherches efficaces, beaucoup de moyens s’offrent au fraudeur, lancer une campagne de phishing, spear phishing, spoofing, … Il n’aura pas à se déplacer pour trouver des informations. 

En faisant des recherches sur le Dark web, il trouve des éléments (volés lors d’une autre attaque par exemple) tels que des coordonnées, emails ou des anciennes factures.

Renseignements privés  

Une fois l’étude faite sur l’entreprise fournisseur, il choisit la personne dont il va usurper l’identité. Il faut que cette personne soit digne de confiance ou habituée à collaborer avec l’entreprise cible. Que ce soit lors d’un échange de mails en y insérant un QR code pour réaliser une tentative de quishing ou par téléphone, il doit se mettre dans la peau de sa victime.  

Via les réseaux sociaux il établit un rapide organigramme de l’entreprise fournisseur et se concentre ensuite sur la personne à usurper. Rôle dans l’entreprise, âge, vie de famille, santé etc. Cette personne doit être peu familière des outils informatiques et peu avertie sur le sujet de la fraude bancaire. Ainsi, l’usurpation d’identité fournisseur sera plus facile à exécuter.  

La fraude bancaire est un danger permanent pour les entreprises et leurs fournisseurs. Dans une fraude au faux fournisseur, entreprise comme fournisseur est trompé. L’entreprise est volée, et l’identité du fournisseur est usurpée.  

Si souvent ces fraudes se font par email, on recense de plus en plus de fraudes à la technologie perfectionnée. Imitant la voix du fournisseur au téléphone via un logiciel ou utilisant la technologie dudeepfake par vidéo, ces usurpations d’identité sont troublantes et extrêmement dangereuses.

Je choisis mon réseau et je partage !