Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Gare à l’arnaque aux faux RIB

Gare à l'arnaque aux faux RIB

Le 23 septembre 2021 à 08h02

Que Choisir alerte sur un nouveau type d'arnaque en ligne : des escrocs auraient réussi à intercepter des factures légitimes, avant de la renvoyer à son destinataire, mais en substituant le RIB du prestataire par le leur.

Un capitaine de gendarmerie s'étonne de la rapidité des escrocs : une petite heure seulement s’est en effet écoulée entre l’envoi du vrai courriel et la réception du message illicite.

« À ce stade, deux hypothèses sont envisageables. Soit il s’agit de cybermalveillance, avec le piratage de la boîte mail et l’interception du courriel qui contient le RIB. Soit un salarié malintentionné travaillant au sein de l’entreprise créancière a remplacé le RIB pour récupérer l’argent. Aucune option n’est privilégiée pour l’instant. Nous devons d’abord récolter davantage d’informations techniques. »

Jean-Jacques Latour, responsable expertise au sein de Cybermalveillance.gouv.fr, avance quant à lui la piste suivante : « L’escroc prend le contrôle de l’adresse e-mail du destinataire. Il regarde les messages reçus et supprime dès réception ceux contenant RIB et facture [qu’il a scrupuleusement enregistrés auparavant]. Ensuite, il envoie un courriel via une autre adresse. Si c’est cela, c’est assez facile à mettre en place techniquement. »

« Si vous vous faites piéger, les chances d’obtenir un remboursement sont minces », relève Que Choisir : « dès lors que vous avez réalisé le virement de votre propre chef, votre banque sera réticente à vous dédommager ».

Le 23 septembre 2021 à 08h02

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

« Si vous vous faites piéger, les chances d’obtenir un remboursement sont minces », relève Que Choisir : « dès lors que vous avez réalisé le virement de votre propre chef, votre banque sera réticente à vous dédommager ».


Le RIB n’est pas lié à une personne qui peut être tenue responsable de l’arnaque ?
Les banques ne vont pas dédommager, mais la justice n’a pas un rôle à jouer ?

votre avatar

“Il regarde les messages reçus et supprime dès réception ceux contenant RIB et facture”


Ou dit autrement, piratage de la boite mail du destinataire avec mise en place d’un transfert automatique des mails contenant certains mots clefs (RIB, …).



Le destinataire ne reçoit pas le mail initial, qui est transféré au pirate, mais reçoit rapidement après un faux mail, copie quasi conforme du mail intercepté, avec un RIB modifié. Le pirate doit être réactif.



Et si en cas de doute, on appelle la personne qui a envoyé le RIB, celle-ci confirmera bien avoir envoyé un mail avec un RIB. Quasi imparable, à moins de vérifier aussi au téléphone les détails du RIB à utiliser.



On peut modifier son mot de passe en cas de suspicion de piratage, mais cela ne résoudra pas le problème si le transfert automatique n’est pas désactivé.

votre avatar

C’est arrivé dans mon ancienne boîte. le pirate avait échangé le RIB français contre un RIB chinois.
Le client avait insulté le commercial par téléphone car il pensait que nous payons un sous traitant chinois alors qu’il voulait de la qualité française. C’est ce qui a permis d’éviter la catastrophe de justesse…

votre avatar

misocard a dit:


Le RIB n’est pas lié à une personne qui peut être tenue responsable de l’arnaque ?


Ils utilisent souvent des mules, une personne a qui on a demandé de prêté son compte en banque. Mais oui y a certainement moyen de remonter de mules en mules pour essayer de remonter au principal. Mais bon entre les changements de pays etc …




Nikoap a dit:


Le destinataire ne reçoit pas le mail initial, qui est transféré au pirate, mais reçoit rapidement après un faux mail, copie quasi conforme du mail intercepté, avec un RIB modifié. Le pirate doit être réactif.


Si c’est une facture habituelle, la banque propose souvent des destinataires préenregistré (sur base des destinataires sauvegardé)

votre avatar

Vu la multiplication de ce genre d’affaire, la piste du salarié malintentionné me paraît fumeuse…



J’ai un client (Vendeur B2B) qui a un de ses clients qui lui a réglé une facture de 22 000€ environ comme ça.



Enfin.. pas à lui du coup, mais à un mystérieux compte en banque.



Et il y en a eu d’autres ce qui nous a fait craindre une faille sur le site de vente B2B que j’ai fait. Ce n’est pas le cas, mais mon client refusait de payer sa société de maintenance pour des antivirus, donc possible que ce soit le compte de la patronne qui se soit fait ouvrir.

votre avatar

misocard a dit:


Le RIB n’est pas lié à une personne qui peut être tenue responsable de l’arnaque ? Les banques ne vont pas dédommager, mais la justice n’a pas un rôle à jouer ?


Comme j’ai des exemples sous la main, les RIBs utilisés étaient des comptes QONTO ou NICKEL. Je ne sais pas QONTO, mais les NICKEL, si le buraliste n’est pas trop regardant sur la qualité de la pièce d’identité, ça passe, et là, allez remettre la main sur le gars (ou la dame)

votre avatar

Et puisqu’on y est, voici le type de mail qui est envoyé :




Bonjour Monsieur NOMDUCLIENTFINAL,



des factures à échéances du 31/08/2021 pour un total de PLEINDESOUS € ?



veuillez ignorer le premier courrier qui vous a été envoyé. voici mon nouveau RIB pour pouvoir effectuer le virement.
Le compte bancaire ANCIENNEBANQUE a été clôturé et c’est celui du Qonto qu’il faut prendre en compte.
m’envoyer une copie du Swift lorsqu’il sera disponible.



Désolée pour ce désagrément.
Je vous souhaite une très bonne journée.
Bien cordialement


Tout ça avec la bonne signature dessous évidemment (adresse, logo, etc..)

votre avatar

Hello je ne suis pas sur mais un Rib dois pouvoir être vérifié par votre banque. Je travaille même avec une société spécialisée dans la lutte contre la fraude bancaire.

votre avatar

Quelques précisions : ce qui est nouveau dans ce type d’arnaque, c’est leur nombre, car en réalité ce type de manipulation existe depuis plusieurs années, et ça marche malheureusement très bien dans des entreprises qui travaillent avec des dizaines de fournisseurs et où les changements de RIB sont des opérations habituelles : vérifier soigneusement chaque changement de RIB demanderait une grosse charge de travail (des entreprises m’ont indiqué en avoir parfois des centaines par mois).



L’hypothèse du salarié indélicat n’est que marginale, car cela limite l’attaque à une seule entreprise, et les fraudeurs (qui sont souvent des équipes spécialisées) préfèrent de loin n’avoir aucune complicité interne, car le ROI est faible (= une seule arnaque possible) et surtout les enquêteurs risqueraient de faire le lien entre le complice et les fraudeurs. Il peut rester l’hypothèse de la vengeance, mais là aussi ça resterait ponctuel.



En réalité les fraudeurs peuvent :




  • Intercepter des mails de l’entreprise cible, récupérer des factures réelles, et en renvoyer une version modifiée avec leur RIB ;

  • Prendre le contrôle d’un compte mail du fournisseur (et non de la cible finale), et arroser tous les clients de ce fournisseur avec des factures comportant leur RIB ;

  • Tout simplement faire un faux, en récupérant sur internet des informations sur la cible pour laquelle il n’est pas toujours difficile de retrouver les fournisseurs. Ils créent ensuite un compte mail factice mais “ressemblant”, et le tour est joué.



Pour ce qui est du dédommagement, la banque ne peut a priori rien faire : la victime a réalisé le virement de son propre chef, voire même en respectant des procédures de sécurité auprès de la banque pour intégrer le nouveau RIB qui a été ajouté de façon tout à fait légale et officielle. Simplement ce n’est pas le bon. La règlementation bancaire est assez complexe sur les virements, et il est moins facile de faire annuler un virement qu’un paiement par carte bleue. Une fois que le virement est parti, il faut appeler toute la chaîne des banques impliquées (il y a souvent plusieurs virements “rebonds”) pour leur demander d’arrêter les virements, en leur signalant la suspicion de fraude, mais plus le temps passe et plus le retour des fonds est hasardeux.

votre avatar

Haaaa Microsoft Exchange :troll:

votre avatar

Il me semblait que quand on a déjà effectué un virement chez quelqu’un, si celui ci change de RIB, on reçoit une sorte de mise à jour automatique via sa banque avec “ancien rib” et “nouveau rib”.

votre avatar

Pas même besoin de se compliquer la vie…
Vu que 93% des boites n’ont pas de DMARC en place, tu “spoof” (usurpe) simplement leur adresse email (from/mailfrom, alignement spf, toussa toussa). Ca se fait en 30 secondes.
Le destinataire ne peut légitimement pas se douter que l’email est un faux, vu que l’email affiché sera vraiment le bon…
Seules parades : soit l’expéditeur légitime mets en place du DMARC strict (reject), y compris sur ses sous domaines, soit le destinataire “revérifie” manuellement toutes les modifications d’iban (et pour les nouvelles factures… ben faut avoir confiance).

votre avatar

https://reassurez-moi.fr/guide/banque/annuler-virement



*Est-il possible d’annuler un virement en cours ?
Il n’est pas possible d’annuler un virement déjà effectué, sauf si votre banque le permet et si vous réagissez très rapidement. En effet, un virement SEPA est considéré comme irrévocable.



Il n’existe qu’un seul cas où un virement effectué peut être annulé : celui où vous êtes victime d’une escroquerie. Vous devrez cependant en apporter la preuve à votre banquier ainsi qu’une copie du dépôt de plainte.*



Ouille !



Tiens, un pourriel reçu à l’instant : admirez comment SFR laisse passer les escroqueries sans limites (j’ai eu 2 tentatives de phishing sur le LCL cette semaine !)



From - Thu Sep 23 20:48:20 2021
X-Account-Key: account4
X-UIDL: 1562496243.12913
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:

Return-Path: 0100017c10f39a93-d25b4719-c628-4e79-9063-49401b138a0b-000000@amazonses.com
Received: from msfrf2623.sfr.fr (msfrf2623.priv.atos.fr [10.18.203.37])



 by msfrb1702 with LMTPA;
 Thu, 23 Sep 2021 06:39:33 +0200


X-Cyrus-Session-Id: cyrus-19196-1632371973-2-12865040217559785353
X-Sieve: CMU Sieve 3.0
Received: from smtp26.services.sfr.fr (front26-smtp-dirty.sfrmc.priv.atos.fr [10.18.203.96])



by msfrf2623.sfr.fr (SMTP Server) with ESMTP id D850A3800040B
for <[email protected]>; Thu, 23 Sep 2021 06:39:33 +0200 (CEST)


X-mail-filterd: {“version”:“1.3.4”,“queueID”:“C61D81C00381A”,“contextId”:“326601b5-8121-47fc-a280-6fdbf792632f”}
Received: from a48-30.smtp-out.amazonses.com (a48-30.smtp-out.amazonses.com [54.240.48.30])



by msfrf2623.sfr.fr (SMTP Server) with ESMTP id C61D81C00381A
for <[email protected]>; Thu, 23 Sep 2021 06:39:33 +0200 (CEST)


X-mail-filterd: {“version”:“1.3.4”,“queueID”:“4BFF21C00380C”,“contextId”:“174d0741-359b-4086-b68a-82069da61b98”}
X-sfr-mailing: SPAM
X-sfr-spamrating: 82
X-sfr-spam: med
Authentication-Results: sfr.fr;



spf=pass smtp.mailfrom=0100017c10f39a93-d25b4719-c628-4e79-9063-49401b138a0b-000000@amazonses.com smtp.helo=a48-30.smtp-out.amazonses.com;
dkim=pass reason="good signature" header.d=amazonses.com header.s=ug7nbtf4gccmlpwj322ax3p6ow6yfsug header.b=Zh515b;
dmarc=none reason="No policy found"


X-sfr-spamcause: OK, (290)(1000)gggruggvucftvghtrhhoucdtuddrgedvtddrudeikedgkeehucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuuffhtffirfdpvehhvggtkhevgfdpggftiffpkfdpggftfghnshhusghstghrihgsvgenuceurghilhhouhhtmecufedtudenucgoufhprghmffhomhgrihhnucdlfedttddmnefjrghmjfgvrgguvghrhfhivghlugcujfgvrgguvghrucfutghorhhinhhgucdlqddutddmnecujfgurhepggfhvfhrfffutgfksehmtderredttddvnecuhfhrohhmpefvvghmphhorhgrihhrvghmvghnthcuoeiivghnuggvshhkseiiohhmrghiohdrtghomheqnecuggftrfgrthhtvghrnhepvdegkeehieektdektdeuveeivedtfefgledtueffvdekgfehhffgteekfedvleefnecuffhomhgrihhnpehsvhhrtgiiohhnrgdrfhhrpdgrmhgriihonhdrfhhrnecukfhppeehgedrvdegtddrgeekrdeftdenucfuphgrmhffohhmrghinhepshhvrhgtiihonhgrrdhfrhenucevlhhushhtvghrufhiiigvpedvnecurfgrrhgrmhepihhnvghtpeehgedrvdegtddrgeekrdeftddphhgvlhhopegrgeekqdeftddrshhmthhpqdhouhhtrdgrmhgriihonhhsvghsrdgtohhmpdhmrghilhhfrhhomheptddutddttddujegtuddtfheflegrleefqdguvdehsgegjeduledqtgeivdekqdegvgejledqledtieefqdegleegtddusgdufeekrgdtsgdqtddttddttddtsegrmhgriihonhhsvghsrd
gtohhmpdhrtghpthhtohepphhijhgrtghquhgvsehnuhhmvghrihgtrggslhgvrdhfrhdpshhpfhepphgrshhspdgukhhimhepnhhonhgvpdgumhgrrhgtpehnohhnvg
Received: from a48-30.smtp-out.amazonses.com (a48-30.smtp-out.amazonses.com [54.240.48.30])



(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
(No client certificate requested)
by msfrf2623.sfr.fr (SMTP Server) with ESMTPS id 4BFF21C00380C
for <[email protected]>; Thu, 23 Sep 2021 06:39:33 +0200 (CEST)


DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;



s=ug7nbtf4gccmlpwj322ax3p6ow6yfsug; d=amazonses.com; t=1632371972;
h=MIME-Version:From:To:Reply-To:Date:Subject:Content-Type:Message-ID:Feedback-ID;
bh=CTxTshSb73aanWHcP9/tqjToB16FiGC1tYulswtv08U=;
b=Zh515bgEpTGNPrXjfBi4jwLJJzFgMf9kRVkRQ1q/Y3teQ/YMWnaWsgl+nmiN7L9w
spVrIoF/IHBl8vZSOqLibe+wW5GQOn//WnVsCTYSHhXr944rFoeIuj/S+AinNj0BPsM
ZHK5/edeJsSQfOs8dlxe2Wug6jGfTuCbByns/Tas=


MIME-Version: 1.0
From: Temporairement [email protected]
To: [email protected]
Reply-To: [email protected]
Date: Thu, 23 Sep 2021 04:39:32 +0000
Subject: Votre compte Amazon est temporairement en attente.
Content-Type: multipart/mixed;
boundary=–boundary_11454_8d213125-2412-4b6c-b77d-8b5b5e53f07d
Message-ID: 0100017c10f39a93-d25b4719-c628-4e79-9063-49401b138a0b-000000@email.amazonses.com
Feedback-ID: 1.us-east-1.8/ZcB0z/IBe2xWU7qZufRyY+P5EdGPfbxsy/aIM36JU=:AmazonSES
X-SES-Outgoing: 2021.09.23-54.240.48.30

votre avatar

ungars a dit:


https://reassurez-moi.fr/guide/banque/annuler-virement



*Est-il possible d’annuler un virement en cours ? Il n’est pas possible d’annuler un virement déjà effectué, sauf si votre banque le permet et si vous réagissez très rapidement. En effet, un virement SEPA est considéré comme irrévocable.


C’est très simple d’annuler un virement, un simple ligne dans un fichier SEPA. Les banques ne veulent simplement pas le faire.

votre avatar

Ben non, s’il a été exécuté…Sinon oui, c’est possible.

Gare à l’arnaque aux faux RIB

Fermer