Que Choisir alerte sur un nouveau type d'arnaque en ligne : des escrocs auraient réussi à intercepter des factures légitimes, avant de la renvoyer à son destinataire, mais en substituant le RIB du prestataire par le leur.
Un capitaine de gendarmerie s'étonne de la rapidité des escrocs : une petite heure seulement s’est en effet écoulée entre l’envoi du vrai courriel et la réception du message illicite.
« À ce stade, deux hypothèses sont envisageables. Soit il s’agit de cybermalveillance, avec le piratage de la boîte mail et l’interception du courriel qui contient le RIB. Soit un salarié malintentionné travaillant au sein de l’entreprise créancière a remplacé le RIB pour récupérer l’argent. Aucune option n’est privilégiée pour l’instant. Nous devons d’abord récolter davantage d’informations techniques. »
Jean-Jacques Latour, responsable expertise au sein de Cybermalveillance.gouv.fr, avance quant à lui la piste suivante : « L’escroc prend le contrôle de l’adresse e-mail du destinataire. Il regarde les messages reçus et supprime dès réception ceux contenant RIB et facture [qu’il a scrupuleusement enregistrés auparavant]. Ensuite, il envoie un courriel via une autre adresse. Si c’est cela, c’est assez facile à mettre en place techniquement. »
« Si vous vous faites piéger, les chances d’obtenir un remboursement sont minces », relève Que Choisir : « dès lors que vous avez réalisé le virement de votre propre chef, votre banque sera réticente à vous dédommager ».
Commentaires (15)
#1
Le RIB n’est pas lié à une personne qui peut être tenue responsable de l’arnaque ?
Les banques ne vont pas dédommager, mais la justice n’a pas un rôle à jouer ?
#2
Ou dit autrement, piratage de la boite mail du destinataire avec mise en place d’un transfert automatique des mails contenant certains mots clefs (RIB, …).
Le destinataire ne reçoit pas le mail initial, qui est transféré au pirate, mais reçoit rapidement après un faux mail, copie quasi conforme du mail intercepté, avec un RIB modifié. Le pirate doit être réactif.
Et si en cas de doute, on appelle la personne qui a envoyé le RIB, celle-ci confirmera bien avoir envoyé un mail avec un RIB. Quasi imparable, à moins de vérifier aussi au téléphone les détails du RIB à utiliser.
On peut modifier son mot de passe en cas de suspicion de piratage, mais cela ne résoudra pas le problème si le transfert automatique n’est pas désactivé.
#3
C’est arrivé dans mon ancienne boîte. le pirate avait échangé le RIB français contre un RIB chinois.
Le client avait insulté le commercial par téléphone car il pensait que nous payons un sous traitant chinois alors qu’il voulait de la qualité française. C’est ce qui a permis d’éviter la catastrophe de justesse…
#4
Ils utilisent souvent des mules, une personne a qui on a demandé de prêté son compte en banque. Mais oui y a certainement moyen de remonter de mules en mules pour essayer de remonter au principal. Mais bon entre les changements de pays etc …
Si c’est une facture habituelle, la banque propose souvent des destinataires préenregistré (sur base des destinataires sauvegardé)
#5
Vu la multiplication de ce genre d’affaire, la piste du salarié malintentionné me paraît fumeuse…
J’ai un client (Vendeur B2B) qui a un de ses clients qui lui a réglé une facture de 22 000€ environ comme ça.
Enfin.. pas à lui du coup, mais à un mystérieux compte en banque.
Et il y en a eu d’autres ce qui nous a fait craindre une faille sur le site de vente B2B que j’ai fait. Ce n’est pas le cas, mais mon client refusait de payer sa société de maintenance pour des antivirus, donc possible que ce soit le compte de la patronne qui se soit fait ouvrir.
#6
Comme j’ai des exemples sous la main, les RIBs utilisés étaient des comptes QONTO ou NICKEL. Je ne sais pas QONTO, mais les NICKEL, si le buraliste n’est pas trop regardant sur la qualité de la pièce d’identité, ça passe, et là, allez remettre la main sur le gars (ou la dame)
#7
Et puisqu’on y est, voici le type de mail qui est envoyé :
Tout ça avec la bonne signature dessous évidemment (adresse, logo, etc..)
#8
Hello je ne suis pas sur mais un Rib dois pouvoir être vérifié par votre banque. Je travaille même avec une société spécialisée dans la lutte contre la fraude bancaire.
#9
Quelques précisions : ce qui est nouveau dans ce type d’arnaque, c’est leur nombre, car en réalité ce type de manipulation existe depuis plusieurs années, et ça marche malheureusement très bien dans des entreprises qui travaillent avec des dizaines de fournisseurs et où les changements de RIB sont des opérations habituelles : vérifier soigneusement chaque changement de RIB demanderait une grosse charge de travail (des entreprises m’ont indiqué en avoir parfois des centaines par mois).
L’hypothèse du salarié indélicat n’est que marginale, car cela limite l’attaque à une seule entreprise, et les fraudeurs (qui sont souvent des équipes spécialisées) préfèrent de loin n’avoir aucune complicité interne, car le ROI est faible (= une seule arnaque possible) et surtout les enquêteurs risqueraient de faire le lien entre le complice et les fraudeurs. Il peut rester l’hypothèse de la vengeance, mais là aussi ça resterait ponctuel.
En réalité les fraudeurs peuvent :
Pour ce qui est du dédommagement, la banque ne peut a priori rien faire : la victime a réalisé le virement de son propre chef, voire même en respectant des procédures de sécurité auprès de la banque pour intégrer le nouveau RIB qui a été ajouté de façon tout à fait légale et officielle. Simplement ce n’est pas le bon. La règlementation bancaire est assez complexe sur les virements, et il est moins facile de faire annuler un virement qu’un paiement par carte bleue. Une fois que le virement est parti, il faut appeler toute la chaîne des banques impliquées (il y a souvent plusieurs virements “rebonds”) pour leur demander d’arrêter les virements, en leur signalant la suspicion de fraude, mais plus le temps passe et plus le retour des fonds est hasardeux.
#10
Haaaa Microsoft Exchange
#11
Il me semblait que quand on a déjà effectué un virement chez quelqu’un, si celui ci change de RIB, on reçoit une sorte de mise à jour automatique via sa banque avec “ancien rib” et “nouveau rib”.
#12
Pas même besoin de se compliquer la vie…
Vu que 93% des boites n’ont pas de DMARC en place, tu “spoof” (usurpe) simplement leur adresse email (from/mailfrom, alignement spf, toussa toussa). Ca se fait en 30 secondes.
Le destinataire ne peut légitimement pas se douter que l’email est un faux, vu que l’email affiché sera vraiment le bon…
Seules parades : soit l’expéditeur légitime mets en place du DMARC strict (reject), y compris sur ses sous domaines, soit le destinataire “revérifie” manuellement toutes les modifications d’iban (et pour les nouvelles factures… ben faut avoir confiance).
#13
https://reassurez-moi.fr/guide/banque/annuler-virement
*Est-il possible d’annuler un virement en cours ?
Il n’est pas possible d’annuler un virement déjà effectué, sauf si votre banque le permet et si vous réagissez très rapidement. En effet, un virement SEPA est considéré comme irrévocable.
Il n’existe qu’un seul cas où un virement effectué peut être annulé : celui où vous êtes victime d’une escroquerie. Vous devrez cependant en apporter la preuve à votre banquier ainsi qu’une copie du dépôt de plainte.*
Ouille !
Tiens, un pourriel reçu à l’instant : admirez comment SFR laisse passer les escroqueries sans limites (j’ai eu 2 tentatives de phishing sur le LCL cette semaine !)
From - Thu Sep 23 20:48:20 2021
X-Account-Key: account4
X-UIDL: 1562496243.12913
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: 0100017c10f39a93-d25b4719-c628-4e79-9063-49401b138a0b-000000@amazonses.com
Received: from msfrf2623.sfr.fr (msfrf2623.priv.atos.fr [10.18.203.37])
X-Cyrus-Session-Id: cyrus-19196-1632371973-2-12865040217559785353
X-Sieve: CMU Sieve 3.0
Received: from smtp26.services.sfr.fr (front26-smtp-dirty.sfrmc.priv.atos.fr [10.18.203.96])
X-mail-filterd: {“version”:“1.3.4”,“queueID”:“C61D81C00381A”,“contextId”:“326601b5-8121-47fc-a280-6fdbf792632f”}
Received: from a48-30.smtp-out.amazonses.com (a48-30.smtp-out.amazonses.com [54.240.48.30])
X-mail-filterd: {“version”:“1.3.4”,“queueID”:“4BFF21C00380C”,“contextId”:“174d0741-359b-4086-b68a-82069da61b98”}
X-sfr-mailing: SPAM
X-sfr-spamrating: 82
X-sfr-spam: med
Authentication-Results: sfr.fr;
X-sfr-spamcause: OK, (290)(1000)gggruggvucftvghtrhhoucdtuddrgedvtddrudeikedgkeehucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuuffhtffirfdpvehhvggtkhevgfdpggftiffpkfdpggftfghnshhusghstghrihgsvgenuceurghilhhouhhtmecufedtudenucgoufhprghmffhomhgrihhnucdlfedttddmnefjrghmjfgvrgguvghrhfhivghlugcujfgvrgguvghrucfutghorhhinhhgucdlqddutddmnecujfgurhepggfhvfhrfffutgfksehmtderredttddvnecuhfhrohhmpefvvghmphhorhgrihhrvghmvghnthcuoeiivghnuggvshhkseiiohhmrghiohdrtghomheqnecuggftrfgrthhtvghrnhepvdegkeehieektdektdeuveeivedtfefgledtueffvdekgfehhffgteekfedvleefnecuffhomhgrihhnpehsvhhrtgiiohhnrgdrfhhrpdgrmhgriihonhdrfhhrnecukfhppeehgedrvdegtddrgeekrdeftdenucfuphgrmhffohhmrghinhepshhvrhgtiihonhgrrdhfrhenucevlhhushhtvghrufhiiigvpedvnecurfgrrhgrmhepihhnvghtpeehgedrvdegtddrgeekrdeftddphhgvlhhopegrgeekqdeftddrshhmthhpqdhouhhtrdgrmhgriihonhhsvghsrdgtohhmpdhmrghilhhfrhhomheptddutddttddujegtuddtfheflegrleefqdguvdehsgegjeduledqtgeivdekqdegvgejledqledtieefqdegleegtddusgdufeekrgdtsgdqtddttddttddtsegrmhgriihonhhsvghsrd
gtohhmpdhrtghpthhtohepphhijhgrtghquhgvsehnuhhmvghrihgtrggslhgvrdhfrhdpshhpfhepphgrshhspdgukhhimhepnhhonhgvpdgumhgrrhgtpehnohhnvg
Received: from a48-30.smtp-out.amazonses.com (a48-30.smtp-out.amazonses.com [54.240.48.30])
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
MIME-Version: 1.0
From: Temporairement [email protected]
To: [email protected]
Reply-To: [email protected]
Date: Thu, 23 Sep 2021 04:39:32 +0000
Subject: Votre compte Amazon est temporairement en attente.
Content-Type: multipart/mixed;
boundary=–boundary_11454_8d213125-2412-4b6c-b77d-8b5b5e53f07d
Message-ID: 0100017c10f39a93-d25b4719-c628-4e79-9063-49401b138a0b-000000@email.amazonses.com
Feedback-ID: 1.us-east-1.8/ZcB0z/IBe2xWU7qZufRyY+P5EdGPfbxsy/aIM36JU=:AmazonSES
X-SES-Outgoing: 2021.09.23-54.240.48.30
#14
C’est très simple d’annuler un virement, un simple ligne dans un fichier SEPA. Les banques ne veulent simplement pas le faire.
#14.1
Ben non, s’il a été exécuté…Sinon oui, c’est possible.