L’Association Professionnelle Tunisienne des Banques et des

Etablissements Financiers

18-10-2019
fraude par email, une évolution du SCAM
Le SCAM, parfois appelé fraude 419 ou arnaque nigériane, est une variante du SPAM. Il prend généralement la forme
d’un email dont l’objectif est d’abuser de la confiance du destinataire pour obtenir de l’argent.

Le phishing, également connu sous le nom « hameçonnage », est une méthode souvent utilisée par des fraudeurs
pour tenter de collecter des données sensibles.

Hoax est un terme anglais qui signifie « canular ». En informatique, il s'agit d'une information erronée ou invérifiable
qui profite de la puissance d'Internet pour se propager à grande échelle.
 Le fraude par email, c’est quoi ?
Connu également par « le fraude du président », il a pour but de :
• Faire croire à (aux) la (les) victime(s) que le email reçu provient d’une entité importante (PDG, Client,
Fournisseur …)
• Devenir la passerelle qui assure la communication par email
• Modifier les factures originales par de fausses factures
• Endosser l’argent
• Retirer son gain
La banque belge Crelan a
enregistré une perte d’environ 70
Une filiale à Hong Kong d’Ubiquiti millions de dollars à cause d’e-
Networks Inc. a payé plus de 45 mails frauduleux,
millions de dollars à des pirates
s’étant fait passer pour l’un de ses
fournisseurs, Plusieurs entreprises Tunisiennes
ont été victime de ce type
d’attaque certaine ont perdu plus
de 100000 euros !
fraude par email, pourquoi ça fonctionne ?
Avant cela, comment fonctionnent les solutions de sécurité ?
• les bases d’adresse source de spam/phishing
• https://phishing-initiative.fr
• https://www.phishtank.com/
• Il existe également des solutions commerciales qui exploitent ces bases et
bloquent automatiquement ces emails.
• Evaluer l’email selon des critères spécifiques
• Couleurs
• Caractères et police utilisés
• Les fautes d’orthographe
• La présence de lien avec des domaines Shorteners
• Vérifier le Sender Policy Framework
• Cette technique d'authentification de l'émetteur est extrêmement facile à
mettre en place. Son principe est simple : après extraction du domaine de
l'émetteur ("MAIL FROM :" de l'enveloppe du message SMTP et non le champ
"From :" de l'entête), une requête DNS de type TXT est effectuée sur le
domaine en question pour connaître la liste des serveurs de messagerie
autorisés à émettre des emails et pour la comparer avec l'adresse IP du
serveur émetteur du message.
fraude par email, pourquoi ça fonctionne ?
• Alors pourquoi ce n’est pas bloqué ?
• Les serveurs d’émission des emails sont légitimes
• Les mails sont une copie presque exacte de ce que devrait être le mail légitime
• Dans certains scénarios c’est du vrai domaine que part l’attaque
• Il n’y a pas de malwares
• L’attaquant étudie très bien le processus de communication
• C’est une attaque ciblée
Les variantes
Escroquerie de facture
Parfois appelée «escroquerie fournisseur», cette attaque implique généralement l’emprunt
d’identité du fournisseur de confiance d’une entreprise. Ce type d’attaque a récemment fait les
gros titres, Google et Facebook ayant été escroqués de 100 millions de dollars. L’attaquant, dans
ce stratagème, demande que les fonds soient virés pour un paiement sur facture mais au lieu
d’être un compte légitime pour ce fournisseur, Compte. Cette usurpation d'identité est souvent
réalisée à l'aide d'un courrier électronique usurpé et repose sur l'ingénierie sociale.
Les variantes
Fraude tirant parti des services financiers
Dans cette arnaque, les assaillants s’identifient comme des dirigeants de haut niveau de la
société cible, tels que le PDG, le directeur financier ou le directeur de l’exploitation. Ils
prétendent généralement traiter des questions urgentes et confidentielles et demandent un
virement électronique sur un compte sous leur contrôle (par exemple, le compte du mulet).
Dans certaines situations, ils adressent la demande directement à l’institution financière de la
société en insistant pour que les fonds soient envoyés de manière urgente.
Les variantes
Escroquerie d'avocat
Dans cette arnaque, l’agresseur contacte des employés prétendant être un avocat avec un
conseiller juridique ou un autre cabinet d’avocats. Ils prétendent souvent traiter des questions
confidentielles et urgentes. Ils demandent à l'employé de gérer un transfert de fonds. La
demande peut faire référence à des choses qui se produisent réellement dans l'entreprise,
comme une fusion ou une acquisition. Il peut arriver que les employés soient fatigués et / ou
pressés de quitter leur bureau et soient plus vulnérables aux erreurs en fin de journée ouvrable.
Les variantes
Escroquerie des ressources humaines
Ici, l'attaquant se présente comme une personne appartenant à un domaine fonctionnel
spécifique de l'entreprise, le plus souvent un employé des ressources humaines. Le compte de
cet employé est compromis ou usurpé et utilisé pour envoyer la demande. Cependant, au lieu
de demander de l'argent, ils demandent des informations personnellement identifiables (PII).
Une fois reçues, ces informations peuvent être utilisées pour gagner de l’argent ou comme point
de départ pour une attaque plus dommageable contre la société.
Cas d’étude
Houssem est le financier d’une
société, c’est lui qui gère le paiement
des fournisseurs à l’étranger
Cas d’étude

Demande de virement + Justificatif

 Cas d’étude

L’attaque de l’homme au milieu:

• Modifier les données
• Décider de ce que voit la victime
• Usurpe son identité
 Cas d’étude

L’attaque est au niveau du FSI:

• Exploitation de failles
• Attaquant Insider
• Tout les clients de l’FSI sont des victimes potentielles
 Cas d’étude

L’attaque est au niveau du réseau interne de la victime:

• Exploitation de failles
• Attaquant Insider
• Leaks (https://hacked-emails.com/ , https://haveibeenpwned.com/ , https://pastebin.com …)
 Cas d’étude

L’attaque est au niveau du réseau interne de la victime:

• Exploitation de failles
• Attaquant Insider
• Leaks (https://hacked-emails.com/ , https://haveibeenpwned.com/ , https://pastebin.com …)
• Ingénierie sociale
 Cas d’étude

L’attaque est au niveau du réseau interne de la victime:

• Exploitation de failles
• Attaquant Insider
• Leaks (https://hacked-emails.com/ , https://haveibeenpwned.com/ , https://pastebin.com …)
• Ingénierie sociale
Récapitulation
Houssem est le financier d’une
société, c’est lui qui gère le paiement
des fournisseurs à l’étranger
Récapitulation

Demande de virement + Justificatif

Un autre acteur entre en jeux !
Recrutement d’une mule
La mission est simple : transférer l’argent
d’un inconnu sur votre compte bancaire,
ou remettre cet argent à un endroit
particulier (une autre banque par
exemple), en échange d’une contrepartie
financière.

Généralement le transfert passe au moins par

deux mules
 Et encore !
Les fraudeurs, saventt ce qu’il font et c’est pour ça que le choix de la Banque est primordiale.
• Selon le FMI • Guernesey (Royaume-Uni)
• Maurice • Panama
• Uruguay • Jersey (Royaume-Uni)
• Djibouti • Luxembourg
• Antilles néerlandaises (Pays-Bas) • États-Unis • Lettonie
• Bahamas • Bahreïn
• Hong Kong (Chine) • Malte
• Bermudes (Royaume-Uni) • Île de Man (Royaume-Uni)
• Îles Caïmans (Royaume-Uni) • Singapour
• Vanuatu • Irlande
• Suisse
• Royaume-Uni

Il y a un insider dans la Banque

Il crée une entreprise avec le même nom
 Quel rôle ont les banques dans tout ça ?
• Exiger une double validation avant d’autoriser un transfert vers les banques offshores ou les pays
déjà cités.
• Sensibiliser les clients
• Exiger des preuves avant le transfert
• Exiger que les factures soient valider par le client en utilisant deux canaux différents