Arnaque au président – 1,6 millions d’euros envolés

Vendredi dernier la société BRM Mobilier était mise en redressement judiciaire par le tribunal de commerce de Niort.
L’enjeu : sa survie après l’escroquerie dont elle a été la victime.
Le butin : 1,6 million d’euros.
La méthode : L’arnaque au président.
Ce que l’on sait : un escroc s’est fait passé pour le président de l’entreprise et a manipulé la responsable financière de l’entreprise. Des complices se faisant passer pour des avocats ont renforcé la manipulation prétendant cautionner l’opération de paiement visant à mettre en place des investissements, à priori en Asie.

Il s’agit là d’un cas hélas trop classique de piratage de type ingénierie sociale.

Nous allons rappeler dans ce billet les grandes étapes suivies par les escrocs dans ce type d’attaque et vous donner aussi une technique qui doit permettre de déjouer ces attaques dans la grande majorité des cas.

Les attaques d’ingénierie sociale visent à obtenir d’une personne par la duperie un comportement ou une information qu’elle n’aurait pas eu ou qu’elle n’aurait pas donnée en temps normal.

Schématiquement ces attaques suivent dans presque tous les cas les étapes suivantes :

  • Le choix d’une cible : les escrocs peuvent agir sur commande, dans ce cas la cible leur est désignée; sinon ils choisissent eux même leur cible en fonction du gain potentiel et de l’opportunité.
  • La prise de renseignement sur la cible : c’est la première étape. Pour que l’escroquerie soit crédible, l’escroc doit en premier lieu collecter le maximum d’informations sur sa cible : noms des décideurs et du personnel clé, informations personnelles sur ces personnes, fonctionnement de l’entreprise… Pour ce faire ils utilisent les sources, en général nombreuses, d’information à leur disposition : réseaux sociaux (Facebook, LinkedIn, viadeo, Twitter…), sites web, forum, rapports sociaux, comptes déposés, presse… Si ces sources ne suffisent pas ils pourront le cas échéant commettre une première attaque dite légère dans laquelle ils se feront passer par exemple pour un journaliste, ou encore un étudiant, pour prendre contact avec une personne de l’entreprise (autre que celle qui sera la cible par la suite) pour obtenir des informations complémentaire.
  • Le choix d’une couverture et préparation du scénario d’attaque : dans la construction du scénario d’attaque, l’escroc doit choisir une couverture, c’est à dire le personnage pour lequel il va se faire passer dans le déroulement de l’attaque. Dans le cas présent de l’arnaque au président, la couverture est, comme son nom l’indique, l’un des dirigeants de l’entreprise. Il peut également prétendre être un client, un fournisseur, un employé, une autorité (police, avocat…). Basé sur la couverture choisie, l’escroc construit son scénario d’attaque avec les différentes alternatives lui permettant de s’adapter un minimum aux réactions de la cible. Il choisit dans cette étape les individus sur lesquels il va porter l’attaque.
  • L’attaque en elle même dans laquelle l’escroc déroule le scénario précédent en vue de l’atteinte de son objectif : vol d’information et/ou d’argent.

L’expérience le montre, ces scénarios et ces attaques peuvent être extrêmement élaborés. Il y a cependant une vulnérabilité de taille dans la construction du scénario d’attaque. Et c’est cette vulnérabilité qu’il convient d’exploiter pour se défendre.

En effet, on l’a vu, le pirate doit utiliser une couverture pour porter son attaque. Il doit donc se faire passer pour quelqu’un d’autre et jouer ce rôle. C’est là que réside sa faiblesse. L’escroc n’étant pas un espion professionnel (enfin pas dans la grande majorité des cas) il ne va pas prendre 6 mois pour apprendre les moindres détails de sa couverture. Il va donc se contenter d’une couverture sommaire. Or, comme le disait Abraham Lincoln : « Personne n’a assez de mémoire pour réussir durablement dans le mensonge. » Encore moins un escroc forcément incomplètement préparé.

Une bonne technique pour mettre à jour l’escroc est donc de prolonger l’échange avec lui et de mettre ainsi à jour des incohérences dans son discours. Ainsi, l’un de mes clients et néanmoins ami m’a un jour conté l’anecdote suivante. Son entreprise fut la cible d’une attaque au président. Un escroc, se faisant passer pour l’un des associés de l’entreprise, a essayé de provoquer le paiement d’un acompte sur un gros deal sur lequel, soit disant, il travaillait en Afrique. Mon ami qui a eu l’escroc au téléphone a commencé à lui parler de la maison qu’il faisait construire dans le sud de la France. L’escroc, sans sourciller, lui a indiqué que les travaux avançaient correctement, alors que celui qui faisait construire une maison était l’autre associé. L’escroquerie a tourné court.

Cette anecdote illustre ainsi une bonne façon de déjouer le piège d’une telle escroquerie. Ainsi dans la majorité des cas où vous êtes confronté à une demande inhabituelle, sous le poids de l’autorité, n’hésitez pas à prolonger l’échange en parlant de sujets censés concerner l’entreprise ou tel collaborateur que le président devrait connaître. En gardant cela en mémoire vous disposez ainsi d’une première arme pour résister aux attaques de type ingénierie sociale.