L’assureur Alliance alerte des clients d’une exfiltration pirate de données

Posted On 11 Sep 2019

Tag: arnaque, banque, filoutage, fraude aux faux virement, hameçonnage, infiltration, piege, pirate, scpi

La société Alliance, un spécialiste de l’assurance, vient d’alerter une partie de ses clients à la suite d’une infiltration pirate. Pendant ce temps, en France, des escrocs téléphonent à leurs futures victimes pour parler placements immobiliers. ZATAZ vous explique.

Plus de 3 000 clients de l’assureur Alliance viennent d’être alertés par l’entreprise après la découverte d’une infiltration pirate. Cet été, des employés basés à Quebec auraient été piégés par un phishing.

Bilan, après la prise en main des boites mails des commerciaux, les pirates ont intercepté des informations de clients. Radio Canada explique que la collecte a permis de voler le nom et les produits financiers détenus par les clients. Dans certains cas, les numéros d’assurance sociale, les dates de naissance et les coordonnées bancaires.

L’entreprise, dont le siège social est à Québec, compte 4 millions de clients. L’enquête doit déterminer maintenant si les pirates n’ont pas utilisé cet accès pour piéger d’autres employés d’Alliance pour atteindre des informations plus nombreuses et plus sensibles.

Pendant ce temps en France : pierre papier … ciseau

Voici un exemple, parmi des dizaines que je possède, que peut mettre en place le pirate d’Alliance. Le cas que je vais vous citer dans ces colonnes vient de trois Français. Ils ne sont pas clients Alliance. Cette cyberattaque prend de l’ampleur.

« J’ai reçu un appel téléphonique d’une charmante femme » souligne mon témoin A (il a souhaité garder l’anonymat). « Elle connaissait mon identité, ma banque et … mes informations de placements immobiliers » indique mon témoin B. « Dans la conversation, elle m’a expliqué que les dirigeants en charge des SCPI ayant la gestion de mes placements étaient partis […] qu’ils avaient été remerciés pour mauvaise gestion […] L‘interlocutrice n’hésitait pas dénigrer le placement en question. »

Finalité de l’appel, expliquer aux interlocuteurs que cette mauvaise gestion a fait ressortir des taxes supplémentaires. Des frais que les cibles doivent payer rapidement pour éviter des pénalités. L’escroc proposera un moyen de verser la somme via un faux site ou tout simplement en fournissant un RIB qui permettra le transfert malveillant.

Du phishing à la fraude aux faux virements

Une Société Civile de Placement Immobilier (SCPI) collecte des fonds auprès de personnes souhaitant épargner dans la pierre. Un portefeuille uniquement composé de biens immobiliers.

L’attaque des escrocs est d’autant plus intéressante que mes trois témoins ne savent toujours pas comment les pirates ont pu avoir connaissance des informations liées à leurs placements. « On m’a réclamé 7 000€ » commente le témoin C. « J’ai contacté mon courtier, en colère… et il m’a indiqué que tout allait bien !« .

Voici cinq choix possibles (sur des dizaines) que le pirate a pu mettre en place pour accéder aux informations personnelles de ses cibles.

1 – Accès aux comptes bancaires du client. Ce qui implique un phishing permettant d’intercepter les identifiants de connexion.

2 – Infiltration des webmails des chargés de clientèle. Pour les banques Françaises, à moins de piéger un ordinateur portable lors d’une connexion (à la maison), compliqué.

3 – L’achat, dans le black market, d’informations concernant les clients. (Cf.: ma capture écran dans cet article d’un espace pirate dédié à la vente de ce type de données volées).

4 – Phishing du compte mail du client. Les webmails deviennent des « clouds » pour par chers dans lesquels il est possible de retrouver des données sur la vie privées et professionnelles des cibles.

5 – Sauvegarde des données clients dans un cloud, un NAS dont la sécurité est… bancale.

6 – Poubelle physiques des victimes. Jeter un courrier postal à la poubelle… et le tour est joué pour la collecte d’informations.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.