Fraude aux faux virements (FoVI) : une action en cours constatée par ZATAZ

FoVI en cours ! Un courriel aux couleurs de la DIRECTION GÉNÉRALE DES FINANCES PUBLIQUES SERVICE IMPÔTS ENTREPRISES vous réclame des informations sur vos fournisseurs. Prudence, collecte d’information pour une fraude aux faux virements (FoVI) en cours.

FoVI en cours ! Plusieurs lecteurs de ZATAZ, responsables d’entreprises, viennent de m’alerter d’un courriel reçu ces dernières heures. La missive est « propre », sans faute. Elle affiche même une véritable identité d’un employé de la DIRECTION GÉNÉRALE DES FINANCES PUBLIQUES, SERVICE IMPÔTS ENTREPRISES. « Madame, Monsieur, annonce la missive, Afin de compléter les informations dont nous disposons concernant l’activité à l’export de l’entreprise [Le nom de l’entreprise contactée, ndr] – SIREN : 928290000, je vous remercie de bien vouloir me faire parvenir les éléments d’informations suivants« . Le courrier électronique égraine les documents à fournir. D’abord, les références (Raison sociale et coordonnées) des 2 plus importants comptes clients à l’export, hors groupe, (tiers faisant l’objet d’une facturation régulière). Le courrier demande que soit précisé pour chaque client « Le montant H.T des ventes: (C.A) pour chaque client par mois, sur les 3 derniers mois.« . Autres sollicitations : les Conditions de règlement « date d’échéance des paiements (tous les 15,30…), ainsi que le mode de règlement. » Le message usurpateur termine en réclamant des justificatifs tels que le duplicata d’une facture échue, pour chaque client.

FoVI – Collecte d’informations pour une future arnaque au Président

Pour rassurer le lecteur, le courrier explique que cette demande ne revêt pas de caractère contraignant. « Elle est établie conformément aux disposition de l’article L.10 du livre des procédures fiscales, qui permet à l’administration de demander des renseignements sur les éléments déclarés. » affiche l’escroc.

Du social engineering (SE) efficace

Une autorité (l’administration fiscale), une demande légale (l’article de loi), et une caresse (Une demande sans contrainte). Une caresse d’autant plus efficace que le courriel se conclue par une conclusion rassurante « En l’absence de courrier de notre part dans les 60 jours à compter de votre réponse, vous pourrez considérer que les informations que vous avez fournis ont permis de compléter votre dossier et que cet examen ponctuel est clos. ». Un courrier efficace ? Deux assistantes de direction ont répondu positivement. Une troisième entreprise a su agir rapidement.

Pas de doute, un personnel formé à ce genre d’attaque est un atout face aux pirates. « En général le but est d’appeler les sociétés pour faire changer le rib de paiements des factures. ». me confirme l’un de mes témoins. Nous avons souvent ce genre de demandes, mais c’est la première fois venant des impôts et aussi bien fait. ».

FoVI – Dans une semaine, un appel téléphonique

La caresse des 60 jours a pour mission, en cas de non réponse, de préparer le terrain pour un appel téléphonique, quelques jours après la diffusion du courriel. Un appel téléphonique qui aura pour mission de conforter l’action et le message électronique. Bref, faire plier le récepteur à communiquer les informations réclamées.

Le courrier se diffuse via un compte ouvert en Russie. Une adresse électronique reprenant les données suivantes [identité d’un fonctionnaire de Bercy existant]@dgfip-gouv.host. Bien entendu, ne répondez pas à cette sollicitation. Vous êtes une cible secondaire pour les escrocs. Une méthode qui fonctionne malheureusement très bien.

Début octobre, je vous contais le cas du Département du Nord et d’une entreprise de BTP escroqués de 760 000€ via une fraude au président. Elle aussi avait débuté par un simple mail. Au moindre doute, n’hésitez pas à contacter les autorités.

Simple à repérer

Pour ne pas tomber dans le piège, des détails simple à retenir. Les noms de domaine des entités gouvernementales françaises se terminent toujours en .gouv.fr. Si vous recevez une adresse de messagerie en xxx-gouv.fr ; xxx.gouv.xxx ; xxx.gov.xxx, … ARNAQUE.

Pensez aussi à votre pointeur de souris. Sans cliquer sur l’adresse mail proposée dans les courriels que vous recevez, passez la souris sur l’adresse de messagerie proposée. En bas de votre outil de correspondance s’affichera l’adresse. Si cette dernière est différente de celle affichée dans le corps du texte. Il y a un piège.