Comment un client a failli se faire escroquer ! et comment j'ai identifié l'arnaque !
Un client a reçu via le formulaire de contact 📝 de son site un message d’une société lui demandant s’il pouvait lui fournir des ordinateurs pour un nouveau pôle de service d’accompagnement et de conseils pour leurs clients.
Dans le formulaire, il y a bien le nom du demandeur (D.), son adresse mail, le nom de la société (Sté S.) et un numéro de téléphone fixe ☎️.
Mon client a appelé D. qui était en réunion et lui a demandé d’envoyer un mail pour avoir en retour plus de précisions sur le besoin de Sté S.
En retour de mail 📧, le besoin est pour 90 portables 💻 de marques Acer, Asus, Lenovo ou HP entre 15 et 17 pouces, Intel i7, 16 Go de RAM, SSD de 512 ou 1 To et pour un budget de 1600 € TTC par machine, soit 144 000 € au total.
Le mail est signé par D., gérant, avec le logo de la société, et un numéro de mobile 📱.
C’est un volume inhabituel pour mon client et la demande est imprécise. Mon client ayant un doute, me demande d’analyser 🔎 le mail, et, s’il est authentique, me demande de gérer le dossier moyennant une commission en tant qu’apporteur d’affaires. Ce que j’accepte.
Je vérifie l’existence de la société (avec Infogreffe.fr), qui est bien réelle. C’est une SASU qui travaille dans le domaine de l’immobilier 🏗 avec un capital social de quelques millions d’euros, et dont le président est D. le contact de mon client.
✋ À ce stade je devrais comprendre tout de suite qu’il s’agit d’une arnaque : un président de SAS ne signe pas en disant qu’il est le gérant et ne fait pas directement ce genre de demande. Pourquoi ne pas indiquer des PC Dell et Toshiba ? Le besoin est confus on n’utilise pas un PC de 15 pouces de la même façon qu’un 17 pouces. Même chose pour le stockage : 512 Go ce n’est pas 1 To.
👨🏻💻 Je vais sur le site internet de Sté S. Il ressemble plus à un site d’une agence immobilière, mais l’adresse et le numéro de téléphone fixe sont conformes aux informations qu’avaient reçues mon client. Je me dis que c’est peut être une activité secondaire et qu’il n’ont pas besoin d’être sur le net pour leur activité principale.
Pour vérifier s’il s’agit d’une escroquerie je vérifie l’origine du mail (en affichant le code source du message) qui vient bien du nom de domaine de Sté S.
Je vérifie l’enregistrement du nom de domaine (avec who.is). Ce dernier est bien domicilié au siège de Sté S.
Il y a cohérence entre le nom de Sté S., le nom de domaine qui est enregistré au siège et l’origine du mail. Cela semble donc authentique, ce que j’indique à mon client devenu apporteur d’affaires.
J’appelle D. pour lui signaler que je suis mandaté pour lui livrer sa commande 📦. Je lui demande s’ils ont un service informatique et comment ils ont connu mon client.
Pas de service IT, ils font appel à un prestataire. Ils l’ont connu via un site d’annuaire d’entreprises 🗃 qui dit qu’il est bien noté et très réactif.
Après vérification, il s’avère que mon client n’est pas référencé sur le site en question.
Une raison de plus pour tout laisser tomber.
Pourquoi ne pas passer par leur prestataire ? Peut-être pour les challenger et obtenir un meilleur tarif ?
🤑 Mais voilà, l’appât du gain, plus la cohérence entre l’origine du mail et l’entreprise me font penser que ce ne peut pas être une arnaque.
Je trouve un fournisseur qui propose un prix intéressant : 90000 € TTC. Je fais un devis pour D. très en dessous du budget annoncé, en me conservant une marge, plus la commission pour mon apporteur d’affaires. D. retourne le devis signé, dans les 48h, avec le tampon de Sté S.
Le fournisseur de PC exige d’être payé à la commande et refuse le paiement à 30 jours et même le paiement de 60 % à la commande et 40 % à la livraison.
J’ai appelé D. pour qu’il paie à la commande. Sa réponse est que dans leurs procédures internes les règlements sont à 15 jours après la livraison. Cela ne me choque, pas j’ai travaillé avec des entreprises qui payaient à 60 jours, donc 15, ce n’est pas si mal.
💶 N’ayant pas la trésorerie nécessaire, je cherche un financement et trouve une solution.
🚛 Entre temps je demande une adresse de livraison, un contact, et précise que je serai présent à la livraison pour vérifier que tout est conforme. J’obtiens une adresse d’un de leurs dépôts (pas assez de place au siège), un contact avec un numéro de mobile et un accord pour ma présence à la livraison.
👀 Je regarde à quoi ressemble l’adresse (avec Google Street View). C’est un peu la zone, où l’on peut entreposer du matériel de construction. Je ne vois pas le nom de Sté S. sur aucun support, mais je n’en tiens pas compte. J’aurais dû me poser la question de pourquoi ne pas faire livrer directement le matériel chez leur prestataire qui devra finaliser la configuration des PC. 🤑 Mais l’appât du gain prend le dessus.
📅 J’informe D. d’un délai de plus de 15 jours compte tenu du temps nécessaire à la mise en place du financement et du délai du fournisseur de PC.
✍️ Je valide la commande auprès du fournisseur de PC qui ne la débloquera qu’à réception de l’argent sur leur compte.
🤝 Alors que j’étais à la banque pour finaliser le financement et procéder au virement, je reçois un mail indiquant un changement du lieu de livraison car les logisticiens de Sté S. n’allaient travailler exclusivement que sur un deuxième dépôt pour les 2 prochaines semaines.
Après être sorti de la banque, l’ordre de virement n’a pas été fait, il y avait encore des détails à finaliser. J’ai appelé D. pour savoir si les 2 semaines étaient fermes, il me répond que cela pourrait être 3 semaines.
🧠 Réflexion autorisée !
Changement de lieu de livraison, une souplesse soudaine sur les délais, un président que j’arrive à joindre presque à chaque fois, font ressurgir les doutes que nous avions au début.
Comment j’ai pu réaliser, au-delà des incohérences que je ne voulais pas prendre en compte, qu’il s’agissait d’une arnaque ?
🤔 Parce que pour vous qui me lisez, tel que c’est décrit ci-dessus, cela semble évident. Mais je ne me suis attaché qu’aux signaux forts : la totale cohérence entre Sté. S., le nom de domaine qui correspond et l’origine du mail. Pour un informaticien cela suffit pour authentifier l’origine de la demande.
Je suis retourné voir l’enregistrement du nom de domaine et j’ai découvert qu’il avait été déposé il y a seulement 1 mois, alors que Sté S. a 3 ans. En règle générale, le nom de domaine est réservé avant la création de la société.
Le numéro de téléphone mobile fourni pour l’enregistrement est celui de mon contact. Un président d’une grosse société, ne s’occupe pas des enregistrements de noms de domaine.
🕵🏻♂️ Je retourne sur le site de Sté. S. Je ne trouve pas les mentions légales. Je prends une photo d’une annonce au hasard et fais une recherche sur Google à partir de cette photo. Et là, j’arrive sur le site d’une agence immobilière qui y ressemble parfaitement. Le logo de Sté S. est la copie, au nom près, de celui de l’agence immobilière. Le site de Sté S. est donc une copie partielle de celui de l’agence immobilière.
A partir de ces éléments, que je n’avais pas détecté au début, je n’avais plus aucun doute sur l’insincérité de D. et sur le fait qu’il s’agissait bien d’une arnaque 👿.
J’informe mon apporteur d’affaires, qui était déçu et rassuré à la fois. Puis, je demande à la banque de tout suspendre. De toutes façons, il leur manquait des documents.
Et je décide de porter plainte au commissariat dès le lendemain matin afin de mettre fin aux agissements des fraudeurs et d’éviter que d’autres ne se fassent avoir.
👉 J’ai trouvé que l’arnaque était très sophistiquée : repérer une société avec un certain capital social dont le nom de domaine n’a pas été réservé, et pouvoir ainsi se faire passer pour elle, nécessite une certaine organisation, et une véritable envie de nuire.
NB : J’ai une totale confiance dans mon client/apporteur d’affaires. Je précise cela dans l’hypothèse où certains lecteurs pourraient penser qu’il puisse être complice.
Épilogue
Avant de me rendre au commissariat, je reçois un SMS d’un numéro de mobile inconnu me demandant où j’en étais de l’obtention du crédit. La personne ne s’est même pas présentée. Le doute sur l’arnaque n’était plus permis. Je ne réponds pas au SMS et demanderai conseil aux policiers sur la conduite à tenir.
J’imprime tous les éléments en ma possession : échanges de mails, SMS, copies des sites web, enregistrement DNS, devis signé etc.
🚓 Je me rends au commissariat et relate les faits. La cellule anti-fraude vient prendre connaissances de ma déposition. Elle me fait savoir que les lieux de livraisons (Nord du 94) sont dans une zone où il y a beaucoup de trafic, et que si je m’étais rendu sur place, j’aurais pu être accueillis par des personnes cagoulées et armées.
Les policiers allaient se renseigner sur ce qu’ils pouvaient faire et devaient me recontacter pour m’indiquer la conduite à tenir.
De retour au bureau, je contacte mon fournisseur de PC et annule la commande, ce que je pouvais toujours faire tant que les PC n’étaient pas expédiés.
❌ En fin de journée, les policiers me recontactent, me signalant qu’ils ne pouvaient rien faire.
J’informe alors D. par mail que le financement n’a pas été obtenu et que leur commande ne peut pas être honorée. J’ai eu un retour compréhensif et courtois.
👋 Attendez, ce n’est pas fini
2 jours plus tard je reçois un téléphone d’un lieutenant de police me disant que mon numéro avait été appelé depuis un mobile qu’ils surveillent et que j’étais probablement victime d’une tentative d’arnaque. S’ensuit un échange constructif où je lui fournis tous les documents en réponse à son mail (j’ai vérifié l’authenticité du message). Ce policier suivait l’escroc, ou le groupe, et avait déjà tous les éléments que j’avais découvert et plus encore.
Cela m’a rassuré sur le fait que la police était active et en mesure de pouvoir faire quelque chose. D’après ce que j’ai compris, au moins une entreprise s’est faite avoir par cette arnaque, avant que la police ne puisse l’informer.
⚖️ 2 mois plus tard je reçois du Tribunal Judiciaire un avis de classement m’informant que les poursuites pénales ne seront pas engagées au motif que l’enquête n’a pas permis d’identifier la ou les personnes ayant commis l’infraction.
👉 Ce qu’il faut retenir
Soyez vigilants, le nombre d’arnaques par internet est en très forte hausse et les escroqueries de plus en plus sophistiquées.
Dans cet article, j’ai mis l’accent sur tous les signaux que j’aurai dû prendre en compte. Donc dès la moindre incohérence, il faut rechercher les autres invraisemblances et ne pas hésiter à laisser passer une opportunité.
Exigez d’être payé à la commande en faisant attention, avec votre banque, à l’origine des fonds.
Vérifiez l’adresse mail de l’émetteur, la qualité de la rédaction et l’orthographe.
Vérifiez l’enregistrement du nom de domaine sur le site de l’Afnic.fr (pour les .fr) et celui de who.is (pour les autres).
Vérifiez les informations sur la société sur le site d’Infogreffe ou société.com.
Vérifiez les adresses reçues avec Google Street View.
Vérifiez le site web et les mentions légales.
Que vous soyez une entreprise ou un particulier, si vous pensez être victime d’une escroquerie, vous pouvez contacter Info Escroqueries au 0 805 805 817. Ou allez sur https://www.internet-signalement.gouv.fr/PharosS1/
Vous pouvez aussi signaler un problème sur le site cybermalveillance.gouv.fr
Vous pensez être victime d’une cyberattaque, utilisez l’outil de diagnostic en ligne en bas à droite de cet article ou sur le site de cybermalveillance.gouv.fr.
Vous souhaitez en savoir plus sur les offres de cybersécurité de Solucium ?
C’est ici.
Vous avez des questions à propos de la sécurité de votre informatique ?