LEGALAUDIT
Cyber Coach

Fraude financière

Factures fausses et BEC : le virement détourné

Emails qui modifient l'IBAN d'une facture attendue. Perte moyenne UE par incident supérieure à 50 000 EUR.

9 min de lectureIntermédiaire

Drapeaux rouges à reconnaître

  • Changement d'IBAN annonce par email peu avant paiement
  • Domaine expéditeur presque identique (fournisseur.com vs fourni3seur.com)
  • Ton d'urgence : 'payez aujourd'hui, le destinataire est bloque'
  • Demande de ne pas appeler 'pour éviter des contrôles fiscaux'
  • PDF de facture graphiquement identique avec IBAN modifié
  • Demande de paiement partiel ou anticipe non convenu
  • Email arrivant peu après un thread legitime, en réponse à une vraie conversation
  • Règle de transfert suspecté sur la boite finance (signal d'account takeover)

Quoi faire maintenant

  • Procédure interne : tout changement d'IBAN se vérifié par appel au numéro déjà en carnet
  • Double signature obligatoire pour virements au-dessus d'un seuil
  • Vérifiez SPF/DKIM/DMARC du domaine expéditeur
  • Auditez les règles de transfert : les comptes compromis en cachent souvent
  • Outils de détection de domaine lookalike pour comparaison visuelle/phonetique
  • Si virement déjà parti : appelez immédiatement la banque pour rappel SWIFT

Cas réel

BEC sur PME textile, Prato 2025

Une PME textile attend un paiement de 92 000 EUR d'un client francais. Quelques jours avant l'échéance, la comptable du client recoit ce qui semble être un email du CEO italien avec PDF de facture mis à jour et nouvel IBAN 'suite à un changement de banque'.

Le paiement part vers un IBAN britannique tenu par une money mule recrutée en ligne. Les criminels avaient compromis commerciale@<entreprise>.it un mois plus tôt, lu les threads avec le client et choisi le bon moment. Ils utilisaient un domaine lookalike avec 'i' à la place de 'l'.

Mythos a analysé l'en-tête de l'email frauduleux : SPF fail, domaine enregistré 11 jours plus tôt, IP d'envoi sur VPS asiatique. L'analyse PDF a révélé même template avec métadonnées Adobe modifiées. Le dossier a permis le rappel SWIFT partiel et le blocage de 38 pourcent.

Ce que Mythos peut faire sur ce cas

  • Analyse en-tête email avec SPF/DKIM/DMARC et chaîne Received
  • Détection phonetique/visuelle de domaine lookalike
  • Extraction métadonnées du PDF (auteur, logiciel, horodatage, structuré)
  • Vérification IBAN : BIC, banque, pays, age du compte si possible
  • Dossier pour rappel SWIFT et plainte pénale

Prochaines étapes

Analyser facture et email avec MythosDiscuter du cas avec Mythos