Dans l'ombre se cache un ballet criminel sophisitiqué où les escrocs manipulent leurs victimes via de vraies « mules financières ». Ce que l'on appelle la fraude au paiement push autorisé a explosé pas très loin de la France.
Imaginez un système où l'arnaqué verse volontairement son argent à celui qui le dépouille. Bienvenue dans l'univers de la fraude aux paiements push autorisés (APP), ce triangle infernal où la victime, manipulée à distance, effectue elle-même le virement fatal. Le rapport de LexisNexis Risk Solutions publié ce mardi 13 mai, dont Clubic a pu prendre connaissance, dissèque cette mécanique diabolique avec une précision clinique. Au cœur de ce dispositif : la « mule financière », ce personnage de l'ombre qui fait disparaître des fonds en quelques clics.
Les mules financières transforment quelques euros en un millier d'euros sans laisser de traces
Un peu comme dans un tour de magie financier, la fraude APP aussi appelée la fraude au virement bancaire, repose sur trois personnages essentiels. Vous avez le manipulateur virtuose, la victime consentante, et la mule anonyme. Cette dernière est d'ailleurs le véritable couteau suisse de l'arnaque, puisqu'elle est capable de faire s'évaporer les économies d'une vie en quelques minutes.
Les données de LexisNexis nous en apprennent plus sur la méthodologie chirurgicale des mules. Sur trois mois d'observation, une seule d'entre elles a ouvert cinq comptes différents, deux chez des cryptomonnaies et trois dans des banques traditionnelles. La stratégie ? De microscopiques transferts au début (quelques euros), avant une montée progressive jusqu'à des sommes conséquentes plus conséquentes, supérieures à 1 000 euros parfois.
Le plus fascinant reste la vigilance de prédateur de ces individus. Dans le détail, une mule se connecte frénétiquement pour surveiller l'arrivée des fonds, puis réagit avec la rapidité d'un trader de Wall Street. Dans un cas documenté, chaque dépôt était systématiquement vidé dans les minutes suivantes, avec 50 livres sterling déposés et 48 livres retirés aussitôt, comme un robinet qu'on ouvre et qu'on ferme avec précision.
Des réseaux de mules financières qui ont détourné des sommes colossales
Ces cybercriminels tissent leur toile telle une multinationale. Le Royaume-Uni, premier pays touché par cette épidémie numérique, a vu les mouvements d'argent via ces mules augmenter de 65% en un an, ce qui confirme les soupçons d'un ballet financier macabre à plus de 130 millions de livres sterling.
L'étude révèle aussi la structure quasi-militaire de ces organisations. Comptez 15 mules en moyenne par réseau, utilisant 3,4 banques différentes pour jongler avec l'argent volé. Le record détecté reste un réseau tentaculaire de 543 mules interconnectées, une pieuvre financière capable d'avaler et de digérer instantanément les économies de centaines de victimes.
Ce qui rend la traque si complexe, c'est la capacité des mules à traverser les frontières numériques en un clin d'œil. Les visualisations du rapport montrent comment l'argent rebondit d'un continent à l'autre. Il passe souvent, et hélas, par des échanges de cryptomonnaies qui agissent comme parfaits effaceurs de traces. Une fois l'argent converti en bitcoin puis reconverti ailleurs, la piste devient pratiquement invisible.
L'intelligence artificielle, nouveau bouclier contre les mules financières ?
Contre cette menace polymorphe, les institutions financières déploient désormais l'artillerie lourde. L'intelligence artificielle, jadis fantasme de science-fiction, devient leur meilleure alliée pour détecter l'imperceptible, c'est-à-dire ces connexions rapprochées ou ces schémas de retrait suspicieusement synchronisés après chaque dépôt.
La détection comportementale fait des miracles. Dans un cas étudié, un système bancaire n'avait initialement bloqué aucun bot malveillant. Après trois tours d'optimisation par intelligence artificielle, le taux de capture a atteint 92,3%, puis le score parfait de 100%. Un gain phénoménal qui sauve potentiellement des millions en pertes.
Le Royaume-Uni a également innové d'un point de vue réglementaire avec son modèle de responsabilité partagée 50/50 entre banques émettrices et réceptrices. Cette approche a semble-t-il encouragé les institutions à repenser leurs filtres anti-fraude.
Pendant ce temps, l'Europe reste en attente de la finalisation de PSD3, sa révision réglementaire qui devrait apporter plus de clarté dans la lutte contre ces fraudes sophistiquées. La cybersécurité entre dans l'ère de la contre-attaque intelligente, et même avec une amélioration spectaculaire de 70% dans l'identification des paiements suspects, le danger reste omniprésent.
