Des cybercriminels usurpent l'identité légale de sociétés financières pour créer de faux sites destinés à tromper clients et investisseurs. Orange Cyberdefense a repéré au moins 350 sites frauduleux de ce type. Tous ont été créés en moins d'un an par un seul individu.
Les fraudeurs se contentent de rechercher des données librement accessibles. Ils consultent des plateformes comme Pappers ou l'INPI pour trouver des sociétés spécialisées dans les services financiers sans site internet à leur nom. Ils récupèrent leur dénomination exacte et leur numéro SIREN - l'identifiant officiel à neuf chiffres attribué à toute entreprise française. Ils créent ensuite un site à ce nom et y affichent ces informations dans les mentions légales. Résultat : une façade "légale" prête à l'emploi pour arnaquer des clients ou soutirer les identifiants d'employés de la vraie entreprise.
Un écosystème de publication pour renforcer une fraude
Certaines opérations vont bien plus loin que la simple copie de nom. Eve Garinat, analyste en cybercriminalité, explique avoir identifié au moins deux faux sites se présentant comme la filiale immobilière d'une grande banque française, reprenant son identité visuelle et son logo. Mais la fraude ne s'arrête pas là. Car on ne donne pas son argent à n'importe quelle soit-disant filiale de groupe bancaire.
Pour crédibiliser l'imposture, le fraudeur a bâti tout un écosystème autour de cette structure fictive. Il a publié de faux articles sur une dizaine de blogs spécialisés dans l'immobilier, avec des titres du type "Notre Avis Complet sur la Filiale de Crédit Immobilier". Ces contenus détaillaient les liens supposés entre la filiale et la banque, les types de prêts disponibles, et multipliaient les faux avis positifs.
D'ailleurs, le fraudeur y est allé au culot puisque dans ses articles, il invitait même les victimes à consulter les registres sur Pappers ou l'INPI, ceux dont il s'était précisément servi pour usurper l'identité de l'entreprise. Chaque publication contenait un numéro de téléphone frauduleux et un lien vers le "site officiel" de la filiale. La victime se retrouve alors sur une page de phishing conçue pour capter les données bancaires des visiteurs.
Contrôler qu'une entreprise existe bel et bien dans les registres officiels n'est qu'une première étape. Encore faut-il s'assurer de consulter le site officiel et vérifier si la filiale en question y est bien listée. Même prudence côté articles : un blog, même bien référencé, ne garantit pas l'exactitude des informations publiées. Seuls les contenus issus d'organes de presse reconnus offrent ce niveau de fiabilité.
