Un cas concret de fraude au changement de RIB

Récemment, nous avons été confronté à une tentative de fraude particulièrement discrète, mais potentiellement lourde de conséquences : une interception de facture envoyée par email, avec remplacement frauduleux du RIB. L’objectif de cet article est de partager ce qui s’est passé, comment nous avons réagi, ce qui a fonctionné ou non, et surtout comment s’en protéger.

L’alerte venue d’un client

Tout a commencé lorsqu’une cliente nous contacte pour signaler un problème lors d’un virement bancaire. Le RIB que nous lui avions précédemment transmis ne fonctionnait pas. Lorsqu’elle nous dicte les coordonnées qu’elle a enregistrées, nous découvrons qu’il s’agit d’un RIB totalement différent de celui que nous avons effectivement envoyé.

Première alerte : l’adresse email utilisée comme expéditeur du mail contenant la facture n’était pas la nôtre. L’escroc avait imité le nom d’affichage, mais l’adresse était une fausse, avec un domaine générique type Gmail. C’est une technique classique, appelée spoofing.

L’analyse de la fraude : pourquoi c’est passé inaperçu

Ce qui a rendu cette attaque crédible, c’est qu’elle est intervenue peu de temps après un changement réel de RIB et de banque. Nous avions en effet transmis notre nouveau RIB légitime à l’ensemble de nos clients. L’escroc a profité de ce contexte pour insérer un RIB frauduleux dans une copie modifiée de notre facture.

Le compte frauduleux était domicilié chez FLOA Bank, une banque en ligne connue pour sa rapidité d’ouverture de comptes. Cela complique la traçabilité, mais pas l’enquête si une plainte est déposée rapidement.

Actions immédiates mises en place

Nous avons d’abord vérifié notre propre messagerie pour nous assurer qu’aucun piratage n’avait eu lieu de notre côté. Tout était en ordre : l’envoi à notre cliente avait bien été fait depuis notre adresse officielle.

C’est donc du côté de la messagerie du client que la compromission semble avoir eu lieu. Cela peut se produire par différents moyens : mot de passe faible, absence de double authentification, appareil infecté, ou configuration de redirection frauduleuse dans les paramètres du webmail.

Nous avons ensuite rédigé une description précise des faits et déposé un signalement sur le portail PHAROS (www.internet-signalement.gouv.fr).

Ce qui a fonctionné et ce qui peut être amélioré

Le premier point positif : la cliente a pris l’initiative de nous appeler avant de relancer le virement. Sans cet appel, la somme aurait pu être perdue.

Ce qui doit clairement être amélioré :

• Ne plus transmettre de RIB en clair par email
• Ne plus s’appuyer uniquement sur le nom affiché dans les emails
• Mettre en place un moyen de transmission plus sûr (PDF protégé, lien à usage unique, portail client)

Conseils pour se prémunir de ce type d’attaque

• Toujours vérifier l’adresse complète de l’expéditeur (pas seulement le nom affiché)
• Appeler le prestataire ou fournisseur en cas de doute sur un changement de RIB
• Ne jamais transmettre ou traiter un changement de coordonnées bancaires sans vérification directe
• Activer la double authentification sur toutes les messageries utilisées à des fins professionnelles

Si vous avez le moindre doute sur un email, un virement ou un document reçu, n’hésitez pas à nous contacter. Nous pourrons vous aider à vérifier la validité d’un message ou vous guider dans les bonnes pratiques.

Conclusion : rester vigilant, même dans les échanges quotidiens

La fraude au virement ne vise pas uniquement les grosses structures. Elle s’appuie sur la confiance, l’habitude, et de petits moments d’inattention. En partageant cette expérience, nous espérons éviter que d’autres ne tombent dans le piège.

Si vous avez déjà été confronté à une situation similaire, ou si vous souhaitez mettre en place des systèmes plus sûrs pour vos facturations, nous pouvons vous accompagner.