dimanche, avril 28, 2024

ThePressFree

Blog d'actualité

Finances 

Anatomie d’un piratage de fonds spéculatifs

ThePressFree Aucun commentaire


Ce n’est que lorsque John a passé un dernier appel téléphonique pour confirmer le transfert d’environ 10 millions d’euros à sa fiducie familiale qu’il s’est rendu compte qu’il était sur le point d’être victime d’une arnaque financière très sophistiquée.

Un fraudeur avait passé deux mois à se faire passer pour l’un des associés commerciaux de John afin de gagner sa confiance et de l’amener à détourner un remboursement de prêt standard vers un autre compte bancaire.

Ayant obtenu des e-mails via un piratage antérieur d’une société de services financiers au Liechtenstein, ils ont étudié les habitudes et le style de conversation de l’associé commercial de John, puis l’ont imité par e-mail.

John, un investisseur privé basé à Londres qui investit l’argent de sa famille et qui travaille régulièrement avec un certain nombre de petites sociétés financières à travers l’Europe, a déclaré que la fraude avait été contrecarrée à la onzième heure « purement par chance ».

Le Financial Times a rassemblé les détails sur le déroulement de l’attaque contre John et sur la façon dont une attaque de phishing distincte a finalement forcé la liquidation du principal fonds spéculatif géré par Levitas Capital, une société basée à Sydney avec 75 millions de dollars d’actifs sous gestion.

La complexité des deux escroqueries, ainsi que le temps et l’argent que les fraudeurs étaient prêts à investir, mettent en évidence la menace à laquelle sont maintenant confrontées les petites entreprises de services financiers telles que les fonds spéculatifs, les courtiers et les administrateurs, ainsi que les family offices et les personnes fortunées. Souvent, les pirates informatiques qui obtiennent des informations précieuses en attaquant une entreprise financière vendent les données volées sur le dark web à des groupes criminels expérimentés dans l’utilisation de ces données pour des fraudes.

Les grandes banques sont des cibles attrayantes pour les pirates informatiques, mais les millions de livres qu’elles dépensent chaque année pour la cybersécurité les rendent difficiles à pirater. Les fonds spéculatifs plus petits peuvent être des cibles plus attrayantes car ils gèrent de grosses sommes d’argent mais ne dépensent que des dizaines de milliers de livres pour se protéger, selon la société de cybersécurité Remora. L’éventail de sociétés tierces utilisées par les hedge funds, par exemple les fiduciaires, les administrateurs et les auditeurs, augmente le nombre de maillons faibles potentiels de la chaîne que les pirates peuvent cibler, et leurs mandants sont souvent plus visibles et plus faciles à cibler.

Les données sur les attaques sont fragmentaires, en partie parce que les entreprises ne sont souvent pas disposées à admettre qu’elles sont tombées dans une escroquerie. Selon un rapport de 2019 du Boston Consulting Group, les sociétés de financement sont 300 fois plus susceptibles que les autres entreprises d’être ciblées par une cyberattaque.

«Les fonds spéculatifs et les family offices ne dépensent pas suffisamment [on cyber security] c’est pourquoi ce sont des cibles », a déclaré Alex Mendez, co-fondateur de Remora. «Les hedge funds sont plus vulnérables car les principaux au sein des hedge funds sont plus visibles et plus faciles à cibler.»

L’été dernier, la US Securities Exchange Commission a mis en garde contre des attaques de plus en plus sophistiquées de ransomwares contre les courtiers, les conseillers en investissement et les sociétés d’investissement, ainsi que leurs fournisseurs de services. En septembre, il a averti que les pirates utilisaient des noms d’utilisateur, des adresses e-mail et des mots de passe obtenus sur le dark web pour essayer de se connecter aux sites Web des entreprises et d’accéder aux comptes.

Les entreprises britanniques attaquées

«Il y a une inquiétude importante [about cyber risks] dans le monde des hedge funds. Cela devient de plus en plus dangereux, l’impact pourrait être catastrophique », a déclaré Nicholas Wells, directeur général du recruteur Quantum Chase.

«Les pirates informatiques n’ont peut-être rien volé, mais en portant atteinte à la réputation de l’entreprise [they damage the firm]. »

Comment le hack s’est déroulé

John, l’investisseur privé, a demandé au FT de ne pas utiliser son vrai nom. Il a été initialement contacté par le fraudeur, se faisant passer pour le syndic, au début de février de l’année dernière dans un e-mail d’apparence authentique. Le fraudeur avait même utilisé la même salutation d’Europe centrale, «Servus!», Que le véritable fiduciaire utilise. La seule différence, presque imperceptible, était une modification du suffixe de courrier électronique de l’expéditeur, ce qui signifie qu’il provenait d’une source entièrement différente.

L’e-mail mentionnait un remboursement de prêt régulier que John devait effectuer à la fin du mois de mars et posait quelques questions sur le calendrier, la devise et le compte à utiliser.

«Je n’avais aucune idée que ce n’était pas le vrai [trustee]», A déclaré John, qui a répondu cordialement à l’e-mail et a déclaré qu’il effectuerait le paiement.

Plusieurs jours plus tard, l’escroc a de nouveau envoyé un e-mail, cette fois se faisant passer pour les avocats de John au Moyen-Orient. Au total, près de 30 courriels ont été échangés en quelques mois. Dans certains cas, ils ont posé des questions sur la collection d’art de John ou laissé tomber des informations personnelles, telles que le nom de l’hôtel dans lequel le véritable fiduciaire séjournait habituellement lors de sa visite à Vienne.

Dans un e-mail, John a interrogé le faux fiduciaire sur le taux d’intérêt sur le remboursement du prêt. Le fraudeur, qui avait déjà obtenu une copie du calendrier de prêt, a admis l’erreur en quelques minutes et a envoyé une version corrigée de la feuille de calcul du prêt.

« Rien [of the interactions] a éveillé mes soupçons de quelque manière que ce soit », a déclaré John.

En fait, les pirates avaient déjà obtenu des courriels de l’administrateur de fonds Caiac Fund Management, basé au Liechtenstein, qui, selon John, les a aidés à se faire passer pour le véritable fiduciaire. Un porte-parole de Caiac a déclaré que «des pirates ont intercepté des courriers électroniques et ont tenté en vain d’utiliser les informations obtenues sur un produit spécifique pour déclencher des paiements». Il a refusé de commenter des cas individuels, mais a déclaré qu’il informait les parties prenantes concernées en cas de violation de données.

Début avril, John a donné le feu vert à sa banque pour effectuer le paiement. Il a appelé le véritable fiduciaire, puis un numéro de téléphone britannique fourni par l’escroc, mais aucun des deux n’a décroché. Ce n’est que lorsque le véritable fiduciaire a rappelé 45 minutes plus tard et a été déconcerté par les questions de John que John a réalisé ce qui se passait. Il a rapidement appelé sa banque, qui n’avait pas effectué le paiement car elle avait besoin de vérifier le taux de change.

John s’est rendu à l’unité de cybercriminalité de la police métropolitaine, qui a repéré une rare opportunité d’enquêter sur une tentative de fraude toujours en cours et où le fraudeur ignorait qu’elle avait été déjouée. Ils ont demandé à John d’organiser une réunion sur la place Berkeley à Mayfair sous prétexte de signer des documents de routine. Un policier infiltré irait à la place de John.

Mais à la dernière minute, l’escroc a annulé, alors John lui a demandé une adresse à laquelle envoyer les documents. L’adresse donnée était sur un domaine du conseil de l’est de Londres et était connue de la police pour ses activités criminelles antérieures. La police a décidé de ne pas y faire une descente, pensant qu’elle n’y trouverait qu’un mulet.

John a contacté la police du Liechtenstein et a déclaré qu’Europol avait été informé. Il n’est pas au courant des progrès supplémentaires sur l’affaire, qui, selon lui, a été entravée par les verrouillages de Covid-19. La police métropolitaine a refusé de commenter.

Une fausse invitation Zoom

La police s’est également impliquée dans le cas de Levitas, basé à Sydney, où de l’argent a été transféré aux criminels.

En septembre de l’année dernière, le co-fondateur Michael Fagan a cliqué sur une invitation Zoom à l’apparence anodine mais fausse qui a permis à un pirate informatique d’infiltrer les systèmes de Levitas et d’utiliser le courrier électronique de Fagan. Le pirate a ensuite envoyé de fausses instructions de paiement à l’administrateur Apex Fund Services.

Apex a essayé d’appeler Fagan pour vérifier le paiement mais n’a pas pu le joindre. Cependant, après avoir reçu la confirmation de l’e-mail de Fagan – envoyé par le pirate informatique – Apex a envoyé une instruction au fiduciaire AET Corporate Trust de payer un avis de «  capital call  » pour 1,2 million de dollars australiens (936250 USD) à une société appelée Unique Star Trading, a déclaré le PDG de Levitas. Michael Brookes.

Fagan a finalement découvert l’arnaque par accident en vérifiant le compte bancaire de Levitas près de deux semaines après l’attaque de phishing. Un autre 2,5 millions de dollars australiens avait été versé et un autre 5 millions de dollars australiens avait été approuvé pour le transfert. Fagan a rapidement arrêté les paiements et a pu récupérer la majeure partie de l’argent.

Néanmoins, environ 600 000 dollars australiens avaient été volés, selon Brookes. S’il avait été découvert quelques jours plus tard, la perte aurait pu être de 8,7 millions de dollars australiens, a-t-il déclaré. Le piratage a conduit Australian Catholic Super, le plus gros client de Levitas, à retirer son argent, et le fonds est en cours de liquidation.

Apex a refusé de commenter. Australian Catholic Super a déclaré avoir récupéré l’intégralité de son investissement dans le fonds Levitas. La police de la Nouvelle-Galles du Sud a déclaré que son enquête était en cours, mais a refusé de commenter davantage. Certane, qui possède les activités de fiducie d’entreprise d’AET, a déclaré qu’elle coopérait avec les autorités et que son système «Pay» pour le traitement des instructions des clients n’était pas compromis.

Brookes a déclaré que les instructions de paiement auraient dû éveiller les soupçons du fiduciaire et de l’administrateur.

«C’est pourquoi la structure est mise en place comme telle, de sorte que quelqu’un le prenne en charge», a-t-il déclaré. «C’est dévastateur.»

Laisser un commentaire