Comment les cybercriminels blanchissent-ils l’argent volé aux banques ?

Avant que les escrocs ne puissent profiter de l’argent volé, les bénéfices issus de la cybercriminalité doivent faire quelques détours. Nous abordons les difficultés rencontrées.

Pour certains groupes de cybercriminels, les attaques dirigées aux banques et aux autres institutions financières ressemblent à une chaîne de montage. Beaucoup de personnes savent qu’il est généralement impossible de suivre les fonds volés mais toutes ne savent pas pourquoi. Un rapport conjoint de BAE Systems et des chercheurs du système de paiement SWIFT expliquent comment les cybercriminels blanchissent l’argent volé.

Source de l’argent et destination

Il existe deux scénarios d’attaque bancaire : contre l’infrastructure et les comptes, ou contre les distributeurs de billets automatiques et les systèmes associés. Les différentes techniques qui permettent d’extraire puis de blanchir l’argent sont légèrement différentes alors que leur essence et leur objectif sont les mêmes : remettre les fonds d’origine criminelle dans le système financier légitime.

Traditionnellement, le processus de blanchiment de capitaux se divise en trois étapes :

  • Placement : le premier virement du compte de la victime vers les comptes des escrocs, ou un dépôt d’argent en espèces (volé).
  • Empilage : une succession de transactions qui cherchent à dissimuler l’origine des fonds et l’identité du vrai propriétaire.
  • Intégration : investir l’argent désormais blanchi dans des affaires criminelles ou légales.

Nous pourrions consacrer tout un article à ce dernier stade, c’est-à-dire à la réintégration des fonds blanchis dans l’économie, donc nous n’allons pas entrer dans les détails. Pour réussir leur coup, l’attaque doit être minutieusement préparée longtemps avant que les fonds ne soient volés et les mécanismes de légalisation doivent être mis en place. Il s’agit donc d’une étape supplémentaire : la préparation.

Préparation

Pour permettre le déplacement rapide des fonds volés, les cybercriminels créent généralement plusieurs comptes qui appartiennent à des personnes ou à des entités juridiques. Il peut s’agir de victimes qui ne se doutent de rien et ont été piratées par des intrus, de personnes qui se sont laissé convaincre de participer à cette opération illégale ou de volontaires.

Ces derniers sont généralement connus comme les mules. Certains demandent aux mules d’ouvrir des comptes en utilisant de faux papiers, ou des documents volés. Cette opération est délicate et requiert la participation d’une personne qui travaille à la banque. Les agences de recrutement peuvent attirer les parties grâce à une description de poste qui joue avec les mots, comme « faciliter l’investissement des fonds » ou toute autre expression assez vague. Dans de nombreux cas, les mules savent parfaitement que leurs actions sont illégales mais elles sont aveuglées par la récompense finale. Pourtant, les  » complices  » sont souvent déçus au final.

Placement

Une fois que les cybercriminels ont transféré les capitaux volés sur un compte (grâce à un malware, l’ingénierie sociale ou un infiltré), les mules entrent en jeu et peuvent :

  • Déplacer les fonds vers d’autres comptes pour mettre les éventuels traqueurs sur une fausse piste.
  • Passer des commandes qui seront livrées chez elles ou à une autre adresse.
  • Retirer de l’argent en se rendant à un distributeur de billets automatique.

Pour attirer les mules malgré elles, une des tactiques utilisées consiste à les engager pour qu’elles travaillent pour une entreprise qui aide soi-disant les étrangers à acheter des biens dans des boutiques qui ne livrent pas à l’étranger ou encore à recevoir et renvoyer des paquets par courrier international. Ce genre de travail dure un à deux mois, jusqu’à ce que la police vienne frapper à leur porte.

Empilage

Lorsque les complices qui sont dans le coup reçoivent les objets ou l’argent, ils ont recours à des pratiques criminelles de longue date qui leur permettent de rendre leur butin légal. Par exemple, l’argent peut être échangé contre une monnaie librement convertible (en général des dollars), et les objets (souvent électroniques) sont directement vendus aux acheteurs ou dans des boutiques d’occasion. Bien sûr, les bureaux de change et les boutiques qui achètent les produits sont censés avoir des mécanismes qui leur permettent de détecter les transactions illégales, mais une simple négligence ou des complices peuvent permettre de les éviter. Enfin, une partie tierce vire l’argent aux organisateurs du plan.

Même si les mules peuvent être arrêtées et leur pourcentage saisi, le gros du produit et les têtes pensantes restent inconnus.

Ensuite, les escrocs utilisent des méthodes criminelles « classiques », comme l’acquisition de bijoux ou de métaux (ces entreprises préfèrent les paiements en espèces), ou achètent et vendent des jetons au casino pour blanchir l’argent en liquide.

Si les fonds restent non monétaires après plusieurs virements, alors le processus implique l’utilisation de sociétés écrans qui opèrent à l’international. Ces entreprises sont généralement situées dans des pays peu regardants en matière de transactions financières, ou dans des pays qui ont des lois qui garantissent la confidentialité des opérations bancaires. Quelques virements de plus (l’argent est divisé et converti en différentes devises) permettent de dissimuler l’origine des capitaux. Les sociétés ne sont pas forcément malhonnêtes mais sont plutôt des organisations dont l’activité est partiellement légale.

Les cryptomonnaies ont assez récemment rejoint la liste des outils de blanchiment d’argent. Ce système attire les cybercriminels parce que les utilisateurs n’ont pas à fournir de renseignements personnels pour réaliser une opération. Pourtant, l’utilisation des cryptomonnaies pour blanchir des fonds n’est pas la meilleure solution. Comme l’anonymat de l’utilisateur est lié à la transparence de la blockchain, il faut réaliser de nombreuses transactions pour pouvoir retirer les fonds. En 2018, par exemple, le groupe Lazarus a retiré 30 millions de dollars après avoir piraté un échange de cryptomonnaies puis effectué 68 virements en quatre jours entre les différents portefeuilles.

Conclusions pratiques

Comme nous pouvons le constater, les cybercriminels ont mis en place des techniques de blanchiment d’argent complexes qui se divisent en plusieurs étapes et qui leur permettent de jongler entre les comptes, les entreprises, les méthodes légales, les devises et les juridictions. Tout cela en quelques jours seulement et alors que certaines entreprises ne savent pas qu’elles ont été attaquées.

Les banques doivent donc prendre les choses en main et créer des infrastructures de cybersécurité qui minimisent la probabilité de piratage des systèmes financiers. Nous disposons d’une plateforme spécialement conçue pour les banques et autres institutions financières : Kaspersky Fraud Prevention. Non seulement elle analyse le comportement de l’utilisateur et surveille les transactions financières mais elle suit aussi les tentatives de blanchiment de l’argent volé via les institutions des utilisateurs. Vous pouvez obtenir plus de renseignements sur cette solution sur ce site.

Conseils