Due diligence anti-corruption

Due diligence, FATCA, LOI SAPIN 2, UKBA

Due diligence anti-corruption

Mai 25, 2025 par Vipfinance 0 Commentaires #Due diligence anti-corruption, #enquête sur la corruption, #lutte contre la corruption

Étude de cas : Due diligence anti-corruption

Le challenge

Un groupe européen du secteur des énergies renouvelables nous a contactés pour une mission de due diligence anti-corruption.

Le partenaire local concerné intervenait dans la construction d’un parc éolien en Afrique de l’Ouest. Ce prestataire venait de remporter un appel d’offres public.

Toutefois, il bénéficiait d’un appui politique visible. Cette situation a éveillé des doutes chez le service conformité de notre client.

La région présente un contexte opaque en matière d’attribution des marchés publics. Les « commissions » y sont souvent tolérées.

Le client craignait donc un risque de corruption active ou passive, pouvant nuire à sa conformité réglementaire.

Il souhaitait se protéger des sanctions liées aux lois comme
Sapin II,
le FCPA ou
le UK Bribery Act.

Notre contribution

Nos analystes ont lancé une enquête OSINT approfondie. Ils ont étudié les médias locaux, les réseaux sociaux et les documents administratifs.

Nous avons aussi consulté plusieurs bases de données spécialisées en lutte anti-corruption. De plus, nous avons cartographié les relations d’affaires du prestataire.

L’analyse a montré que l’entreprise avait été fondée par un proche d’un conseiller ministériel influent dans la zone du projet.

En retraçant les sociétés liées et les marchés remportés, nous avons observé un schéma récurrent de favoritisme.

Plusieurs contrats publics avaient été attribués à des entités familiales. Très peu de concurrence réelle avait été constatée.

En croisant ces données avec les règles internes du client, nous avons mis en évidence un risque de corruption systémique.

Ce risque reposait notamment sur des liens d’influence non déclarés et des conflits d’intérêts potentiels.

 Résultats

Grâce à notre rapport, le client a pu prendre une décision fondée. L’appel d’offres a été suspendu sans attendre.

Une nouvelle procédure, plus stricte, a été lancée. Celle-ci incluait des critères renforcés en matière de conformité et d’intégrité.

Cette réaction rapide a permis au groupe de limiter les risques juridiques. Elle a aussi renforcé sa crédibilité auprès des investisseurs.

Vous souhaitez protéger votre entreprise contre les risques de corruption ? Découvrez nos services de
due diligence ou
contactez notre équipe en toute confidentialité.

Due diligence

Qu’est-ce que le KYC ? Définition, obligations, et solutions

Mai 24, 2025 par Vipfinance 0 Commentaires #conformité AML, #conformité CFT, #indentifier UBO, #KYB, #KYC, #KYP, #KYS

KYC (Know Your Customer) : Définition, obligations et solutions pour les entreprises

Qu’est-ce que le KYC ?

Qu’est-ce que le KYC ? Le KYC (Know Your Customer), ou « connaissance client », désigne l’ensemble des procédures mises en place par les entreprises pour vérifier l’identité de leurs clients, partenaires ou fournisseurs. Cette pratique est obligatoire dans de nombreux secteurs régulés, notamment la finance, l’assurance ou encore l’immobilier.

Le KYC permet de prévenir les risques de fraude, de blanchiment d’argent, de financement du terrorisme ou de corruption, en s’assurant que les individus ou entités avec lesquels une entreprise interagit sont bien identifiés et n’ont pas d’antécédents problématiques.

Objectifs du KYC

  • Lutter contre le blanchiment d’argent et le financement du terrorisme (conformité AML/CFT)
  • Prévenir la fraude documentaire et l’usurpation d’identité
  • Évaluer les risques liés à un client ou un partenaire (due diligence)
  • Garantir la conformité réglementaire aux normes européennes et internationales
  • Améliorer la transparence dans les relations d’affaires

Cadre légal et obligations réglementaires

Le KYC s’inscrit dans un cadre juridique strict, renforcé par plusieurs directives européennes, dont la 5e directive anti-blanchiment (5AMLD). Les entités soumises à ces obligations doivent notamment :

  • Vérifier l’identité des clients avant toute relation d’affaires
  • Identifier le bénéficiaire effectif (UBO – Ultimate Beneficial Owner)
  • Mettre à jour régulièrement les informations collectées
  • Évaluer le niveau de risque de chaque client
  • Conserver les données pendant au moins 5 ans

Ces obligations concernent principalement les banques, notaires, avocats, experts-comptables, agents immobiliers, prestataires de services financiers ou de cryptomonnaies, mais aussi de plus en plus d’acteurs du B2B.

Qui est concerné par le KYC ?

Au Luxembourg et en Europe, les obligations KYC s’appliquent à toute entreprise soumise aux lois sur la lutte contre le blanchiment de capitaux. Sont concernées :

  • Banques et institutions financières
  • Assureurs et courtiers
  • Agents immobiliers
  • Cabinets d’avocats ou notaires
  • Prestataires de services numériques ou en cryptomonnaies
  • Fournisseurs dans les chaînes d’approvisionnement critiques
  • Sociétés de gestion de fonds et family offices

Mais au-delà de l’obligation légale, de nombreuses entreprises B2B choisissent d’intégrer un processus KYC dans leurs démarches de due diligence, afin de sécuriser leurs partenariats commerciaux.

Les étapes d’un processus KYC complet

  1. Collecte de données : pièce d’identité, justificatif de domicile, extrait Kbis, statuts de société, etc.
  2. Vérification d’identité : comparaison des documents à des bases de données officielles, détection de fraudes documentaires, reconnaissance faciale.
  3. Identification du bénéficiaire effectif (UBO) : analyse des structures capitalistiques et recherche des véritables propriétaires.
  4. Évaluation du risque : selon le secteur, la provenance géographique, les activités du client, ou ses antécédents judiciaires.
  5. Surveillance continue : mise à jour régulière des données et alertes en cas de changement.

KYC vs KYB : Quelle différence ?

KYC (Know Your Customer) s’applique aux personnes physiques (clients, investisseurs…).
KYB (Know Your Business) est la déclinaison dédiée aux personnes morales, visant à vérifier l’existence, la structure, l’objet et les bénéficiaires d’une entreprise.

Les deux sont souvent complémentaires dans une stratégie de due diligence moderne.

Intégrer le KYC dans votre entreprise

Avec la multiplication des fraudes, des sanctions économiques et des obligations réglementaires, intégrer le KYC est devenu un impératif stratégique.

La mise en place d’un dispositif KYC peut être chronophage sans accompagnement adapté. C’est pourquoi
duediligence.lu propose des solutions personnalisées pour :

  • Effectuer des vérifications d’identité et de conformité rapides
  • Contrôler les bénéficiaires effectifs et les personnes politiquement exposées (PEP)
  • Analyser les structures complexes ou internationales
  • Surveiller vos relations d’affaires dans le temps

Nous combinons investigation humaine, outils d’OSINT, analyse documentaire et accès à des bases de données internationales pour vous fournir une image complète et fiable de vos partenaires ou clients.

Les avantages d’un bon processus KYC

  • Réduction du risque de fraude
  • Conformité aux lois AML/CFT
  • Amélioration de la réputation et de la crédibilité
  • Prévention des sanctions financières ou pénales
  • Décisions commerciales éclairées grâce à une due diligence approfondie

Pourquoi choisir duediligence.lu ?

  • 🔎 Une expertise humaine en investigations financières et juridiques
  • 🌍 Un accès à des registres internationaux et à des sources OSINT avancées
  • 💼 Des rapports clairs, exploitables, utilisables dans un cadre légal ou pour des décisions stratégiques
  • ⏱️ Une réactivité et une confidentialité totale, dans le respect du RGPD

Besoin d’un audit KYC ou d’un accompagnement ?

Ne prenez aucun risque dans vos relations d’affaires. Contactez nous savoir : Qu’est-ce le KYC …
duediligence.lu pour mettre en place un
dispositif KYC efficace et conforme à la réglementation.

📧 mail@dplintelligence.lu
🌐 www.duediligence.lu
📍 Luxembourg – International

Due diligence

Risque réputationnel lié à des individus : Anticiper l’exposition

Mai 24, 2025 par Vipfinance 0 Commentaires #enquête de réputation, #risque de réputation, #Risque de réputation d'affaires, #risque réputationnel

Risque réputationnel lié à des individus : Anticiper l’exposition

Étude de cas – Investigation ciblée en contexte sensible

🔎 Contexte

Risque réputationnel lié à des individus … Une entreprise du secteur de l’énergie, en pleine phase d’expansion internationale, nous a sollicités pour évaluer les risques réputationnels associés à l’un de ses nouveaux dirigeants récemment recruté via cooptation.

Des signaux faibles — articles de presse ambigus, alertes internes anonymes, antécédents peu clairs — faisaient peser un doute sur l’intégrité et la trajectoire passée de cet individu.

L’enjeu : protéger la réputation de l’entreprise en s’assurant qu’aucune information compromettante ne puisse affecter sa crédibilité auprès des investisseurs, des partenaires stratégiques ou des régulateurs.

🧠 Notre intervention

Nous avons mis en œuvre une investigation discrète et approfondie axée sur la personne ciblée, élargie aux cercles de proximité et entités associées.

📌 Identification des zones de risque

  • Analyse des activités passées et actuelles (mandats, sociétés, participations)
  • Recherches dans la presse internationale, blogs spécialisés et forums
  • Surveillance des réseaux sociaux et présence en ligne
  • Vérification des liens avec PEP, individus sanctionnés ou entités offshore

🧭 Évaluation de l’exposition réputationnelle

  • Risque juridique : poursuites passées ou en cours
  • Risque éthique : conflits d’intérêts, comportement douteux
  • Risque d’image : controverses médiatiques, perception négative persistante

🌍 Enquête multi-juridictionnelle

Face à certaines incohérences dans le parcours déclaré, nous avons élargi l’enquête à plusieurs pays (Europe, Afrique du Nord, Amérique latine) pour accéder à des registres peu exploités par les outils standards.

📊 Résultats

  • Révélation d’activités opaques non déclarées via sociétés écrans
  • Mise au jour de liens indirects avec des individus sanctionnés
  • Évaluation du niveau de risque réputationnel élevé
  • Recommandations : rupture contractuelle, communication interne, surveillance renforcée

💡 Valeur ajoutée

  • Anticipation : évitement d’un scandale médiatique majeur
  • Discrétion absolue : confidentialité totale garantie
  • Analyse humaine experte : intelligence contextuelle au-delà des bases de données

✅ Protégez votre réputation dès les premiers signaux faibles

Un doute sur un profil ? Un soupçon d’incohérence ou une présence médiatique floue ? Avant qu’il ne soit trop tard, faites appel à nos experts.

Notre équipe vous accompagne en toute discrétion dans vos démarches de vérification ciblée.

🔐 Demander une évaluation confidentielle

Article rédigé par nos experts en renseignement stratégique et due diligence de réputation.
Due diligence

Comment interpréter un rating pays ?

Mai 24, 2025 par Vipfinance 0 Commentaires

Comprendre la notation souveraine : Un indicateur clé du risque pays

Comment interpréter un rating pays ? La notation financière d’un État, également appelée notation souveraine, est un indicateur essentiel pour évaluer sa solvabilité et le risque de défaut de paiement sur ses engagements financiers. Attribuée par de grandes agences de notation comme Standard & Poor’s, Moody’s ou Fitch Ratings, cette note influence directement la confiance des investisseurs, le coût d’emprunt d’un pays sur les marchés internationaux, ainsi que les flux de capitaux étrangers.

Pourquoi la notation souveraine est-elle importante ?

Les États, tout comme les entreprises, peuvent être notés afin de refléter leur crédibilité financière. Cette évaluation est cruciale pour les :

  • Investisseurs internationaux,
  • Institutions financières,
  • Banques centrales,
  • Exportateurs, assureurs-crédit et entreprises opérant à l’international.

La note souveraine sert de baromètre de stabilité : elle oriente les stratégies d’investissement et détermine souvent les conditions d’accès aux financements extérieurs.

Comment est attribuée une note souveraine ?

Pour attribuer une note, les agences de notation analysent à la fois :

  • Données quantitatives : endettement public, déficit budgétaire, croissance du PIB, réserves de change, balance courante…
  • Facteurs qualitatifs : stabilité politique, gouvernance, environnement réglementaire, climat des affaires…

Ces éléments sont comparés aux performances d’autres États similaires. Une notation peut être révisée à tout moment en cas d’instabilité politique ou économique.

Comment interpréter les principales notes ?

Note Signification
AAA / Aaa Solvabilité maximale, risque de défaut quasi nul.
AA / Aa Très bonne capacité à honorer ses engagements, risque très faible.
A / A Bonne solvabilité, mais sensible aux cycles économiques.
BBB / Baa Acceptable, mais vulnérable aux chocs économiques.
BB / Ba Solvabilité incertaine, notation spéculative.
B / B Solvabilité faible, risque de défaut élevé.
CCC / Caa Risque très important de défaut de paiement.
CC / Ca Défaut imminent probable.
C / C Défaut de paiement imminent ou en cours.
D Défaut de paiement constaté.

Exemples de notations souveraines actuelles (2025)

Pays S&P Moody’s
Allemagne AAA Aaa
France AA- Aa2
États-Unis AA+ Aaa
Italie BBB Baa3
Turquie B B3
Nigéria B- Caa1
Ukraine CCC+ Ca
Argentine CCC- Ca
Venezuela SD C

En résumé

Comment interpréter un rating pays ? La notation souveraine constitue une grille de lecture synthétique du risque pays. Elle ne remplace pas une analyse complète, mais elle en est un élément clé, notamment pour anticiper les expositions géopolitiques, les tensions budgétaires ou les risques de défaut souverain.

Due diligence, Due diligence sur personne physique

Due diligence sur personne physique

Mai 24, 2025 par Vipfinance 0 Commentaires

Étude de cas : Enquête de due diligence sur un sous-traitant du BTP

Le challenge

Due Diligence sur personne physique : À la suite d’un signalement interne et de soupçons émis par un partenaire financier, notre client – une société de promotion immobilière – a mandaté notre cabinet pour conduire une enquête de due diligence renforcée sur l’un de ses sous-traitants principaux : une entreprise de BTP spécialisée dans la construction de maisons individuelles, implantée dans plusieurs régions en France.

Le dirigeant, charismatique et bien introduit dans les milieux d’affaires locaux, était soupçonné d’avoir mis en place un montage opaque de sociétés pour détourner des fonds publics et privés, notamment dans le cadre de marchés publics de rénovation énergétique.

Le principal défi résidait dans la complexité du schéma : sociétés-écrans au Royaume-Uni et à Dubaï, prête-noms, contrats intra groupe fictifs, usage de comptes bancaires professionnels et personnels mêlés… Le tout dissimulé derrière une activité opérationnelle réelle et florissante.

Notre contribution

Nos analystes ont mené une enquête en trois temps :

  • Identification des structures : Cartographie des entités juridiques liées au dirigeant (France, Royaume-Uni, Luxembourg, Émirats), via registres publics et bases de données spécialisées.
  • Vérification des bénéficiaires effectifs : Analyse des liens familiaux et économiques pour identifier les véritables détenteurs du capital.
  • Analyse des flux financiers : Reconstitution des mouvements de fonds suspects entre sociétés, associés et proches du dirigeant.

Un rapport structuré et documenté a été transmis à notre client, incluant :

  • Une synthèse des risques identifiés
  • Des preuves documentaires vérifiables
  • Des recommandations stratégiques pour limiter l’exposition

Résultats

Grâce à cette intervention :

  • Le client a pu suspendre ses paiements et se retirer des projets à risque.
  • Une procédure judiciaire a été lancée pour escroquerie en bande organisée.
  • Des mesures de compliance ont été renforcées dans la chaîne de sélection des partenaires.

Vous souhaitez en savoir plus sur nos prestations de due diligence sur personne physique renforcée ou sur notre méthodologie d’investigation ? Contactez notre équipe.

cryptocurrency-enquête-fraude-crypto-monnaies
ARNAQUE, CRYPTOMONNAIES, FRAUDE

Arnaque aux cryptomonnaies

Juil 2, 2022 par Vipfinance 0 Commentaires #Abus de confiance, #Abus de confiance vente de cryptomonnaies, #Arnaque aux crytomonnaies, #cryptomonnaies fallacieuses, #Escroquerie crytomonnaies, #Fraude au cryptomonnaies, #hamorçage, #Promesse de gains faciles, #Promesse de gains rapides, #Ururpation d'identité

Arnaque aux cryptomonnaies – Il s’est fait voler toute son épargne dans une arnaque cryptomonnaie

Justin* avait presque 30 ans quand il a découvert l’univers des rencontres en ligne. Il avait épousé son amour de lycée juste après l’université et ils avaient récemment décidé d’être en relation libre. Impatient de découvrir ce nouveau monde, il s’est connecté à plusieurs applications de rencontres et a commencé à avoir des rendez-vous.

Une certaine Masha Li a tout de suite attiré son attention. Cette belle immigrée de Singapour, qui vivait dans une ville voisine, partageait ses centres d’intérêts. Ils sont passés de l’application de rencontre à WhatsApp pour échanger des photos, des vidéos, des messages vocaux, et même un appel vidéo intime qui ne montrait pas leurs visages.

Justin s’est très vite épris de Masha, qui semblait ressentir la même chose. Elle lui a dit qu’elle l’aimait, ils discutaient tous les jours et ont même essayé de se rencontrer en personne. Environ une semaine après le début de leur relation, Justin a demandé à Masha ce qu’elle aimait faire dans la vie. Elle lui a confié qu’elle investissait beaucoup dans les cryptomonnaies et il a répondu qu’il s’y intéressait aussi. Ils sont rapidement passés à d’autres sujets, et Justin n’y a pas beaucoup repensé jusqu’à ce que Masha en reparle une semaine plus tard. 

Arnaque aux cryptomonnaies – À ce moment-là, Justin a pensé : et pourquoi pas ? Il avait déjà envisagé d’investir dans les cryptomonnaies et voilà quelqu’un qui était prêt à le guider. Quelques semaines plus tard, Masha l’a donc aidé à investir 200 dollars sur le site web bsvglobal.cc. 

Ces 200 dollars se sont vite transformés en 240 dollars ; Justin était ravi. Il a retiré l’argent, mais Masha l’a poussé à investir davantage. Il a d’abord refusé, puis s’est souvenu du projet d’achat de micromaison de son épouse. Pourquoi ne pas financer ce rêve en investissant dans les cryptomonnaies ? Ayant déjà constaté que ça pouvait marcher, ça semblait facile. « Avec le recul, je me rends compte que j’étais vraiment vulnérable », nous confie Justin.

Alors Justin a fait le grand saut. Son épouse a retiré les 5 000 dollars de leur plan d’épargne retraite pour qu’il les investisse. Il est retourné sur le site que Masha lui avait recommandé, se disant que si cela avait fonctionné la première fois, il pouvait l’utiliser à nouveau en toute confiance. Et avant même qu’il n’effectue le dépôt, elle l’a prévenu que le site facturerait des frais pour les « retraits très, très importants ».

Comme précédemment, ses 5 000 dollars sont rapidement devenus 6 000 dollars. Masha, enthousiasmée, lui a suggéré d’investir encore plus. Lorsqu’il lui a dit qu’ils n’avaient plus d’argent à investir, Masha a proposé de lui prêter des fonds pour continuer. Il a refusé son offre mais elle a insisté ; jusqu’à se montrer agressive. 

C’est alors que Justin a décidé d’arrêter d’ignorer les nombreux avertissements que Masha avait déclenchés tout au long de leur relation et de se retirer de ce plan d’investissement. Mais lorsqu’il a voulu retirer son argent, comme il l’avait fait auparavant, le site lui a indiqué qu’il devait payer des frais de 25 %, soit 1 500 dollars, en bitcoins. C’était impossible : il avait déjà investi toutes ses liquidités, sans aucun moyen de les retirer. 

Masha n’a cessé de faire pression pour qu’il reste et continue à investir, mais il a refusé. C’est alors qu’elle lui a dit qu’elle connaissait son adresse et allait envoyer des gros bras les passer à tabac, lui et son épouse. Justin a bloqué Masha sur toutes les plateformes et a prévenu la police. Il ne lui a plus jamais parlé, et il n’a toujours pas récupéré ses 5 000 dollars. 

La hausse des arnaques à la cryptoromance

Arnaque aux cryptomonnaies – Justin a été victime d’une nouvelle tendance d’escroquerie en ligne : les arnaques à l’amour basées sur les cryptomonnaies. Selon la Commission fédérale américaine du commerce (FTC), les arnaques à la cryptoromance ont fait leur apparition aux États-Unis fin 2021. 

Les arnaques à la cryptoromance sont relativement récentes, mais elles font déjà des ravages. Selon la FTC, en 2021, les victimes ont perdu 139 millions de dollars dans des arnaques à la cryptoromance un chiffre presque cinq fois supérieur à celui de 2020 et 25 fois plus important que les pertes déclarées en 2019. Ces fraudes sont particulièrement efficaces car elles tirent parti à la fois de la vulnérabilité émotionnelle et de la méconnaissance du grand public face aux cryptomonnaies.

Les signes qui révèlent une arnaque à la cryptoromance

Les arnaques à la cryptoromance suivent un format similaire à celui des autres arnaques sentimentales. Les escrocs utilisent l’ingénierie sociale pour gagner la confiance de leurs cibles. Ils établissement souvent le contact à travers des applications de rencontre, mais passent rapidement à des applications chiffrées comme WhatsApp pour échapper à leurs règles. Ils « bombardent » leurs cibles d’amour, créant très rapidement un sentiment privilégié, mais ont toujours une bonne raison de ne pas les rencontrer en personne. Certains refusent même de parler au téléphone ou par visio, prétextant leur timidité ou une panne de leur caméra. Puis, une fois sûrs de leur coup, les arnaqueurs lancent l’escroquerie. 

Toutes les escroqueries sentimentales suivent ce même schéma, mais les arnaques à la cryptoromance présentent des signaux d’alarme bien spécifiques. Premièrement, l’escroc est susceptible d’avoir un fort accent chinois. Bien entendu, cela ne veut pas dire que tous ceux qui ont un fort accent chinois sont des escrocs ! Mais cette escroquerie est née en Chine et bon nombre des escrocs qui ciblent des victimes en dehors du pays sont chinois. Un fort accent chinois n’est donc pas un signal d’alarme en soi, mais dans le contexte que nous venons de décrire, tenez-en compte. 

Arnaque aux cryptomonnaies – Autre signe révélateur que vous êtes la cible d’un escroc à la cryptoromance : s’il vous « aide » à investir un petit montant et qu’il est tout à fait d’accord pour que vous le retiriez une fois que vous avez gagné de l’argent. C’est comme ça que Masha a gagné la confiance de Justin, lui prouvant que le site qu’elle lui recommandait était légitime.

Malheureusement, nous savons maintenant que le site n’était pas légitime. Non seulement Justin n’a pas pu retirer son argent, mais le site n’existe plus. En enquêtant un peu, il s’est rendu compte que le site n’avait été créé que quelques mois plus tôt et, même si les cryptomonnaies sont relativement récentes, un site flambant neuf est un sérieux signal d’alarme révélant qu’il n’est pas légitime.

Une fois que la victime a connu un petit succès, le pirate l’encourage à investir davantage. C’est là que Masha est devenue insistante, et que Seth a commencé à comprendre ce qui se passait. L’offre de Masha de prêter de l’argent à Justin pour qu’il puisse continuer à investir est un autre avertissement courant indiquant une arnaque : les fraudeurs agissent ainsi pour éviter que leurs victimes ne décrochent.

Enfin, un site d’arnaque aux cryptomonnaies exigera de la victime des frais très élevés pour retirer son investissement. Les plateformes d’échange de cryptomonnaies légitimes facturent effectivement des commissions, mais elles sont généralement inférieures à 1 % du montant de la transaction. Par exemple, la célèbre bourse de cryptomonnaies Coinbase facture 0,60 % de « frais de retrait » pour les investissements inférieurs à 10 000 dollars. Il s’agit de leur pourcentage le plus élevé, loin des 25 % exigés par le site recommandé par Masha. 

Et si Justin n’avait pas l’argent demandé pour payer ces « frais », il est important de noter que d’autres personnes ont essayé, et n’ont toujours pas reçu leur argent. Il est probable que ces « frais de retrait » ne soient qu’un moyen supplémentaire de soutirer jusqu’à leur dernier centime aux victimes avant de les abandonner. Ou, comme dans le cas de Masha, de passer aux menaces physiques. 

Que faire si vous pensez être victime d’une escroquerie

Les arnaques à la cryptoromance sont assez récentes, et les chiffres de la FTC montrent qu’elles sont en hausse. Elles sont particulièrement efficaces car :

  1. La plupart des gens ne savent pas grand-chose des cryptomonnaies.
  2. Elles exploitent le désir sincère d’amour et de romantisme des gens.
  3. Les cryptomonnaies sont presque impossibles à récupérer une fois qu’elles ont été volées.

Le point nº 3 est, malheureusement, la réalité la plus dure de ce type d’escroquerie. Tout comme les cartes-cadeaux, les cryptomonnaies (mode de paiement préféré des escrocs de la séduction) ne peuvent généralement pas vous être restituées une fois qu’elles ne sont plus en votre possession. En effet, les cryptomonnaies ont été spécifiquement conçues pour être intraçables, ce qui est formidable si vous êtes un dissident politique tentant d’échapper à un gouvernement tyrannique, mais pas si merveilleux quand vous êtes victime d’une arnaque. 

Alors si vous pensez être victime d’une arnaque, la meilleure chose à faire est de suivre l’exemple de Seth : bloquez l’escroc, prévenez le site sur lequel vous vous êtes rencontrés, portez plainte auprès de la police et signalez l’arnaque aux autoritésNe payez pas de frais de « retrait » et n’acceptez pas que l’escroc vous « prête » de l’argent. Et même si vous ne récupérez pas votre argent, consolez-vous en vous disant que vous aidez d’autres personnes à éviter le même sort en signalant les escrocs ; et peut-être même la police à les mettre hors d’état de nuire.

Source : https://blog.avast.com/fr/crypto-romance-scams?

Les-differentes-arnaques-qui-touchent-les-épargnants

Pour en savoir plus : https://www.duediligence.lu/contact/

Intelligence économique_ détective privé Luxembourg_Enquête Dark Web
FRAUDE, Vulnérabilité humaine

Fraude au président

Avr 25, 2021 par Vipfinance 0 Commentaires #Cold reading, #Doxing, #Effet Barnum, #Fraude au Président, #Hot reading, #manipulation psychologique, #mesures de protection manipulation, #virement frauduleux

Fraude au Président Enquête – Pour une entreprise, même petite ou moyenne, se trouver confrontée à une tentative de fraude n’est aujourd’hui plus une question d’éventualité, mais de simple échéance. Une lutte efficace passe par la sensibilisation, la réflexion sur les processus de décision… et l’adoption d’un mode de management approprié.

Pour une entreprise, même petite ou moyenne, se trouver confrontée à une tentative de fraude n’est aujourd’hui plus une question d’éventualité, mais de simple échéance. Une lutte efficace passe par la sensibilisation, la réflexion sur les processus de décision… et l’adoption d’un mode de management approprié.

Fraude au Président enquête – L’explosion des fraudes aux entreprises

Le FBI a publié au printemps une enquête alarmante, parlant d’un « accroissement spectaculaire des fraudes au président, qui aurait coûté 2,3 milliards de dollars aux entreprises entre octobre 2013 et février 2016. Une estimation qui se base sur les plaintes reçues dans 79 pays, émanant de 17 462 entreprises de toutes tailles.

Le scénario est désormais connu. Le vendredi soir, un comptable isolé reçoit un message comminatoire de son président, lui enjoignant d’effectuer un virement sans délai. Il peut s’agir d’une affaire commerciale qui se décide au dernier moment et pour laquelle une somme doit être versée sans tarder à un intermédiaire. Ou d’une facture en souffrance à acquitter. Ou du rachat d’une entreprise étrangère pour lequel il faut verser un acompte afin de bloquer l’accord. Tout est toujours aussi urgent que hautement confidentiel…

La crédulité du comptable qui obéirait sans précautions est-elle aussi inconcevable qu’il y paraît ?

La peur du patron est l’alliée des fraudeurs

Voire. Car comme l’explique sur un blog spécialisé Frédéric Laura, psychologue du travail installé en région parisienne, la question concerne aussi, et peut-être surtout, l’encadrement. Dans sa pratique, le thérapeute a pu observer des constantes dans les cas de fraude au président réussie. Les entreprises victimes se caractérisent très souvent par l’autoritarisme de leurs dirigeants. A commencer par celui du Big Boss lui-même.

Comment dire non ?

Dans les cas où l’escroquerie réussit, la hiérarchie est souvent très éloignée de salariés, au point d’en être invisible et inconnue. C’est la brèche dans laquelle va s’engouffrer le malfaiteur : comment dire non, ou même discuter l’ordre de quelqu’un que l’on ne connait pas mais qui représente un pouvoir suprême, « quasiment mythique » ? Pour y parvenir, l’escroc se documente en amont sur les réseaux sociaux, en détaillant les organigrammes. Par cette ingénierie sociale, il apprend à connaître sa future victime. Il y trouve aussi des éléments lui permettant d’endosser la personnalité d’un dirigeant nouvellement arrivé, où d’incarner le manager d’une entité venant d’intégrer le groupe. Des personnages avec lequel le collaborateur de base hésitera à débuter une relation par un refus d’obtempérer…

Fraude au Président enquête – Partager l’expérience et les erreurs

Quand le mal est fait, explique Frédéric Laura, trop d’entreprises se focalisent sur la « faute » du collaborateur, allant jusqu’à le harceler pour qu’il s’explique, quelquefois pendant des mois. Une autocritique qui rappelle les techniques des maoïstes chinois pendant la révolution culturelle… Mais qui passe à côté des vraies questions.

L’incapacité à partager une expérience négative est particulièrement dommageable. Par exemple, en matière de sécurité informatique, les occasions d’échanger avec ses collaborateurs à propos de tentatives (avortées ou non) d’intrusion d’escrocs sont autant d’opportunités manquées d’élever leur niveau de vigilance.

Pour une entreprise, se trouver confrontée à une tentative de fraude s’apparente aujourd’hui à une certitude. Ce n’est que par une réflexion sur les processus de décision qu’elle peut tenter de se protéger des conséquences.

Maintenir l’entreprise en alerte

La Police Nationale propose ses recommandations pour contrer les tentatives de fraude au président :

  • Rappeler à l’ensemble des collaborateurs la nécessité d’un usage prudent des réseaux sociaux privés et professionnels, et notamment de ne pas y divulguer d’informations concernant le fonctionnement de l’entreprise ;
  • Sensibiliser régulièrement l’ensemble des employés des services comptables, trésorerie, secrétariats, standards – remplaçants compris – à ce type d’escroquerie ;
  • Instaurer des procédures de vérifications et de signatures multiples, surtout pour les paiements internationaux ;
  • Rompre la chaîne des mails pour les courriers se rapportant à des virements internationaux en saisissant soi-même l’adresse du donneur d’ordre ;
  • Accentuer la vigilance sur les périodes de congés scolaires, les jours fériés et les jours de paiement des loyers.

Instaurer un climat de confiance

Confiance et vigilance font-elles bon ménage ? Absolument. Si un bon niveau de confiance existe entre la cible de l’escroc et son supérieur direct, par exemple, elle pourra plus facilement lui faire part de ses doutes. Si le dirigeant entretient des relations de bienveillance, on n’hésitera pas à l’appeler pour vérifier directement auprès de lui la véracité de sa demande. Dans le cas contraire, l’escroc aura une autoroute devant lui.

Sources : https://www.edenred.fr/magazine/votre-quotidien/avantages-salaries/fraude-au-president-un-revelateur-des-failles-dune-organisation

Pour avoir un conseil sur la fraude au Président

Ingénierie-sociale-Social-Engineering
FRAUDE, Vulnérabilité humaine

Ingénierie sociale

Avr 24, 2021 par Vipfinance 2 Commentaires #attaque informatique, #bonne pratique informatique, #courrier piégé, #Fraude psychologique, #hamorçage, #ingénierie sociale, #logiciel malveillant, #manipulation psychologique, #mesures comportementales, #mesures de protection manipulation, #mot de passe safe, #phishing, #Piratage psychologique, #social engineering

En quelques mots

L’ingénierie sociale (“social engineering”) est une technique qui vise à accéder à des informations confidentielles ou à certains actifs par la manipulation de personnes qui y ont accès directement ou indirectement. Le phishing(hameçonage) est un exemple d’ingénierie sociale.

L’ingénierie sociale ne s’applique pas seulement au domaine de l’informatique, elle peut survenir dans la vie de tous les jours et plus particulièrement sur le lieu de travail. A partir du moment où des actifs ayant un certain intérêt sont en jeu, des attaques de ce type peuvent apparaître.

Le facteur humain est le point central des techniques d’attaque rencontrées dans l’ingénierie sociale. En essence il s’agit de la manipulation intelligente de notre propension naturelle à faire confiance. Des relations de confiance ne reposant sur rien de concret sont mises en place de manière calculée, mais le plus souvent par simple discussion, et exploitées par la suite pour tirer un maximum de profit de la situation.

L’ingénierie sociale peut se faire via téléphone, courrier électronique , via des réseaux sociaux et bien sûr en présence physique de l’attaquant.

Comment ça marche?

Les techniques d’ingénierie sociale exploitent certaines vulnérabilités humaines et des vulnérabilités liées à l’organisation au sein de l’entité visée. Il est en effet dans la nature humaine de vouloir aider son prochain et d’accorder sa confiance aux personnes polies et d’un abord sympathique, même s’il s’agit de parfaits inconnus. Tout dépend de la situation et de la manière utilisée par le ou les malfaiteur(s) pour se présenter à nous. Bien souvent même, une simple demande, posée de façon directe par l’agresseur, peut suffire à inciter la victime de répondre sincèrement.

L’attaque vise à faire exécuter à une personne une action qu’elle n’aurait pas faite en temps normal ; la motivation de l’attaquant étant d’obtenir une information qu’il ne contrôle pas. Dans un monde de plus en plus informatisé, ceci se résume le plus souvent (mais ne se limite pas), à l’obtention de données d’authentification.

Un attaquant peut, par exemple, tenter en premier lieu d’établir une relation de confiance avec un membre du personnel avec qui il va passer un certain temps à rechercher des informations sur l’entreprise visée. Il n’est donc pas rare de rencontrer des attaquants ayant une connaissance approfondie du jargon employé dans le métier de l’entreprise et des procédures mises en place par celle-ci. Ceci facilite les prises de contact en interne et permet de faire passer plus aisément des requêtes qui, sinon, auraient pu paraître suspectes.

Du point de vue de l’employé, celui-ci se trouve face à une personne qui semble avertie des procédures internes et utilisant un jargon commun. Dans une grande entreprise où il est difficile de connaître tout le monde, l’employé n’a pas de raison d’être soupçonneux et finit souvent par coopérer. Pensant peut-être bien faire son travail, il n’a pas de raison de refuser son aide à ce qu’il pense être un collègue.

Bien souvent, la victime se rend compte de la supercherie après l’action, à un moment où l’attaquant a déjà quitté les lieux sans laisser de traces, mais avec de précieuses informations en sa possession.

D’autres approches sont également possibles, notamment en ce qui concerne la manière de récupérer des indices menant à des informations. L’attaquant peut se présenter comme chargé d’enquêter sur le domaine d’activité de la personne ou de l’entité ciblée. Il peut notamment poser toute une série de questions anodines parmi lesquelles se cache celle dont la réponse l’intéresse tout particulièrement.

L’attaquant peut aussi adopter une stratégie tout à fait différente, en mettant par exemple sa victime dans une impasse et se présenter ensuite comme celui qui peut résoudre la situation. Dans la plupart des cas, la victime se montrera coopérative et répondra sans broncher aux questions précises de l’attaquant.

Mesures de protection

MESURES COMPORTEMENTALES

  • Avant de préparer un voyage de service, consultez le programme be-safe du Ministère de l’Économie et du Commerce extérieur
  • Dans vos réseaux sociaux, ne révélez pas d’informations internes concernant votre travail ou entreprise
  • Ne répondez pas à des demandes illicites d’informations (que ce soit en présence physique, par téléphone
  • Toute information, même paraissant insignifiante, doit être considérée comme importante et donc protégée.
  • Soyez également vigilant quant aux sondages et quiz semblant anodins sur Internet.
  • Soyez prudent dès qu’une personne que vous ne connaissez pas devient trop curieuse. Même si les questions ne se rapportent pas directement à des informations confidentielles.
  • Ne cliquez pas sur les liens dans les e-mails ou les réseaux sociaux, que vous n’avez pas attendu ou que vous trouvez douteux. En cas de doute, contactez l’expéditeur (supposé) et renseignez-vous sur la légitimité de l’e-mail (Voir aussi : e-mail – bonnes pratiqueslogiciels malveillants: bonnes pratiques.
  • Ne divulguez à personne vos identifiants ni votre mot de passe pour l’accès à Internet et les systèmes informatiques, même si la demande semble très crédible. Le département informatique de votre société n’en a pas besoin et ne vous les demandera jamais.
  • Il est de même pour les banques, les boutiques en ligne ou autres services qui vous demanderaient des informations par e-mail.
  • N’exécutez jamais des commandes qu’une personne inconnue vous demande de faire, que ce soit par téléphone, e-mail ou en contact direct si ces commandes concernent des informations sensibles.
  • En cas de doute, vérifiez l’identité de votre correspondant téléphonique ou informatique. Au téléphone, vous pourriez p.ex. demander le numéro de téléphone à votre correspondant et le rappeler après avoir vérifié son numéro. Cette mesure de prévention permet de savoir si votre correspondant dispose en effet d’un accès autorisé à la connexion téléphonique à partir de laquelle il vous a appelé.
  • En cas de situation douteuse, ne prenez pas de décisions impulsives. Gagnez du temps pour réfléchir, vous vous dégagez ainsi de la pression de l’agresseur. Sans mauvaise conscience, dites à un correspondant inconnu de vous rappeler le lendemain, vous aurez ainsi le temps de bien réfléchir et de résoudre le problème en toute tranquillité.
  • Déconnectez-vous toujours des sites Web et d’autres pages en ligne à l’aide du bouton prévu à cet effet. Si vous ne vous déconnectez pas manuellement d’une page, la session peut rester ouverte et donc facile d’accès aux agresseurs.
  • N’ouvrez jamais un fichier joint à un e-mail d’un expéditeur inconnu ou douteux. Il est de même pour les fichiers des sites Web suspects. De telles pièces jointes peuvent contenir des chevaux de Troie qui permettent à un agresseur d’avoir accès à tous les fichiers et données sauvegardés sur votre ordinateur (Voir aussi : e-mail – bonnes pratiqueslogiciels malveillants: bonnes pratiques).
  • Ne laissez jamais trainer des documents en papier contenant des informations sensibles à la vue de tous. Il est de même pour les documents dans la poubelle. Rendez illisibles les documents dont vous n’avez plus besoin.

Lire aussi

Sources : https://www.cases.lu/knowhow/glossary/SocialEngineering_fr.html

Pour plus d’informations sur ingénierie sociale social engineering : https://www.duediligence.lu/contact/

social-media enquête détective privé
ESPIONNAGE, PROTECTION DES INFORMATIONS

Menaces pour les entreprises

Avr 23, 2021 par Vipfinance 2 Commentaires #compte fake, #espionnage sur LinkedIn, #espionnage sur réseaux sociaux, #faux profils, #Fraude, #ingénierie sociale, #photos crées par IA, #social engineering

Alerte à l’espionnage sur les réseaux sociaux professionnels

Alerte espionnage réseaux – Selon des médias au Royaume-Uni et d’après le MI5, près de 10.000 Britanniques auraient été approchés sur les réseaux sociaux professionnels par de faux profils liés à des Etats hostiles pour obtenir des informations. Ce type d’espionnage pourrait bien devenir la nouvelle cyber menace à travers la planète.

Loïc Guezo : L’espionnage par des réseaux sociaux de type LinkedIn est bien connu depuis de nombreuses années par les entreprises. Le personnel est souvent mis au courant du risque de se faire approcher par un concurrent ou par quelqu’un qui ferait de la veille en intelligence économique et qui essaierait de reconstituer l’organigramme d’une entité ou d’en connaître les projets internes à des fins plus ou moins malveillantes.

Alerte espionnage réseaux – Le problème est le même quel que soit le réseau social. Naïvement, quand on reçoit une invitation de connexion, on a tendance à trop faire confiance à l’émetteur. On tombe alors dans le jeu du réseau social qui est d’accepter la demande pour avoir plus d’amis ou plus d’écho sur la plateforme. C’est le début d’un engrenage qui peut mener à un vol d’information.

Ce qui est sûr c’est que ce mode opératoire fonctionne, sinon il serait mort de lui-même. Les efforts fournis par les attaquants et le fait que les autorités communiquent dessus montrent que ce phénomène a pris une ampleur jugée inquiétante qui nécessite une réaction. Le télétravail favorise aussi ce type de pratique, la pandémie est une bonne période pour tenter ces opérations. 

Alerte espionnage réseaux – Comment des individus malveillants utilisent-ils LinkedIn pour soutirer des informations sensibles ?

La première étape est déjà de se créer un faux profil. Chaque année, LinkedIn désactive des dizaines de milliers de profils jugés non conformes. Pour créer un profil vérifié, il faut mettre une photo d’identité. Par une recherche inversée, LinkedIn pouvait facilement trouver d’où venait la photo. Si on voit que la photo est issue d’un catalogue de lingerie, on se doute bien que le compte est « fake ». Aujourd’hui, les assaillants utilisent pour leurs faux profils des photos créés par des générateurs (basés sur l’IA) de faux visages très crédibles.

Avant d’aller contacter sa cible, l’assaillant essaiera d’approcher d’autres collaborateurs de la même compagnie, peut-être moins sensibles et moins regardant sur les questions de sécurité. Il aura ainsi dans sa liste de contacts des connexions en commun avec la cible. Cela augmentera les chances que la personne accepte l’invitation. Pour se faire passer pour un vrai collaborateur, l’assaillant mentionne des informations montrant qu’il fait partie de l’organisation et qu’il connaît son actualité. Il peut aussi se faire passer pour un ancien collaborateur qui a quitté la société et qui souhaite reprendre contact. Ce sont autant de techniques psychologiques. Les individus (ou États) malveillants ont une forte capacité à générer beaucoup de profils avec, derrière, une machine très fine qui va cadencer les demandes de mise en contact et qui va cibler les personnes ou organisations qu’ils veulent espionner.

Une forme courante d’espionnage est le fait de proposer à un collaborateur de participer à de faux séminaires ou alors de lui proposer de répondre à de fausses enquêtes rémunérées. Ainsi une pseudo boîte de consultant, soi-disant mandatée pour faire une étude de marché, vous paye pour que vous répondiez à des questions qui touchent parfois de près à votre entreprise.

Quels sont les secteurs les plus touchés et qui sont les principaux auteurs ?

Cela touche tous les secteurs. A partir du moment où une information donne un avantage à celui qui l’obtient, certains vont être prêts à tout pour l’obtenir. Une entreprise concurrente pourrait par exemple proposer de l’argent en échange d’une information sur un projet en cours. A l’échelle d’un Etat, soutirer une information peut servir à faire pression et disposer d’un élément de discussion dans le cadre d’une négociation politique et géopolitique.

Dans le cas anglais, on parle d’une opération de reconnaissance informationnelle qui serait menée par un Etat contre un autre. Dans les faits, il s’agit d’une nouvelle forme de tentative de recrutement d’agents doubles et aussi de recherches d’informations très concrètes.  Bien sûr, les assaillants ne demandent pas directement des informations confidentielles mais la compilation de toutes les petites informations obtenues permet de reconstituer un écosystème.

Sources : https://atlantico.fr/article/decryptage/alerte-a-l-espionnage-sur-les-reseaux-sociaux-professionnels-chine-russie-royaume-uni-mi5-donnees-personnelles-piratage-linkedin-entreprises-pandemie-teletravail-virus-loic-guezo

Pour en savoir plus appeler un consultant

error: Content is protected !!