Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Recrutement de "mules" : petit cas d'espèce et schémas d'utilisation

Recrutement de "mules" : petit cas d'espèce et schémas d'utilisation
2009-03-102013-02-11sécurité organisationnelle et humainefr
Le rôle de "mule" est bien connu des narcotrafiquants : Il s'agit d'une personne chargée de faire transiter des produits illicites au travers de frontières ; dans le cas ou celle-ci serait démasquée et interceptée par la police ou les douanes le commanditaire n'est nullement inquiété,...
Publié le 10 Mars 2009 par Jean-François Audenard dans sécurité organisationnelle et humaine

Le rôle de "mule" est bien connu des narcotrafiquants : Il s'agit d'une personne chargée de faire transiter des produits illicites au travers de frontières ; dans le cas ou celle-ci serait démasquée et interceptée par la police ou les douanes le commanditaire n'est nullement inquiété, c'est la mule qui est l'objet des plaintes et encoure des peines de prison et les amendes qui vont avec.

L'économie numérique possède elle-aussi ses mules. Les rôles et objectifs sont différents mais le principe reste le même : Un commanditaire recrute des personnes via des offres alléchantes pour ensuite leur confier un rôle dans l'exécution de bases besognes, le tout sous un pseudo-couvert de légalité.

Comme c'est très souvent le cas, cela comment par un spam. Prenons l'exemple de celui que j'ai reçu hier.

Spam_Mule-Recrutement_Mars2009_Cleared.PNG
Une rapide lecture nous permet de ressortir 3 grands points :

Le nom de la société "ILC GmBH" :
Une recherche sur Internet et vous trouvez une société spécialisée (site web) dans les services de transport/logistique, jusqu'ici c'est plutôt bon.
Le hic, c'est que ni l'adresse de l'émetteur (xxx@comstar.net.au), ni l'adresse à laquelle répondre à l'annonce (xxx@gmail.com) n'utilisent le nom de domaine ilcgmbh.com, ce qui devrait être le cas (cf l'adresse email que l'on peut trouver sur la page "Contact" du site web).

En fait, cela sert à donner une apparence de pseudo-légalité au message... On notera l'astuce du commanditaire de faire référence à une société à priori légitime mais qui n'est pas connue (genre UPS/Federal Express ou encore TNT) pour ne pas trop en faire... Ceci dit, mon avis est qu'il s'agit d'une couleuvre faite pour que la mule « s'auto-rassure ».

Localisation :
On peut travailler de n' importe où dans le monde et depuis la maison...

Cela simplifie grandement le processus de recrutement (CAD l'envoi des spams) et permet de s'adresser tant à des personnes à la recherche d'un emploi ou déjà en activité. De plus, comme nous pourrons le voir après, plus les mules sont réparties dans des pays différents mieux c'est : Cela permet de "localiser" les transactions, notamment celles utilisant des numéros de cartes bancaires volés.

Mission :
Les missions sont assez simples : La personne devra recevoir et envoyer des colis, vérifier l'état des biens, faire un suivi de son activité et joindre des documents à chaque envoi.

La personne va donc devenir un "point relais postal" comme il en existe beaucoup... Sauf qu'il s'agira à priori de marchandises/biens volés ou contrefaits.

Après cette petite introduction sur les techniques de recrutement, je vous propose de détailler deux schémas d'utilisation d'une "mule"

Dans le 1er scénario, le commanditaire a pour objectif de collecter des fonds issus de comptes PayPal préalablement compromis.
MulesInternet_BlanchimentArgent_JF-Audenard_Mars2009.PNG

  1. Le commanditaire se connecte (via X ou Y proxys) sur les comptes PayPal volés
  2. Le commanditaire transfère l'argent depuis les comptes Paypal compromis vers celui de la mule.
  3. La mule accède à son compte PayPal
  4. La mule provisionne son compte bancaire classique à partir de l'argent de son compte PayPal tout en gardant une commission prédéfinie.
  5. Elle envoie un mandat (ici via Western Union) à l'adresse indiquée par le commanditaire.

L'étape finale passant d'un mode "électronique" à un mode "classique" (Paypal vers WesternUnion) peut être apparentée à une notion de "rupture de protocole". Cela rendra plus complexe la remontée éventuelle de la chaîne pour les forces de l'ordre.

Dans le 2nd scénario, le commanditaire souhaite recevoir des marchandises achetées avec des cartes bancaires volées.
MulesInternet_Reexpedition-Marchandises_JF-Audenard_Mars2009.png

  1. Le commanditaire achète des biens ou marchandises en utilisant des numéros de cartes bancaires volés.Les marchandises sont livrées à la mule. Typiquement, la livraison est faite à une mule résidant dans le même pays que celui des cartes bancaires, ce afin de réduire la détection éventuelle.
  2. La mule effectue un éventuel regroupement des marchandises (ou un déballage/ré-emballage sous forme de cadeaux) et les envoie au commanditaire.
  3. Les frais d'envoi sont typiquement payés à la mule via un transfert d'argent depuis un compte bancaire volé (cf. exemple précédent).

Dans les deux schémas présentés, c'est la mule qui sera suspectée en priorité :

  • C'est son compte PayPal vers lequel les sommes ont été versées depuis les comptes PayPal piratés
  • C'est à son adresse qu'ont été livrées les marchandises achetées avec des cartes bancaires volées

Le recrutement de mules, bien que basé au démarrage sur des techniques de spam et d'un soupçon d'ingénierie sociale sont, de par leur nature, suspectes. Les motivations d'une personne pour devenir une "mule 2.0" sont les mêmes que pour ses consœurs faisant dans les stupéfiants : L'appât du gain. Il sera donc compliqué d'expliquer à un enquêteur que vous êtes devenu une mule "à votre insu". :-)

A l'opposé, être une "mule 2.0" est moins risqué que dans le monde des narcotrafiquants : Les commanditaires comme les candidats potentiels ont bien saisi la différence... et en ces temps de crise certains pourraient être tentés par l'aventure... et en plus ca à l'air bien payé comme job.... :-]

4 Commentaires

  • 11 Octobre 2009
    2009-10-11
    par
    La sécurité devient le sujet permanent et universel. Et l'intrusion d'Internet dans les foyers, c'est le loup dans la bergerie. Un énorme travail pédagogique nous attend.
  • 13 Mars 2009
    2009-10-11
    par
    Florent
    Enfin ce n'était pas une tentative de "mule", mais juste une arnaque.

    En revanche lorsque vous vous inscrivez sur le copain d'avant russe et que vous indiquez que vous habitez actuellement en France. Vous aurez de forte chance de recevoir un message du genre :
    "Bonjour,
    nous recherchons des responsables pour notre filiale française. Ce travail peut s'effectuer à domicile et sera rémunéré 3000€ par mois.
    Il vous suffit de réceptionner des colis et de les transférer aux adresses que nous vous communiquerons.
    Merci de nous contacter au xxxx si vous êtes intéressés."
    Bien sûr écrit en russe...

    Ca arrive bien plus souvent qu'on ne le pense. Surtout que les étrangers en France sont plus enclins à avoir besoin d'argent.
  • 11 Mars 2009
    2009-10-11
    par
    C'est très classique et toujours d'actualité : On vous fait miroiter un prix mais pour l'obtenir il y aura des frais, etc... Bref, c'est vous qui donnez de l'argent.
    Bonne réaction que de "poubelliser" ce type de message direct. En cas de doute, faites un copier/coller d'une partie du message sur le site http://www.hoaxbuster.com/ ... Très efficace pour détecter les anaraques et autres chaînes de mail.
    Si il y a des pièces jointes à un mail de ce genre, ne __JAMAIS__ l'ouvrir : Le plus souvent il s'agit d'un fichier malicieux et l'ouvrir aura comme effet d'infecter votre machine...
    Bonne continuation !
    JF
  • 11 Mars 2009
    2009-10-11
    par
    Anonyme
    J'ai reçu un mail en date du 25/02/09 de bill fondation@club-internet.fr à jeux.olympiques@director.com
    objet : vous pouvez gagner à la loterie.
    p.j. : 1 fichier "jeux olympiques".
    dans le corps du message : l'adresse de l'huissier : 00447031861973
    mail : huissier.jacquessisnard@laposte.net SOIT-DISANT accrédité à la loterie jeux olympiques
    signé : président du conseil exécutif...SHI ZHENGRONG
    Naturellement, je n'ai pas donné suite et transféré dans "courrier indésirable".
    Mais je l'ai ouvert!...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage