Les acteurs de la menace sur les forums clandestins et les groupes de discussion élaborent de plus en plus de méthodes de fraude structurée visant à exploiter les faiblesses dans les processus de travail des institutions financières. Plutôt que des escroqueries isolées ou opportunistes, ces discussions reflètent une approche organisée et axée sur les processus qui combine des données d'identité volées, l'**ingénierie sociale** et la connaissance des flux financiers. Au sein de ces conversations, les petites institutions, en particulier les coopératives de crédit de petite et moyenne taille, sont souvent référencées comme des cibles plus attrayantes en raison de lacunes perçues dans les systèmes de vérification et de ressources limitées en matière de prévention de la fraude. Les chercheurs de **Flare** ont récemment identifié une méthode détaillée de fraude aux prêts circulant au sein d'un tel groupe clandestin, décrivant comment les attaquants peuvent traverser les processus de vérification de crédit, de vérification d'identité et d'approbation de prêt en utilisant des identités volées tout en évitant les déclencheurs de sécurité traditionnels. L'approche ne repose pas sur l'exploitation de vulnérabilités logicielles, mais se concentre plutôt sur la navigation dans les flux de travail légitimes d'intégration et de prêt comme si le demandeur était authentique. La structure de la publication reflète une approche méthodique, décomposant le processus de l'utilisation de l'identité à l'approbation du prêt d'une manière qui peut être reproduite de manière cohérente, indiquant une utilisation plus organisée des techniques de fraude.  ## Une approche basée sur l'identité, pas sur l'intrusion À la base, cette approche repose sur l'obtention de suffisamment de données personnelles pour usurper de manière convaincante un emprunteur légitime. Cela inclut des identifiants tels que les noms, adresses, dates de naissance et, dans certains cas, des détails liés au crédit. Le processus est entièrement numérisé, et l'attaquant utilise une fausse identité pour soumettre une demande de prêt. Cette distinction est essentielle : l'attaque ne « casse pas le système », mais exploite les failles de sa conception. Un élément central de la méthode est la capacité à passer les contrôles de vérification d'identité, en particulier ceux basés sur l'authentification basée sur la connaissance (KBA). Ces systèmes s'appuient généralement sur des questions dérivées de : * Adresses passées * Historique des prêts ou du crédit * Associations professionnelles ou familiales En pratique, une grande partie de ces informations peut être reconstruite ou déduite à partir de données publiquement disponibles, de profils de médias sociaux, de jeux de données précédemment divulgués et de dossiers d'identité agrégés. Cette méthode souligne comment les attaquants peuvent anticiper et se préparer à ces contrôles à l'avance, transformant efficacement la vérification en une étape prévisible plutôt qu'en une véritable barrière. Elle démontre comment ce qui était autrefois considéré comme un contrôle d'identité solide peut rapidement être appris, adapté et finalement exploité par les cybercriminels, qui font évoluer leurs outils d'usurpation d'identité spécifiquement pour collecter et contourner ces exigences. ## La fraude commence avant même de remplir le premier formulaire Au moment où une demande frauduleuse arrive dans votre file d'attente, le travail le plus difficile est déjà terminé. Les attaquants se procurent des identités volées, des réponses KBA et des historiques financiers sur les forums du dark web et les marchés clandestins, bien avant de contacter votre institution. **Flare** surveille des milliers de ces sources en continu, vous permettant de détecter les données exposées à la source, et non après que les dégâts soient faits. ## Le flux de fraude – étape par étape 1. **Acquisition d'identité** : Obtention de données personnelles volées, y compris des détails d'identité complets et des informations de fond suffisantes pour usurper une personne légitime. 2. **Évaluation du profil de crédit** : L'attaquant examine le profil financier de la victime pour déterminer l'éligibilité au prêt et la probabilité d'approbation. 3. **Préparation à la vérification (Préparation KBA)** : Des détails personnels supplémentaires sont collectés pour anticiper et répondre correctement aux questions de vérification d'identité. 4. **Sélection de la cible** : Les coopératives de crédit de petite et moyenne taille sont sélectionnées en fonction de processus de vérification perçus comme plus faibles et d'une maturité moindre en matière de détection de fraude. 5. **Soumission de la demande de prêt** : Une demande de prêt est soumise en utilisant l'identité volée, en garantissant la cohérence de toutes les données fournies. 6. **Vérification d'identité réussie** : Les KBA et les contrôles standard sont effectués avec succès, établissant la légitimité. 7. **Approbation du prêt et libération des fonds** : L'institution approuve le prêt et libère les fonds par les canaux standard. 8. **Mouvement des fonds et encaissement** : Les fonds sont transférés vers des comptes contrôlés, déplacés par des intermédiaires, et retirés ou convertis pour finaliser la monétisation. ## Pourquoi les coopératives de crédit de petite/moyenne taille sont plus ciblées L'un des aspects les plus notables de la méthode est son orientation vers les petites institutions financières. Plutôt que de cibler les grandes banques ou les plateformes fintech hautement sécurisées, l'approche se tourne explicitement vers les coopératives de crédit de petite et moyenne taille, qui sont perçues comme : * Plus dépendantes des méthodes traditionnelles de vérification d'identité * Moins équipées en matière de détection avancée de fraude comportementale * Plus susceptibles de privilégier l'accessibilité client par rapport à des contrôles stricts  Bien que cela ne soit pas universellement vrai, cette perception seule suffit à influencer le comportement des attaquants, orientant les décisions de ciblage vers les institutions qui offriraient un taux de réussite plus élevé. Les rapports récents de l'industrie soutiennent cette tendance. Rien que dans le prêt automobile, l'exposition à la fraude devrait atteindre 9,2 milliards de dollars en 2025, les prêteurs plus petits et régionaux étant soumis à une pression croissante de la part des schémas de fraude organisée. ## Encaissement et monétisation Une fois le prêt approuvé, l'opération passe à sa phase la plus critique : transformer l'accès en argent. À ce stade, l'attaquant a déjà fait le plus dur : passer les contrôles d'identité et établir la confiance sous une identité volée. Du point de vue de l'institution, le processus semble légitime, et les fonds sont libérés par les canaux standard, comme pour un vrai client. L'attention se porte alors sur la rapidité et la séparation. Plutôt que de laisser les fonds en place, ils sont rapidement déplacés du compte d'origine, souvent par le biais de comptes intermédiaires qui créent une distance par rapport à la source. Cette étape chevauche des écosystèmes de fraude plus larges, où l'accès à des comptes et à des canaux financiers supplémentaires permet de router, diviser ou repositionner les fonds pour réduire la traçabilité. Ce qui rend cette phase particulièrement efficace (et difficile à détecter), c'est que chaque étape reflète un comportement financier normal. Les transferts, les retraits et l'activité du compte ne sont pas intrinsèquement suspects en eux-mêmes. Le risque réside plutôt dans la manière dont ces actions sont enchaînées dans un laps de temps comprimé, permettant aux attaquants de finaliser l'encaissement avant la détection.