recrutement de "mules" : petit cas d'espèce et schémas d'utilisation

Le rôle de "mule" est bien connu des narcotrafiquants : Il s'agit d'une personne chargée de faire transiter des produits illicites au travers de frontières ; dans le cas ou celle-ci serait démasquée et interceptée par la police ou les douanes le commanditaire n'est nullement inquiété, c'est la mule qui est l'objet des plaintes et encoure des peines de prison et les amendes qui vont avec.

L'économie numérique possède elle-aussi ses mules. Les rôles et objectifs sont différents mais le principe reste le même : Un commanditaire recrute des personnes via des offres alléchantes pour ensuite leur confier un rôle dans l'exécution de bases besognes, le tout sous un pseudo-couvert de légalité.

Comme c'est très souvent le cas, cela comment par un spam. Prenons l'exemple de celui que j'ai reçu hier.

Spam_Mule-Recrutement_Mars2009_Cleared.PNG
Une rapide lecture nous permet de ressortir 3 grands points :

Le nom de la société "ILC GmBH" :
Une recherche sur Internet et vous trouvez une société spécialisée (site web) dans les services de transport/logistique, jusqu'ici c'est plutôt bon.
Le hic, c'est que ni l'adresse de l'émetteur (xxx@comstar.net.au), ni l'adresse à laquelle répondre à l'annonce (xxx@gmail.com) n'utilisent le nom de domaine ilcgmbh.com, ce qui devrait être le cas (cf l'adresse email que l'on peut trouver sur la page "Contact" du site web).

En fait, cela sert à donner une apparence de pseudo-légalité au message... On notera l'astuce du commanditaire de faire référence à une société à priori légitime mais qui n'est pas connue (genre UPS/Federal Express ou encore TNT) pour ne pas trop en faire... Ceci dit, mon avis est qu'il s'agit d'une couleuvre faite pour que la mule « s'auto-rassure ».

Localisation :
On peut travailler de n' importe où dans le monde et depuis la maison...

Cela simplifie grandement le processus de recrutement (CAD l'envoi des spams) et permet de s'adresser tant à des personnes à la recherche d'un emploi ou déjà en activité. De plus, comme nous pourrons le voir après, plus les mules sont réparties dans des pays différents mieux c'est : Cela permet de "localiser" les transactions, notamment celles utilisant des numéros de cartes bancaires volés.

Mission :
Les missions sont assez simples : La personne devra recevoir et envoyer des colis, vérifier l'état des biens, faire un suivi de son activité et joindre des documents à chaque envoi.

La personne va donc devenir un "point relais postal" comme il en existe beaucoup... Sauf qu'il s'agira à priori de marchandises/biens volés ou contrefaits.

Après cette petite introduction sur les techniques de recrutement, je vous propose de détailler deux schémas d'utilisation d'une "mule"

Dans le 1er scénario, le commanditaire a pour objectif de collecter des fonds issus de comptes PayPal préalablement compromis.
MulesInternet_BlanchimentArgent_JF-Audenard_Mars2009.PNG

  1. Le commanditaire se connecte (via X ou Y proxys) sur les comptes PayPal volés
  2. Le commanditaire transfère l'argent depuis les comptes Paypal compromis vers celui de la mule.
  3. La mule accède à son compte PayPal
  4. La mule provisionne son compte bancaire classique à partir de l'argent de son compte PayPal tout en gardant une commission prédéfinie.
  5. Elle envoie un mandat (ici via Western Union) à l'adresse indiquée par le commanditaire.

L'étape finale passant d'un mode "électronique" à un mode "classique" (Paypal vers WesternUnion) peut être apparentée à une notion de "rupture de protocole". Cela rendra plus complexe la remontée éventuelle de la chaîne pour les forces de l'ordre.

Dans le 2nd scénario, le commanditaire souhaite recevoir des marchandises achetées avec des cartes bancaires volées.
MulesInternet_Reexpedition-Marchandises_JF-Audenard_Mars2009.png

  1. Le commanditaire achète des biens ou marchandises en utilisant des numéros de cartes bancaires volés.Les marchandises sont livrées à la mule. Typiquement, la livraison est faite à une mule résidant dans le même pays que celui des cartes bancaires, ce afin de réduire la détection éventuelle.
  2. La mule effectue un éventuel regroupement des marchandises (ou un déballage/ré-emballage sous forme de cadeaux) et les envoie au commanditaire.
  3. Les frais d'envoi sont typiquement payés à la mule via un transfert d'argent depuis un compte bancaire volé (cf. exemple précédent).

Dans les deux schémas présentés, c'est la mule qui sera suspectée en priorité :

  • C'est son compte PayPal vers lequel les sommes ont été versées depuis les comptes PayPal piratés
  • C'est à son adresse qu'ont été livrées les marchandises achetées avec des cartes bancaires volées

Le recrutement de mules, bien que basé au démarrage sur des techniques de spam et d'un soupçon d'ingénierie sociale sont, de par leur nature, suspectes. Les motivations d'une personne pour devenir une "mule 2.0" sont les mêmes que pour ses consœurs faisant dans les stupéfiants : L'appât du gain. Il sera donc compliqué d'expliquer à un enquêteur que vous êtes devenu une mule "à votre insu". :-)

A l'opposé, être une "mule 2.0" est moins risqué que dans le monde des narcotrafiquants : Les commanditaires comme les candidats potentiels ont bien saisi la différence... et en ces temps de crise certains pourraient être tentés par l'aventure... et en plus ca à l'air bien payé comme job.... :-]

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens