Entré en application, il y a un an (le 25 mai 2018), le RGPD est plus que jamais un prétexte idéal pour des campagnes d’arnaques ciblant les entreprises françaises.
Tribune Vade Secure – Depuis quelques semaines, une nouvelle variante de l’arnaque à la mise en conformité RGPD cible les entreprises. Cette arnaque est déjà connue, mais ici la méthode semble différente et très efficace. Décryptage de l’arnaque.
Un premier contact par courrier
Les escrocs ciblent les entreprises au travers d’une campagne de courriers au sujet d’une plainte d’un client concernant la mise en conformité à la RGPD.
Sébastien Gest, Tech Évangéliste de Vade Secure explique :
« Si nous nous arrêtons quelques secondes sur ce document, le titre de la société – Comité Européen de la protection des données CFFE – semble reprendre le nom du Comité Européen de la protection des données CEPD, présent dans le texte de la RGPD à la section 3 du Chapitre VII (articles 68 à 76) ».
L’adresse associée au dit comité est en fait une adresse de domiciliation située dans le 8e arrondissement de Paris. Contacté, l’interlocuteur de la société explique apprend qu’il croule sous les appels pour ce même sujet depuis 15 jours. Un numéro de téléphone est alors indiqué dans le but de traiter cette plainte.
La personne au bout du fil développe alors un argumentaire efficace dans le but de vendre une prestation d’audit de mise en conformité afin de résoudre cette situation. Ces numéros de téléphone sont largement commentés et dénoncés sur des plateformes comme https://www.signal-arnaques.com/scam/view/160057 »
Le paiement demandé par mail
Suite à cet appel un e-mail contenant un lien de paiement par carte bancaire est envoyé dans le but de finaliser la transaction.
D’un montant de 1194€, la prestation semble correspondre à un « Audit et à la rédaction du référentiel de traitement des données ».
Sébastien Gest poursuit :
« Nous retrouvons dans ce mail l’email présent dans le document papier mais ici en tant qu’expéditeur.
Un lien de paiement par carte bancaire est ainsi proposé et ainsi qu’une nouvelle adresse apparaissant dans le but de contacter le support.
Les domaines utilisent des extensions .eu et .online et sont déposés via le registrar américain namecheap.
En signature de cet e-mail apparaît également le nom d’une société Française experte dans les domaines de la RGPD. Il ne nous est pas possible de certifier une possible implication de cette société dans cette escroquerie, nous avons donc souhaité de ne pas la citer ».
Conclusion : Une arnaque ressemblant fortement à l’arnaque au support téléphonique
L’entreprise pensant devoir se mettre en conformité va dans les faits consommer une prestation dont elle n’a pas le besoin.
Il est difficile d’évaluer le nombre de sociétés escroquées. Le seul indicateur reste le nombre de signalements sur les sites anti-escroqueries qui augmentent de jour en jour.
Comment porter plainte et faire un signalement aux autorités ?
Les services de l’état ont mis en place le site https://www.pre-plainte-en-ligne.gouv.fr/ permettant de déposer une pré-plainte.
À l’issue de ce signalement, un rendez-vous en gendarmerie est proposé. Il est vivement recommandé de déposer plainte et de faire remonter les informations aux services de Gendarmerie compétents.