SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
19 avril 2013 19 april 2013
________________
Question écrite n° 5-8814 Schriftelijke vraag nr. 5-8814

de Nele Lijnen (Open Vld)
van Nele Lijnen (Open Vld)

au ministre des Finances, chargé de la Fonction publique
aan de minister van Financiën, belast met Ambtenarenzaken
________________
Phishing - Faux courriel du fisc - Mesures Phishing - Valse mail van de fiscus - Maatregelen 
________________
criminalité informatique
administration fiscale
protection des données
computercriminaliteit
belastingadministratie
gegevensbescherming
________ ________
19/4/2013Verzending vraag
19/8/2013Antwoord
19/4/2013Verzending vraag
19/8/2013Antwoord
________ ________
Question n° 5-8814 du 19 avril 2013 : (Question posée en néerlandais) Vraag nr. 5-8814 d.d. 19 april 2013 : (Vraag gesteld in het Nederlands)

L'année dernière, nombre de Belges ont reçu un courriel donnant l'apparence de provenir du fisc. Envoyé par [email protected], il indiquait que le contribuable pouvait obtenir un remboursement s'il ou elle complétait un document en lien. Le particulier devait donc indiquer la référence de son compte, ce qui permettait ensuite aux délinquants d'effectuer des payements grâce aux données obtenues. Le logo du Service public fédéral (SPF) Finances figurait à différents endroits, pour faire apparaître le document comme légitime. À la conclusion de cette manœuvre trompeuse, l'utilisateur était aiguillé vers le site du Service public fédéral (SPF) Finances.

En mars 2013, des actes de phising analogues ont été signalés. À nouveau, un courriel frauduleux a été envoyé en vue de s'approprier des données bancaires.

Je souhaiterais poser les questions suivantes au ministre :

1) Ce problème a-t-il suscité une réaction de sa part ? Le site et l'adresse électronique ont-ils été supprimés ?

2) Y avait-il une grande différence avec les faux courriels de l'an dernier, ou bien le problème est-il similaire ?

3) Est-on informé de la provenance de ces courriels et des auteurs ? Étant donné les similitudes, pourrait-il s'agir des mêmes personnes ?

4) Dispose-t-il de statistiques sur les plaintes à ce sujet ? Combien de personnes ont-elles signalé ces pratiques récentes, par exemple via le centre de contact, et combien en ont-elles été les victimes ? Peut-il communiquer ces chiffres ?

5) Les délinquants se sont-ils attaqués à ses services, ou bien les actions de ceux-ci ne visent-elles que les particuliers ?

6) Le ministre a-t-il une idée de la façon dont les délinquants se procurent les adresses électroniques ?

7) À quelle fréquence le SPF Finances est-il en butte à ce type de cyberdélinquance ? S'agit-il d'actes isolés ou d'un problème constant ?

 

Vorig jaar kregen nogal wat Belgen een mail die van de fiscus lijkt te zijn. In de mail, afkomstig van [email protected], stond dat de belastingplichtige een som geld kan terugkrijgen indien hij of zij het formulier invult waarnaar gelinkt wordt. De particulier moet aldus zijn rekeninggegevens invullen. Vervolgens kunnen de criminelen betalingen doen met de verkregen gegevens. Het logo van de Federale Overheidsdienst (FOD) Financiën is meermaals aanwezig om het legitiem te doen lijken. Aan het einde van de malafide procedure wordt de gebruiker wel doorgestuurd naar de website van de FOD Financiën.

In maart 2013 werd bericht dat gelijkaardige phishingacties zijn gebeurd. Wederom werd een valse e-mail gestuurd met als doel bankgegevens te stelen.

Graag had ik de geachte minister volgende vragen gesteld:

1) Heeft hij actie ondernomen naar aanleiding van dit probleem? Is de website en het e-mailadres inmiddels offline gehaald?

2) Was er veel verschil met de valse mails van vorig jaar, of ging het om een gelijkaardig probleem?

3) Is er informatie over de afkomst van de mails en de dader(s)? Kan het zijn dat het om dezelfde mensen gaat, gezien de gelijkenissen?

4) Heeft hij cijfers over klachten met betrekking tot de problemen? Hoeveel mensen hebben melding gemaakt van deze recente praktijken, bijvoorbeeld via het contactcenter, en hoeveel mensen zijn slachtoffer geworden? Kan hij die cijfers meedelen?

5) Zijn zijn diensten slachtoffer geworden van die criminelen, of beperkte hun actie zich tot particuliere belastingbetalers?

6) Heeft de minister een idee op welke manier de criminelen aan de mailadressen komen?

7) Hoe vaak krijgt de FOD Financiën te maken met dergelijke cybermisdaden? Gaat het om geïsoleerde praktijken, of is dit een constant probleem?

 
Réponse reçue le 19 aôut 2013 : Antwoord ontvangen op 19 augustus 2013 :

Le Service public fédéral (SPF) Finances a reçu cinq messages d'information faisant état du problème, entre le 25 mars et le 15 avril 2013. Ces messages d'information comprenaient une description, généralement incomplète, du problème. Pourtant, une information complète est indispensable pour analyser le problème et prendre des actions concrètes.

Les informations reçues concernaient un message en langue française, deux messages en langue néerlandaise et deux messages en langue anglaise. Le message en langue française présentait de grandes similitudes avec un message qui avait été diffusé à Pâques 2012 lequel a fait l'objet, le 14 avril 2012, d'une question parlementaire du député M. Franco Seminara (question 323 – Document 53 2011201208341). Les autres messages semblent constituer un phénomène nouveau.

A partir des informations disponibles, on peut décrire le problème comme suit :

  • le message porte une adresse d'expédition : [email protected]. Il s'agit de l'adresse du « Contact center » du SPF Finances,

  • le message contient un lien vers le formulaire de demande de remboursement à télécharger depuis le site http://fiscus.fgov.ro. Ce site se situe en Roumanie. Le nom du site est comparable au nom du site du SPF Finances, http://fiscus.fgov.be. La présentation du formulaire s'inspire de la présentation de la page d'information trouvée sur le site des Finances (couleur de fond de page et bandeau d'en-tête identiques).

L'auteur de cette arnaque n'avait nullement besoin de pirater les systèmes informatiques du SPF Finances pour accomplir son méfait. Tout ce qu'il avait à faire était de prendre connaissance des informations relatives au SPF Finances, figurant sur Internet, de recopier certaines pages d'information, et d'adapter ces copies pour répondre à ses propres besoins. Le SPF Finances ne dispose donc d'aucun moyen de détecter un tel phénomène. Il en a connaissance par les plaintes de citoyens ou les informations provenant d'autres institutions Federal Computer Crime Unit (FCCU )Computer Emergency Response Team (CERT).

1) Le fait a été signalé à la police fédérale via le site www.ecops.be.

  • Des contacts directs ont eu lieu avec la FCCU.

  • L'accès au site litigieux a été bloqué par le CERT depuis le 15 avril 2013..

  • Le SPF Finances a placé, dès le 26 mars, un message d'alerte sur son site Internet, sous le titre « emails frauduleux ».

  • Un complément d'information (copie complète du message) a été demandé, le 9 avril, à un des premiers plaignants, en vue d'une analyse plus approfondie du problème. Le SPF Finances n'a pas reçu de réponse.

2) Dans les deux cas, le principe de la fraude est de communiquer, à la victime, un formulaire de demande de remboursement l'invitant à introduire les données confidentielles de sa carte de crédit.

Sur la base des informations partielles disponibles, une information sur les cinq reçues ressemblait fortement aux messages de 2012 ;

  • le montant de remboursement proposé était identique.

  • le formulaire était annexé au message, comme en 2012.

  • le formulaire était en français.

Les quatre autres messages relèvent d'une démarche différente :

  • le message était en néerlandais ou en anglais,

  • le formulaire devait être téléchargé.

La technique de vol de données reste néanmoins fort semblable dans les deux cas.

3) Le SPF Finances ne dispose pas d'informations concernant l'origine réelle des messages.

En 2012, les données collectées étaient transférées vers un site situé au Koweit.

En 2013, le formulaire était téléchargé depuis un site situé en Roumanie.

Il est possible que les deux messages proviennent d'une même organisation criminelle internationale.

L'accès aux deux sites identifiés a été bloqué avec l'aide du CERT.

La technique de vol de données reste néanmoins fort semblable dans les deux cas. La qualité des messages et leur vraisemblance ont toutefois été fortement améliorées.

Une information sur les cinq reçues présentait une forte ressemblance avec le message de 2012. Ou bien ce message avait la même origine, ou bien il s'agit d'un ancien message qui continue à circuler.

4) Le SPF Finances n'a reçu que cinq informations concernant le problème en cours. Quatre informations provenaient de citoyens ou de sociétés ayant reçu le message, et une information provenait du CERT.

Dans le cadre des contacts que le SPF Finances a eu avec la FCCU, on a appris que des messages de ce genre circulent sur Internet depuis des mois. Ces messages visent diverses institutions financières.

Dans la mesure où le système informatique du SPF Finances n'intervient pas dans cette arnaque, il n'est pas possible de la détecter ou d'en mesurer la fréquence. Les seules informations dont le SPF Finances dispose sont les plaintes des citoyens.

5) Le SPF Finances n'est pas une victime directe de la fraude, dans la mesure où, à aucun moment, ses systèmes informatiques n'ont été piratés. Il n'y a eu ni vol ni altération des données des Finances, ni intrusion dans un système du SPF Finances. Les seuls faits dont le SPF Finances peut se prétendre victime sont l'usurpation d'identité et la contrefaçon d'une page Web.

La fraude vise clairement les contribuables.

6) L'adresse mail utilisée est l'adresse du « Contact center » du SPF Finances. Cette information est publique.

Il est relativement simple de falsifier l'adresse d'expédition d'un email, sans pour autant devoir faire intervenir les systèmes informatiques du titulaire de l'adresse.

7) En 2012, le SPF Finances n'a reçu qu'un seul message l'informant de la fraude (en plus d'un avis diffusé par la télévision à l'initiative de la FCCU).

En 2013, le SPF Finances a reçu cinq messages l'informant de la fraude.

Selon des informations reçues de la FCCU, celle-ci observe, depuis quelques mois, une prolifération d'arnaques de ce type visant à tour de rôle diverses institutions financières.

Tussen 25 maart en 15 april 2013 heeft de Federale Overheidsdienst (FOD) vijf onvolledige informatieboodschappen ontvangen waarin het probleem wordt gemeld zich voordeed. Deze berichten laten een algemene en onvolledige beschrijving van het probleem toe. Niettemin is Nochtans is volledige informatie onmisbaar om het probleem te analyseren en concrete stappen te ondernemen.

De ontvangen informatie betrof een boodschap in het Frans, twee boodschappen in het Nederlands en twee boodschappen in het Engels. De boodschap in het Frans kwam grotendeels overeen met een boodschap die op Pasen 2012 werd verspreid en die op 14 april 2012 het voorwerp was van een parlementaire vraag van de volksvertegenwoordiger de heer Franco Seminara (vraag 323 – Document 53 2011201208341). De andere boodschappen lijken een nieuw fenomeen te zijnomvatten.

Op basis van de beschikbare informatie kan het probleem als volgt worden omschreven:

  • de boodschap vermeldt [email protected] als afzender. Dat is het adres van het “Contactcenter” van de FOD Financiën,

  • de boodschap bevat een link naar het aanvraagformulier voor de teruggave dat kan worden gedownload . Het formulier kan op de website http://fiscus.fgov.ro. worden gedownload. Deze website bevindt zich in Roemenië. De naam van de website is vergelijkbaar met de naam van de website van de FOD Financiën, http://fiscus.fgov.be. De opmaak van het formulier is gebaseerd op de opmaak van de informatiepagina op de website van Financiën (identieke achtergrondkleur en header).

De auteur van deze oplichterij moest de informaticasystemen van de FOD Financiën helemaal niet kraken om zijn wandaad te voltooien. Hij moest enkel kennis nemen van de informatie over de FOD Financiën die op het Internet staat, bepaalde informatiepagina’s kopiëren en die kopieën aanpassen om in functie van zijn eigen behoeften te voorzien. De FOD Financiën heeft dus geen enkel middel om een dergelijk fenomeen op te sporen. De zaak is ter kennis gekomen van de FOD door klachten van burgers of informatie van andere instellingen als Federal Computer Crime Unit (FCCU) en Computer Emergency Response Team (CERT).

1) De feiten werden via de website www.ecops.be aan de federale politie gemeld.

  • Er was rechtstreeks contact met de FCCU.

  • De toegang tot de omstreden website werd op 15 april 2013 door het CERT geblokkeerd.

  • Sedert 26 maart staat op de website van de FOD Financiën een waarschuwing onder de titel “Valse e-mails in omloop”.

  • Op 9 april werd aan één van de eerste klagers bijkomende informatie gevraagd (volledige kopie van de boodschap) teneinde een meer diepgaand onderzoek van het probleem te kunnen verrichten. De FOD Financiën heeft geen antwoord ontvangen.

2) In beide gevallen bestond de fraude in uit het communiceren aan het slachtoffer van een aanvraagformulier voor een belastingteruggave, waarin hij gevraagd werd vertrouwelijke gegevens m.b.t. zijn kredietkaart in te voeren.

Op basis van de gedeeltelijke beschikbare informatie lijkt één op vijf boodschappen sterk op de boodschappen van 2012;

  • Het bedrag van de voorgestelde belastingteruggave is identiek.

  • Het formulier was net zoals in 2012 aan de boodschap gehecht.

  • Het formulier was in het Frans opgesteld.

De vier andere boodschappen blijken op een andere manier tot stand te zijn gekomen:

  • de boodschap was in het Engels of het Nederlands opgesteld,

  • het formulier moest worden gedownload.

In beide gevallen lijken de technieken om gegevens te stelen sterk op elkaar.

3) De FOD Financiën heeft geen informatie over de werkelijke oorsprong van de boodschappen. .

In 2012 werden de verzamelde gegevens naar een website in Koeweit gestuurd.

In 2013 werd het formulier van op een website in Roemenië gedownload.

Het is mogelijk dat de twee boodschappen van eenzelfde internationale criminele organisatie afkomstig zijn.

De toegang tot de twee geïdentificeerde websites werd met behulp van het CERT geblokkeerd.

De techniek om gegevens te stelen, blijft echter wel sterk vergelijkbaar in beide gevallen. De kwaliteit van de boodschappen en hun gelijkenis werden wel veel verbeterd.

Eén op de vijf ontvangen boodschappen leek sterk op de boodschap van 2012. Ofwel was deze boodschap van dezelfde oorsprong, ofwel gaat het om een oude boodschap die blijft circuleren.

4) Heeft hij cijfers over klachten met betrekking tot de problemen? Hoeveel mensen hebben melding gemaakt van deze recente praktijken (bijvoorbeeld via het contactcenter), en hoeveel mensen zijn slachtoffer geworden? Kan hij deze cijfers meedelen?

De FOD Financiën heeft slechts vijf meldingen van dit probleem ontvangen. Vier ervan kwamen van burgers of vennootschappen die de boodschap hadden ontvangen en één kwam van het CERT.

Uit de contacten tussen de FOD Financiën en de FCCU hebben we begrepen dat dit soort boodschappen al maanden op het Internet circuleren. Deze boodschappen zijn op verschillende financiële instellingen gericht.

Voor zover het informaticasysteem van de FOD Financiën niet in deze oplichting wordt betrokken, kan ze niet worden opgespoord of kan de omvang ervan niet worden gemeten. De enige informatie waarover de FOD Financiën beschikt, zijn de klachten van de burgers.

5) De FOD Financiën is geen rechtstreeks slachtoffer van de fraude voor zover de informaticasystemen op een bepaald moment niet werden gekraakt. De gegevens van Financiën werden niet gestolen en niet gewijzigd en er werd niet ingebroken in een systeem van de FOD Financiën. De enige feiten waarvan de FOD Financiën het slachtoffer kan zijn, zijn identiteitsdiefstal en het namaken van een website.

De fraude is duidelijk op de belastingplichtigen gericht.

6) Het gebruikte e-mailadres is dat van het “Contactcenter” van de FOD Financiën. Deze informatie is openbaar.

Het is vrij eenvoudig om het adres van de afzender van een e-mail te vervalsen zonder dat de informaticasystemen van de houder van het adres daarbij worden betrokken.

7) In 2012 ontving de FOD Financiën slechts één informatieboodschap over fraude (naast een televisiebericht dat in opdracht van de FCCU werd verspreid).

In 2013 ontving de FOD Financiën vijf informatieboodschappen over fraude.

Volgens de FCCU neemt dit soort fraude, dewelke zich op verschillende financiële instellingen richt, al enkele maanden toe.