Fraude aux prestations : le commerce clandestin d’identités volées révélé

Avec l’augmentation rapide du chômage pendant la pandémie de Covide-19, et beaucoup plus de gens susceptibles de perdre leur emploi dès que le régime de congé du gouvernement touche à sa fin, les identités volées sont de plus en plus précieux et sont ouvertement vendus sur le dark web dans le but de mener la fraude aux prestations de crédit universel.

C’est selon les chercheurs de la société de cyber-intelligence IntSights, qui ont identifié de multiples cybercriminels offrant des leçons d’escroquerie et des tutoriels sur la façon de commettre des fraudes aux prestations dans plusieurs pays, y compris le Royaume-Uni.

Le système de crédit universel du Royaume-Uni – conçu pour être un service à prédominance numérique – a connu des difficultés tout au long de la pandémie en raison du grand nombre de demandeurs que le Department for Work and Pensions (DWP) a dû traiter et des goulots d’étranglement dans le système de vérification d’identité Gov.uk en difficulté.

Ces facteurs, couplés à des possibilités limitées de contact en face-à-face pendant le processus – encore une fois grâce à l’accès restreint de Pôle emploi pendant la pandémie – ont créé une occasion en or pour les cybercriminels d’exploiter, a déclaré Etay Maor, directeur de la sécurité d’IntSight.

Dans les messages partagés avec Computer Weekly qui ont été envoyés sur la plate-forme sécurisée Telegram – de plus en plus favorisé par les cybercriminels parce qu’il offre plus de protection que de communiquer sur le dark web – Maor a révélé comment les cybercriminels discutent ouvertement du fait que Covide-19 a rendu la fraude aux prestations plus lucrative que jamais.

« Le gouvernement et les organismes municipaux qui offrent ces avantages subissent beaucoup de pression pour fournir de l’argent aux citoyens dans le besoin, et ce que nous voyons maintenant, c’est que la plupart du temps, les contrôles de sécurité sont assouplis parce qu’ils sont sous pression pour effectuer très rapidement », a déclaré Maor. « Les cybercriminels identifient les domaines dans lesquels chacune de ces agences est à la traîne, et c’est ce dont ils profitent.

« C’est ce que nous appellerions les fournisseurs de services frauduleux. Ce sont des professionnels qui font cela, ce ne sont pas seulement des enfants.

IntSights a partagé des preuves d’une personne qui a été observée offrant un tutoriel de fraude de crédit universel à partir d’un menu d’autres options – qui comprenait des détaillants en ligne de premier plan. Dans ce cas, le tutoriel de crédit universel a été l’élément le plus cher sur le menu, à venir à 120 euros.

Maor a déclaré que le tutoriel était plus coûteux en raison du service de paiement avancé offert par le crédit universel, qui est un paiement unique d’urgence entre 500 et 1 500 euros conçu pour les demandeurs marée plus au cours des cinq semaines environ qu’il faut habituellement pour mettre en place le service complet.

Bien qu’utile aux demandeurs de bonne foi, cette caractéristique fait malheureusement du crédit universel quelque chose d’un fruit à faible pendaison parce que si un cybercriminel peut usurper la carte d’un demandeur d’asile pour réclamer ce paiement anticipé, ils peuvent empocher l’argent avant même que leur victime a même remarqué qu’ils sont devenus une victime. Souvent, la première fois qu’ils sauront à ce sujet, c’est quand une lettre confuse DWP arrive leur disant une réclamation qu’ils n’ont pas fait a été couronnée de succès.

Les risques pour les personnes qui ont eu leur identité usurpée pour faire de fausses réclamations sont clairs, a déclaré Maor. « Si vous êtes une personne qui allait déposer une réclamation, maintenant que l’argent a déjà disparu et que vous devez commencer à travailler à convaincre le gouvernement que vous n’avez pas pris cet argent, et ce n’était pas vous.

« e n’ai pas beaucoup de bonnes solutions pour cela, à part prêter une attention très étroite au courrier que vous recevez. Dans ce cas, ce n’est pas comme dire que vous aviez besoin d’avoir une meilleure hygiène de sécurité parce que vous avez perdu votre mot de passe – la victime n’a pas vraiment perdu quoi que ce soit. Le premier point de contact est entre le criminel et l’organisme gouvernemental.

Maor a déclaré qu’il y avait un besoin évident pour le DWP de prendre des mesures pour consolider la sécurité du processus de réclamations. « Je sais qu’en tant que personne en sécurité, il est facile pour moi de dire de le faire, de le faire et vous serez en sécurité, et si le DWP devait faire tout ce que je recommanderais, il faudrait probablement embaucher des milliers d’employés uniquement pour la sécurité, ce qui n’est pas faisable », a-t-il dit. « Ais il y a des vérifications minimales que j’aimerais voir mises en œuvre. »

Cela pourrait être aussi simple que de demander une pièce d’identité avec photo au cours du processus initial de réclamations. Maor a dit que même si ce genre de chèque peut lui-même être usurpé, il pourrait également élever la barre juste assez pour repousser certains criminels.

Un porte-parole de DWP a déclaré: « La grande majorité des demandes de remboursement du crédit universel sont légitimes et la fraude et l’erreur dans le système de prestations reste très faible, avec 96,5% des prestations versées correctement.

« Nous continuons de surveiller et d’enquêter sur les nouvelles menaces de fraude et de poursuivre ceux qui cherchent à arnaquer le contribuable en utilisant lell gamme de nos pouvoirs, y compris les poursuites et les sanctions financières sévères.

Le ministère dispose d’un certain nombre d’équipes dédiées à l’enquête sur divers types de fraudes perpétrées contre les systèmes d’avantages sociaux du Royaume-Uni, et a récemment mis en place un service de vérification amélioré comprenant 600 enquêteurs de fraude formés, à qui le personnel de traitement doit renvoyer les cas suspects pour enquête et vérification. Il a déclaré à Computer Weekly cela a fait des incursions dans la lutte contre l’abus du système.

Ailleurs, le DWP travaille beaucoup avec les plateformes en ligne pour fermer les messages qui encouragent la fraude, et s’engage dans la messagerie proactive sur les médias sociaux pour sensibiliser la population à la question, et rappeler aux gens l’importance de protéger leur identité.