Le département américain de la Justice (DoJ) a annoncé la condamnation de Sercan Oyuntur, 40 ans, résident de Californie, pour plusieurs chefs d’accusation liés à une opération de phishing qui a causé 23,5 millions de dollars de dommages au département américain de la Défense (DoD).
Le fraudeur a réussi à détourner sur son compte bancaire personnel des fonds du DoD destinés à un fournisseur de carburéacteur.
Après un procès de huit jours à Camden, en Californie, Oyuntur a été reconnu coupable de complot en vue de commettre une fraude par fil, courrier et banque, accès non autorisé à un appareil, vol d’identité aggravé et fausses déclarations aux agents fédéraux chargés de l’application des lois.
Opération d’hameçonnage
Selon le plainte pénale contre Oyuntur en 2019, les dommages causés par la fraude par hameçonnage se sont produits en septembre 2018.
Oyuntur et ses conspirateurs ont enregistré le domaine « dia-mil.com », qui est très similaire au légitime « dla.mil », et l’ont utilisé pour envoyer des e-mails de phishing.
Ces e-mails ont été envoyés aux utilisateurs de SAM (System for Award Management), qui est une base de données de fournisseurs dans laquelle les entreprises qui souhaitent faire affaire avec le gouvernement fédéral s’enregistrent elles-mêmes.
Les messages de phishing contenaient des liens vers un site Web cloné « login.gov », où les vendeurs victimes ont saisi les détails de leur compte, les exposant sans le savoir à Oyuntur.
Dans au moins un cas confirmé, Oyuntur s’est connecté à l’un des comptes volés appartenant à une société d’Asie du Sud-Est qui avait 11 contrats actifs de fourniture de carburant pour l’armée américaine à l’époque.
L’un d’eux était un contrat de 23 453 350 $ avec un paiement en attente pour la fourniture de 10 080 000 gallons de carburéacteur au DoD américain.
En se connectant à la base de données SAM en tant que société victime, Oyuntur a modifié les informations bancaires enregistrées, remplaçant le compte étranger par celui qu’il contrôlait.
Tenter de contourner les garanties
À l’époque, les serveurs EBS du DoD comportaient un système de sécurité qui scannait la base de données SAM toutes les 24 heures pour détecter les changements de compte bancaire et bloquait les paiements des factures impayées qui répondaient à des critères de risque spécifiques.
Les conspirateurs sont tombés sur ce problème suite au changement de compte bancaire et ont eu recours à l’appel de la DLA (Defense Logistics Agency), en fournissant de fausses explications et en demandant l’approbation manuelle des modifications des informations financières.
En octobre 2018, le paiement a été effectué. Oyuntur et ses conspirateurs ont utilisé des factures falsifiées des ventes de voitures d’un concessionnaire pour forger une source apparemment légitime pour la somme considérable.
« Dans le cadre de sa participation au stratagème, Oyuntur a travaillé en étroite collaboration avec un autre conspirateur, Hurriyet Arslan, qui possédait un concessionnaire de voitures d’occasion, Deal Automotive Sales, à Florence, New Jersey. »
« Arslan a ouvert une société écran distincte basée dans le New Jersey pour être utilisée dans le cadre du stratagème criminel, a obtenu un numéro de téléphone portable pour la société écran, a embauché une autre personne pour se faire passer pour le propriétaire de la société écran et a ouvert un compte bancaire au nom de la société écran. société » – la Département américain de la justice
Cependant, le concessionnaire utilisé dans le cadre du stratagème n’était pas un entrepreneur du gouvernement et n’était pas enregistré sur SAM, de sorte que la transaction était toujours incompatible avec les systèmes de vérification automatisés en place.
En conséquence, une enquête a été lancée, découvrant progressivement toutes les étapes de la fraude, identifiant l’un des conspirateurs d’Oyuntur, Hurriyet Arslan, le propriétaire du concessionnaire automobile, et annulant la transaction.
Arslan a plaidé coupable de complot, de fraude bancaire et de blanchiment d’argent en janvier 2020 et devrait être condamné cet été.
Oyuntur encourt une peine potentielle maximale de 30 ans de prison et une amende maximale de 1 000 000 $ ou deux fois les profits bruts de la perte résultant de ses infractions. La date du jugement n’a pas encore été fixée.