Veille Fraude Fintech · AR-2026-018 · Semaine du 7 AVRIL 2026
TL;DR
🔴 Gold Union + Or en Cash : double fuite secteur or physique — 126k profils IBAN + CNI en circulation active depuis le 2 avril
🔴 Phishing fiscal : 100+ campagnes déployées à J-4 de l'ouverture des déclarations (11 avril) — malwares, RAT et faux mails DGFiP déjà actifs
🔴 LinkedIn phishing BEC : campagne active vers 1,2 milliard d'utilisateurs — vol de credentials → fraude au virement entreprise
🟠 FNC-RF : J-29 avant obligation PSP — fenêtre de mise en conformité critique (6 mai 2026)
Signal 1 — double fuite or physique : Gold Union + Or En Cash
Impact : 🔴
Mécanisme
Le 2 avril 2026, Gold Union (achat/revente d'or physique) confirme une fuite structurée : 126 638 clients exposés, données couvrant 2023–2026. Contenu : IBAN, noms, adresses postales, 6 000 pièces d'identité recto/verso, historiques de transactions. Quelques jours plus tard, Or en Cash — concurrent direct — confirme à son tour une fuite après un incident de sécurité, périmètre en cours de confirmation.
Deux acteurs du même secteur de niche touchés en moins d'une semaine. Pattern d'attaque de filière : probable compromission d'un prestataire commun ou d'une infrastructure partagée (logiciel de conformité KYC, CRM sectoriel).
Ce que ça signifie pour vous
PSP / acquéreur : vos clients qui ont vendu de l'or chez ces deux acteurs entre 2023 et 2026 sont dans la nature avec leur IBAN. Les premières tentatives de faux mandats SEPA apparaîtront dans les 15 à 45 jours. Un IBAN provenant d'un nouveau bénéficiaire vers lequel un client n'a jamais émis de virement doit déclencher un contrôle renforcé, pas une validation automatique.
Néobanque / BaaS : les identités synthétiques construites à partir de CNI volées de qualité — recto/verso, récentes, cohérentes — sont exactement ce que fournit cette fuite. Vos modèles d'onboarding vont voir arriver des dossiers documentairement parfaits dans les 30 à 90 jours. La vérification comportementale et les signaux de device/IP sont votre seul filet.
Equipe fraude corporate : si votre entreprise a des salariés ou fournisseurs ayant vendu de l'or via ces plateformes, leurs données bancaires circulent. Un changement de RIB entrant dans les prochaines semaines mérite une vérification par canal alternatif systématique.
Action concrète
Alimenter le FNC-RF avec les IBAN identifiés comme issus de ces fuites avant le 6 mai. Paramétrer une règle de surveillance sur les nouveaux bénéficiaires SEPA pour les comptes clients potentiellement exposés. Renforcer la vérification des mandats de prélèvement entrants sur les 60 prochains jours.
Pattern clé
Les données patrimoniales (IBAN + CNI + adresse + historique de transactions) constituent le profil le plus valorisé sur les marchés dark web — parmi les plus valorisés sur les marchés criminels. Le délai d'exploitation documenté post-fuite de ce type est de 15 à 45 jours, pas 90. Agir maintenant, pas dans un mois.
Signal 2 — phishing fiscal : fenêtre d'exploitation ouverte ) J-4
Impact : 🔴
Mécanisme
L'ouverture des déclarations de revenus est fixée au 11 avril 2026. Plus de 100 campagnes cybercriminelles à thème fiscal sont déjà documentées en circulation avant même cette date. Vecteurs : phishing DGFiP ("remboursement en attente", "saisie de 343€", "paiement urgent"), malwares déposés via faux documents fiscaux, outils de prise de contrôle à distance (RAT). La campagne 2026 est structurellement différente des précédentes : les données personnelles issues des fuites de l'hiver 2026 (FICOBA, Gold Union, Cerballiance) rendent les messages personnalisés et crédibles.
Ce que ça signifie pour vous
PSP / acquéreur : les RAT déposés sur les postes des victimes pendant la période fiscale permettent une prise de contrôle directe de l'interface bancaire. Les transactions générées par RAT ne déclenchent pas les alertes comportementales habituelles car elles proviennent du device légitime de l'utilisateur. Votre signal de détection doit se déplacer du canal vers le comportement transactionnel.
Néobanque / BaaS : vos utilisateurs moins sensibilisés (profils grand public, seniors) sont la cible prioritaire. Un pic de signalements de connexions inhabituelles ou de demandes de remboursement "DGFiP" est attendu dès le 11 avril. Préparer la réponse support maintenant.
Equipe fraude corporate : vos collaborateurs en télétravail sont exposés. Un RAT installé sur un poste personnel utilisé pour l'accès VPN d'entreprise constitue un vecteur d'intrusion interne. Rappel de consignes à diffuser avant le 11 avril.
Action concrète
Diffuser une alerte interne avant le 11 avril : aucun mail DGFiP ne demande un paiement urgent, accéder uniquement par impots.gouv.fr en saisie directe. Paramétrer une surveillance renforcée des virements sortants inhabituels pendant les 10 semaines de la période fiscale (11 avril → juin). Signaler cybermalveillance.gouv.fr aux collaborateurs comme premier réflexe post-incident.
Pattern clé
Le phishing fiscal est saisonnier mais son niveau de personnalisation augmente chaque année en fonction des fuites disponibles. En 2026, pour la première fois, les campagnes disposent d'un stock de numéros fiscaux, IBAN et adresses fraîchement exfiltrés. La crédibilité perçue par les victimes sera significativement plus élevée que lors des années précédentes.
Signal 3 — Linkedin phishing → BEC : campagne active, 1.2 milliard d'utilisateurs
Impact : 🔴
Mécanisme
Une campagne de phishing structurée cible les utilisateurs LinkedIn via des emails imitant les notifications officielles de la plateforme. Domaine source : khanieteam.com, enregistré quelques jours avant le déploiement de la campagne. Les victimes sont redirigées vers de fausses pages de connexion collectant les credentials. Confirmé par le Cofense Phishing Defense Center (Enrico Silverio) : campagne active, structurée, non opportuniste. L'objectif final documenté est la fraude BEC : credential LinkedIn volé → usurpation de dirigeant ou de DAF → ordre de virement frauduleux.
Ce que ça signifie pour vous
PSP / acquéreur : les virements frauduleux générés par BEC sont parmi les plus difficiles à détecter car ils proviennent de donneurs d'ordre légitimes agissant de bonne foi sous influence d'un usurpateur. Votre règle de détection sur les demandes de changement de RIB fournisseur reçues par email doit être en alerte maximale.
Néobanque / BaaS : si vos clients professionnels (TPE/PME) utilisent LinkedIn pour leurs communications métier, leurs comptes sont en risque. Une prise de contrôle du compte LinkedIn du dirigeant peut précéder une demande de virement frauduleux dans les 24 à 72 heures.
Equipe fraude corporate : blacklister khanieteam.com au niveau DNS dès maintenant. Activer le MFA sur tous les comptes LinkedIn des équipes dirigeante, financière et RH sans exception. Toute demande de virement reçue via messagerie doit être vérifiée par appel direct sur un numéro mémorisé — pas un rappel sur le numéro fourni dans l'email.
Action concrète
Blacklist DNS immédiate : khanieteam.com et ses sous-domaines. Communication interne obligatoire avant fin de semaine : MFA LinkedIn = non-négociable pour les accès à responsabilité financière. Test de phishing interne ciblé LinkedIn à planifier dans les 30 jours — la campagne active est une opportunité pédagogique réelle.
Pattern clé
La chaîne LinkedIn → BEC est documentée par l'IC3/FBI depuis 2022 et monte en intensité. Les incidents BEC figurent parmi les plus coûteux en Europe selon les données Europol. La valeur d'un compte LinkedIn de DAF ou DRH sur les marchés criminels : entre 300 et 800 euros. Le ratio coût/bénéfice pour l'attaquant est exceptionnel.
Signal 4 — FNC-RF : J-29, la fenêtre se ferme
Impact : 🟠
Mécanisme
Le 6 mai 2026, le Fichier National des Comptes signalés à Risque de Fraude devient juridiquement obligatoire pour tous les prestataires de services de paiement français. Base légale : loi du 6 novembre 2025 + décret n°2026-194 du 18 mars 2026. Le mécanisme : consultation automatique de la base centralisée par la Banque de France avant tout virement SEPA, prélèvement ou paiement instantané. Un IBAN signalé déclenche une possibilité de différé ou de blocage. Premier dispositif inter-PSP français de partage d'IBAN frauduleux en temps réel.
Ce que ça signifie pour vous
PSP / acquéreur : la non-connexion engage votre responsabilité sur les virements frauduleux que le fichier aurait permis de détecter. Ce point est explicite dans le texte. Il ne s'agit pas d'une contrainte administrative — c'est un transfert de risque juridique.
Néobanque / BaaS : votre avantage compétitif sur la gestion du risque fraude dépend en partie de la qualité des IBAN que vous contribuez au fichier. Plus vous alimentez la base, plus sa couverture est efficace pour l'ensemble de l'écosystème — y compris pour vous.
Equipe fraude corporate : si votre entreprise est cliente d'un PSP non connecté le 6 mai, votre couverture contre les virements sortants frauduleux est diminuée. Vérifier avec votre PSP leur statut de connexion.
Action concrète
Contacter votre référent Banque de France cette semaine pour confirmer le calendrier d'intégration. Préparer le flux de signalement des IBAN issus des fuites de la semaine (Gold Union, Or en Cash). Documenter les procédures internes de consultation pour les équipes opérationnelles.
Pattern clé
Le FNC-RF est structurellement similaire au Cifas britannique, dont l'efficacité documentée sur la réduction de la fraude inter-PSP est de 15 à 20% sur les virements frauduleux dans les 18 mois post-déploiement. Le calendrier français est contraint mais la mécanique est éprouvée.
Lecture stratégique
Ces quatre signaux forment un arc cohérent, pas une liste d'incidents indépendants.
La double fuite or physique alimente le stock criminel. Ce stock nourrit le phishing fiscal personnalisé (J-4). Les credentials LinkedIn volés par la campagne en cours fournissent le vecteur d'injection dans les entreprises. Et le FNC-RF — le seul dispositif défensif systémique disponible — ne sera opérationnel qu'en J-29.
La semaine du 7 avril est structurellement la plus exposée depuis le début de l'année : les données exfiltrées cet hiver arrivent à maturité d'exploitation au moment précis où la période fiscale ouvre une fenêtre de vulnérabilité grand public et où le dispositif de défense inter-PSP n'est pas encore en place.
Ce n'est pas une convergence accidentelle. C'est la conséquence prévisible du cycle : fuite → maturation → exploitation. Le cycle se déroule comme documenté depuis 18 mois.
Signal faible de la semaine
La double fuite du secteur or physique (Gold Union + Or en Cash en 5 jours) suggère une compromission de filière — probablement un prestataire commun : logiciel de conformité KYC, CRM sectoriel, ou hébergeur partagé. Si cette hypothèse se confirme, d'autres acteurs du secteur (argent physique, métaux précieux, numismatique) peuvent être concernés sans le savoir encore. A surveiller : MJT Numismatique, Comptoir National de l'Or, et autres acheteurs d'or physique — prochaines victimes potentielles si le vecteur d'entrée est bien un prestataire commun.
A surveiller cette semaine
11 avril : ouverture des déclarations de revenus — pic de phishing fiscal attendu, publier alerte le matin même.
6 mai (J-29 aujourd'hui) : FNC-RF — confirmer statut de connexion avec la Banque de France avant fin de semaine.
EBA Risk Dashboard Q1 2026 : attendu cette semaine, pas encore publié à date du rapport — vérifier eba.europa.eu mardi et mercredi.
Verdict procès FCB Paris (11 prévenus / 740k€) : toujours en attente.
Or en Cash : périmètre exact de la fuite non encore communiqué — suivre Cyberattaque.org et FrenchBreaches.
ARS / 130 hôpitaux (DumpSec, 35M patients) : revendication sans confirmation officielle ANSSI — si confirmation avant vendredi, publication prioritaire.
Ce que vous devez faire cette semaine
[ ] Vérifier l'état d'avancement de votre connexion FNC-RF avec la Banque de France — avant vendredi 10 avril
[ ] Signaler au FNC-RF les IBAN Gold Union et Or en Cash identifiés comme exposés
[ ] Blacklister khanieteam.com au niveau DNS dès aujourd'hui
[ ] Activer le MFA LinkedIn sur tous les comptes à responsabilité financière ou dirigeante
[ ] Paramétrer une règle de surveillance sur les nouveaux bénéficiaires SEPA — pic attendu dans les 30 jours
[ ] Diffuser une alerte interne sur le phishing fiscal avant le 11 avril
[ ] Rappeler la procédure de vérification des demandes de changement de RIB fournisseur
[ ] Re-vérifier eba.europa.eu mardi pour le Risk Dashboard Q1
SOURCES
FrenchBreaches — Alerte Gold Union
Cryptoast — Analyse fuite Gold Union
FrenchBreaches — Risque physique Gold Union
Cyberattaque.org — Or en Cash fuite confirmée
Solutions Numériques — Campagnes fiscales 2026
Maison-Travaux — Arnaque mail fisc
Lemag-juridique — Décret FNC-RF
ZDNET — InterCert France 15 jours
Mind Fintech — LexisNexis identités synthétiques
