Fraude par usurpation de compte « Mark Nagoyo » chez BDO Unibank

Fin 2021, BDO Unibank (Banco de Oro) — la plus grande banque des Philippines par les actifs — a subi une vague de virements en ligne frauduleux qui ont vidé les comptes de plus de 700 clients. Les fonds ont été acheminés vers plusieurs comptes UnionBank ouverts sous l'alias « Mark Nagoyo », un jeu de mots tiré de l'argot philippin signifiant « juste pour rire ».

Ce qui s'est passé

Entre fin novembre et début décembre 2021, des victimes ont signalé la disparition d'argent de leurs comptes de banque en ligne BDO. Les pertes individuelles allaient d'environ 25 000 à 50 000 ₱, et dans au moins un cas, un seul compte compromis a été utilisé pour recevoir 5 millions de ₱, rapidement convertis en Bitcoin le 11 décembre.

Ce qui a déconcerté clients et enquêteurs, c'est que de nombreuses victimes affirmaient n'avoir cliqué sur aucun lien suspect et n'avoir reçu aucune alerte de mot de passe à usage unique (OTP) — pourtant des virements dépassant les limites quotidiennes habituelles ont tout de même été exécutés. Cela indiquait des identifiants compromis combinés à des faiblesses dans l'authentification des transactions et la surveillance des fraudes.

Comment cela a fonctionné

Les enquêteurs ont conclu que le stratagème reposait principalement sur l'hameçonnage et l'ingénierie sociale : des identifiants de banque en ligne collectés ont été utilisés pour se connecter et lancer des virements vers un réseau de comptes-relais dans une autre banque. Les comptes destinataires sous « Mark Nagoyo » servaient de relais avant que les fonds ne soient dispersés ou convertis en cryptomonnaie, compliquant leur récupération.

Arrestations

Le 21 janvier 2022, le Bureau national d'investigation (NBI) a arrêté cinq suspects liés au stratagème : deux ressortissants nigérians — Ifesinachi Fountain Anakwe et Chukwuemeka Peter Nwadi — et trois complices philippins. La Bangko Sentral ng Pilipinas (BSP) avait auparavant identifié deux à quatre auteurs principaux, et moins de dix comptes destinataires ont été gelés durant l'enquête.

Impact et réponse

Le 12 décembre 2021, BDO a reconnu publiquement la fraude et, deux jours plus tard, s'est engagée à rembourser tous les clients touchés et à renforcer son infrastructure de sécurité. La BSP — la banque centrale et régulateur bancaire — a lancé sa propre enquête et a pressé les banques de durcir l'authentification et les contrôles antifraude.

Pourquoi c'est important

L'incident « Mark Nagoyo » est le cas emblématique de fraude bancaire numérique des Philippines. Il a frappé la plus grande banque du pays pendant une explosion de la banque en ligne liée à la pandémie et a révélé des lacunes dans la protection des identifiants, la surveillance des transactions et l'authentification par OTP. L'affaire a accéléré des réformes menées par la BSP — notamment des exigences plus strictes en matière de gestion de la fraude et de remboursement des clients — et demeure une référence sur le risque d'usurpation de compte dans la banque de détail philippine.

Chronologie

1 novembre 2021

Des virements non autorisés commencent à vider les fonds de comptes de banque en ligne BDO.

11 décembre 2021

Un compte compromis est utilisé pour recevoir 5 millions de pesos, convertis en Bitcoin.

12 décembre 2021

BDO reconnaît publiquement la fraude et s'engage à rembourser les clients touchés.

14 décembre 2021

BDO annonce officiellement le remboursement et des améliorations de sécurité ; la BSP enquête.

21 janvier 2022

Le NBI arrête cinq suspects — deux ressortissants nigérians et trois Philippins — liés au stratagème « Mark Nagoyo ».

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/2021_Banco_de_Oro_hack

rappler.comhttps://www.rappler.com/business/bdo-clients-lose-money-due-alleged-online-banking-hack/

rappler.comhttps://www.rappler.com/business/bdo-hackers-arrested-nbi/

privacy.gov.phhttps://privacy.gov.ph/wp-content/uploads/2025/10/NPC-SS-21-023-2024.06.05-In-Re-Alleged-Personal-Data-Breach-of-BDO_Decision.pdf

Incidents liés

Ingénierie socialeContenu30 juin 2025

Braquage Pix chez C&M Software (Brésil, 2025)

Un développeur junior chez C&M Software — fournisseur autorisé par la Banque centrale pour la connectivité au système de paiement instantané Pix — a été payé environ 5 000 R$ pour livrer ses identifiants. Les attaquants ont utilisé cet accès pour vider environ 800 millions de R$ (148 millions de dollars) des comptes de réserve de six institutions financières brésiliennes en 2,5 heures.

Victim: C&M Software (fournisseur d'infrastructure de paiement Pix)
Loss: $148.0M

Ingénierie socialeRésolu19 août 2020

Fuite de données Experian Afrique du Sud (Afrique du Sud, 2020)

Un fraudeur se faisant passer pour un client légitime d'Experian a obtenu les données personnelles de 24 millions de Sud-Africains et de 793 749 entreprises, dans ce qui est devenu l'une des plus grandes fuites de données de l'histoire de l'Afrique du Sud.

Victim: Experian South Africa
Records: 24.0M

Espionnagestolen4 février 2016

Casse SWIFT de la Bangladesh Bank

Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.

Victim: Bangladesh Bank
Loss: $81.0M

Ingénierie socialeEn cours9 juin 2026

La messagerie gouvernementale française Tchap compromise via un compte détourné (2026)

Les autorités françaises ont confirmé qu'un attaquant avait détourné un compte utilisateur de Tchap pour accéder à des salons publics de la messagerie sécurisée de l'État, l'intrus affirmant avoir aspiré des dizaines de milliers de comptes et des centaines de milliers de messages.

Victim: Tchap (DINUM)