Compagnie Française de Recouvrement Scam/Phishing email

General Discussion
1

Got this delightful phishing email earlier so just to warn people in case they see something similar as CFR appears to be a genuine French debt collection agency and the scam had me unsure for a good 10 minutes (see analysis in a later post).

To be fair I was pretty sure this was bogus - my PayPal account is in the UK so there is no logical reason they would demand money in Euros and, in any event, I have a regular PP account where fees are taken as part of transactions and even if a fee was due the account has a healthy balance (from selling activity on ebay) and is connected to cards with good balances so a debt which could be passed to a debt collection agency would not arise.

Needless to say no previous communication has been received - the date claimed is 2009 which made me more suspicious that this is just phishing.

CFR are, indeed a genuine debt collection agency.

A : paul@…
De : Compagnie Française de Recouvrement (CFR)
Date : Samedi 31 Août 2019

Solde débiteur de votre compte PayPal paul@…
Référence : 085425214

DERNIER AVIS AVANT ACTION JUDICIAIRE

MONTANT DU TTC : 45,08 euros / 50.01 Dollar américain

Madame, Monsieur,

Malgré notre mise en demeure (Article 1153 alinéa 2 du Code Civil) du
04/06/2009 et nos différentes relances, nous n’avons toujours pas reçu
votre règlement auprès de nos services.

Comme annoncé dans nos précédentes correspondances, nous nous réservons
le droit de mandater notre collaborateur Huissier de justice afin
d’obtenir une condamnation judiciaire à votre encontre.

Celui-ci confiera votre dossier à un confrère territorialement compétent
afin de déposer la requête en INJONCTION DE PAYER dont la copie vous a
précédemment été transmise auprès du Président du Tribunal d’Instance de
votre domicile.

Les pièces suivantes seront fournies au greffe pour action judiciaire à
votre encontre :

  • duplicata de votre relevé PayPal, copie de votre contrat d’utilisation
    signé électroniquement, copie de la mise en demeure CFR….
    De plus, nous réclamerons, outre le paiement du principal, des dommages
    et intérêts ainsi que des frais* prévus par l’article 700 du Nouveau
    Code de Procédure Civile.

A ce jour, seul un règlement immédiat voire un échelonnement de la dette
pourrait suspendre cette procédure.

Aussi, afin d’éviter le déclenchement d’une lourde procédure judiciaire,
nous vous octroyons un ultime délai de 10 jours pour régler cette dette.
Cette présente intervention s’insérant dans un cadre amiable, aucun
frais supplémentaire ne vous est pour l’heure demandé.

Nous vous invitons donc à procéder immédiatement à votre règlement par
carte bancaire / paypal sur notre site de paiement en ligne sécurisé
https://www.paiement-cfr.com/invoice/085425214 ou bien :

    - par chèque à l’ordre de CFR envoyé à l’adresse en rappelant

vos références 085425214 : CFR –BP 60634 – 31106 TOULOUSE CEDEX 1

     - par mandat compte à La Poste sur le compte CCP n°1030231H

centre 037 en indiquant 085425214 dans la case correspondance

        - par virement sur notre compte postal  en indiquant votre

référence 085425214 dans le libellé du virement
IBAN : FR03 2004 1010 1610 3023 1H03 783
BIC : PSSTFRPPTOU

Paiement exigé à réception de ce courrier électronique

N’oubliez pas de préciser votre référence lors du règlement 085425214

RAPPEL : pour toute information concernant le détail de vos transactions
PayPal merci de vous connecter à votre compte sur
https://www.paypal.com/fr/home ou contactez le service client de PayPal

Le responsable du service juridique CFR
Tél : 0892 16 35 43 (35 cts /min)

Conformément à l’art. 27 de la loi n°78-17 Informatique et Liberté,
vous disposez d’un droit d’accès et de rectification pour les données
nominatives vous concernant auprès de l’émetteur de la présente
*Article32 de la loi du 09/07/1991 :« …sauf s’ils concernent un acte
dont l’accomplissement est prescrit par la loi, les frais de
recouvrement entrepris sans titre exécutoire restent à la charge du
créancier, toute stipulation contraire est réputée non écrite.
Cependant, le créancier qui justifie du caractère nécessaire des
démarches entreprises pour recouvrer sa créance peut demander au juge de
l’exécution de laisser tout ou partie des frais ainsi exposés à la
charge du débiteur de mauvaise foi.
CFR Recouvrements - recouvrement amiable -2 Chemin du Pigeonnier de la
Cépière - 31100 Toulouse - SA au capital de 150 000 euros RCS Toulouse
398 273 094.

2

Thanks to Jane for the phishing link below - if I get a minute I probably will report this one.

I am reminded, again, that it is much harder to spot this sort of thing in French - and I must remember to make allowances when non native English speakers get caught out by ones in English, even if they are “obvious”.

3

Scam and spam!

And phising you can report here

https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action

4

Thanks Jane

OK, it is definitely phishing - they do tend to stick out a mile in English but, of course in French it is much harder for me to spot.

However it is possible to tell with certainty now I’ve looked at it a bit more.

The first thing to note is that the URL for payment looks kosher - paiement-cfr.com is indeed the portal that CFR use but if I hover over the link I note that it actually resolves to a bitly shortened URL. For some reason this did not ring as many alarm bells as it should - after all people use URL shorteners all the time, so quite clever of our scammer to do that.

There are short URL expanders around and this one is really http://invoice.le-net.org/085425214/ - invoice-le-net.org is well known to be used by phishing scams (and blacklisted by McAfee and Norton Safe Web)

BUT, if I go to the real CFR payment portal and put the reference in it comes up unknown - so definitely bogus.

The second clue is the IP address that originated the email - 185.81.157.74. You have to know how to read email headers to get this and there is no immediate way to be certain it is not associated with the company. It is, in fact, a French IP address, looks to be associated with a web hosting/virtual server company called Innulogic.

However - if I dig around the email services used by CFR it is clear they use G.Suite (a Google productivity suite for business) - so, almost certainly, genuine email from CFR would come through a Google server.

Right, can breath easier now. :slight_smile:

2 Likes
5

Thank you Paul for your exact and precise analysis.
I work for CFR and confirm that this email is a fraud , that it was not sent by us.
Do not pay or open the links indicated.
CFR has filed a complaint at the authorities about this.
We do work for many major companies for collection in France, and the hoax uses an old version of email with a few changes.
Best regards,
Thomas Vergeat
reponse@cfr-recouvrement.com

6

Thanks for the confirmation. Hope no-one on SF gets caught out with one of these.

7

more spam than scam:
image

2 Likes
8

Thanks for the reminder, Paul. As you say, more difficult to spot in a language not your own.

I see they didn’t address you by name, and I guess that’s one of the things that made you suspicious.

9

Yes, lack of personalisation in the body of the email is one clue.

The most obvious thing normally1 is that the links point to the wrong hosts - eg this one I got supposedly from a customer enquiring about an Amazon order (I don’t sell stuff on Amazon)

Order: 302-5783423-5876324
ASIN: B076GV8DME

------------- Beginning of the message -------------

Hello,

The order 302-5783423-5876324 was scheduled to arrive on 16.08.19. We don`t have it. Can you tell us what is happening ? We are going to wait 24 hours before we report this to Amazon.

Yours sincerely

Ronja Gabriel

In this case the URLs in the links were to the host sellercentral.amazon.co.uk.er1ypjcmzzkw5ur.8026563.com - clearly an attempt to make it look on a quick glance that it is an Amazon link but equally very obviously bogus. However it is important to use an email client/browser that properly displays the destination - Thunderbird and Firefox do, not sure about others except I know Internet Explorer used to get it wrong.

The other thing, as I said, is to be able to read email headers - the one above has the line

Received: from mail.8026563.com (localhost.blazingfast.io [127.0.0.1])

Which is simply wrong for Amazon email

1] But mostly, my spam filter catches them, however, like me it isn’t as sharp when it’s in French.

10
Votre Impayé chez PayPal

A : emea.support@mozy.com
De : GoPay
Date : 03/09/2019
Objet : Votre compte débiteur chez PAYPAL

Ref : 080545875

MESSAGE DE RELANCE

Madame, Monsieur,

A la requête de votre créancier, PAYPAL (Europe) SARL & Cie- 22-24
Boulevard ROYAL –L-2449 LUXEMBOURG , dont la GoPay
est le mandataire, vous êtes redevable de la somme de 45,07€ / $50.01
qui représente l’état débiteur de votre compte PayPal à ce jour.

En vertu du mandat qui nous a été confié par PayPal, dans le
cadre d’un recouvrement amiable nous agissons conformément à la loi du
09/07/1991 (art. 32*). Aucun frais ne vous est réclamé à ce stade de la
procédure.

Nature de la créance : compte PayPal débiteur
MONTANT TTC : 45,07 € / $50.01
Date de limite de paiement : à réception de ce courrier électronique

A défaut de paiement, nous serons contraints de transmettre votre
dossier à notre service juridique chargé d’engager une procédure
contentieuse à votre encontre, et qui pourra éventuellement saisir le
tribunal afin d’obtenir un titre exécutoire, ce qui ajouterait au
principal de la créance les dommages et intérêts légaux, ainsi que ceux
demandés au titre de l’Article 700 du Nouveau Code de Procédure Civile.

Tout paiement doit être adressé à :
GoPay
350 convention way redwood city california 94063

en rappelant la référence suivante : 080545875

Modes de paiement acceptés :

  • par chèque libellé à l’ordre de la GoPay envoyé à l’adresse :
    350 convention way redwood city california 94063

  • soit sur notre site de paiement en ligne https://www.gopay.com/invoice/080545875

Le Service Recouvrement
GoPay
0345 702 3594 (15cts/min)

Nota : il est impossible de répondre à ce message électronique pour
raison de sécurité et de confidentialité des informations vous
concernant.

  • « sauf s’ils concernent un acte dont l’accomplissement est prescrit
    par la loi, les frais de recouvrement entrepris sans titre exécutoire
    restent à la charge du créancier, toute stipulation contraire est
    réputée non écrite. Cependant, le créancier qui justifie du caractère
    nécessaire des démarches entreprises pour recouvrer sa créance peut
    demander au juge de l’exécution de laisser tout ou partie des frais
    ainsi exposés à la charge du débiteur de mauvaise foi. »

Conformément à l’art.27 de la loi n°78-17 d’Informatique et Liberté,
vous disposez d’un droit d’accès et de rectification pour les données
nominatives vous concernant auprès de l’émetteur de la présente.
GoPay : Recouvrement amiable
350 convention way redwood city california 94063|

This looks like a continuation of the scam that I saw earlier in a post. I work for a business that is based in the US, but extends into the EU. This is a case that was opened for tech support.

11

Hello Chris and welcome to the forum.

Yes, indeed. Another of these wretched scams…

Are you planning on coming to France - or just enjoying the “visit” ??

12

I’ll bet that “GoPay” payment link is nothing of the sort which should confirm that it is a scam, although it looks very similar to the one that I received.

13

I’m not touching any link… it’s a house-rule… we touch nuffink we don’t really know… :upside_down_face::wink::laughing: