Une fraude mettant en scène Normand Brathwaite mène à une plongée dans un terrier de lapin
À Cyber Citoyen, on aime bien fouiller les infrastructures utilisées par les fraudeurs en ligne...
C’est un passe-temps comme un autre.
Il nous arrive donc de commencer à tirer sur un fil, juste pour voir ce que l’on peut découvrir.
Parfois, ça ne donne rien. D’autres fois, on arrive à identifier l’un des acteurs impliqués. Mais cette semaine, ça s’est soldé par des dizaines d’appels téléphoniques de la part de ces présumés escrocs.
On vous raconte ça.
De la cryptomonnaie frauduleuse
Lors du dernier épisode du balado Cyber Citoyen,
m’a montré une capture d’écran d’un article décrivant un soi-disant scandale. Eh oui, il paraît que Guy A. Lepage ne veut pas que vous soyez riches!Dans ce texte, qui avait tout l’air d’avoir été publié sur le site de La Presse, on affirmait que l’animateur Normand Brathwaite avait fait scandale sur le plateau de l’émission Tout le monde en parle en dévoilant l’adresse d’un site Web permettant de faire fortune à l’aide de cryptomonnaies.
Ce genre de fraude fonctionne habituellement en convainquant les gens d’investir sur une plateforme de vente de cryptomonnaies. Il y a un montant minimum qu’on doit investir pour démarrer. En retour, on promet des bénéfices faramineux.
Le hic? En réalité, on n’achète rien du tout. C’est du vent.
Au début, les fraudeurs vont parfois nous redonner un peu d’argent. Cet argent vient d’autres victimes qu’ils ont déjà flouées. Mis en confiance par ces petits gains, on investit plus. Toutes sortes de méthodes sont utilisées pour nous faire ajouter de l’argent et nous empêcher d’en retirer. Une fois que les arnaqueurs ont l’impression d’avoir pressé le citron jusqu’au bout, ils disparaissent avec le magot.
Des tentatives de fraude, on en voit passer souvent : des offres trop belles pour être vraies sur Facebook Marketplace, des tentatives d’hameçonnage par courriel et autres pratiques louches. Je ne sais pas trop pourquoi, mais celle-ci m’a donné le goût d’en savoir plus. J’ai donc commencé à fouiller.
Quelques précautions
Avant de me lancer, quelques précautions : un VPN et une machine virtuelle.
J’utilise le VPN pour ne pas dévoiler mon adresse IP. Si les individus qui gèrent ces sites regardent qui les a consultés, je préfère qu’ils n’aient pas l’adresse de mon ordinateur. Le VPN me permet aussi de modifier ma géolocalisation. Cela me permet donc de voir de quoi à l’air le site Web pour quelqu’un situé en France ou en Angleterre, par exemple.
Deuxièmement, comme je n’ai pas tellement envie d’installer du malware sur mon ordinateur, j’utilise une machine virtuelle. C’est un peu comme avoir un deuxième ordinateur à l’intérieur de son ordinateur. Si je clique sur un lien qu’il aurait mieux valu ignorer et que la machine virtuelle se fait infecter par un virus, hop, on la détruit et on en crée une autre.
Un petit peu de Google
Pour débuter, j’ai fait des recherches sur Google utilisant les mots-clés « Normand Brathwaite » et en y ajoutant d’autres termes comme « crypto » ou « bitcoin ».
Les guillemets, sur Google, ça permet de rechercher l’expression exacte. Si je cherche « Normand Brathwaite » « crypto », Google va me retourner les pages qui contiennent ces deux expressions.
Cette recherche nous a permis de trouver un tas de textes publiés sur la plateforme Medium qui relaient tous le même contenu. C’étaient des comptes bidon qui n’avaient rien publiés d’autres et avec des noms d’utilisateur qui semblaient être générés au hasard.
J’ai pris une phrase de ce texte et j’ai effectué une recherche pour celle-ci avec les guillemets. Résultat?
Un texte sur Medium, mais cette fois-ci, au lieu de Normand Brathwaite, c’était le joueur de tennis Roger Federer sur le plateau d’une émission française. À part les noms, le texte est identique.
On a aussi trouvé des commentaires d'internautes qui disaient aux gens de se méfier de cette arnaque. Cela nous a permis de constater que cette méthode n’est pas nouvelle. Ces arnaqueurs ont déjà fait la même chose avec d’autres célébrités françaises.
L’espion de Google
Le texte sur Medium comportait un hyperlien vers un site au nom de domaine louche : SNBGHLLYTRK[.]COM
Lorsqu’on clique sur le lien (oui, j’ai cliqué. Ne faites pas cela à la maison sans la supervision d’un adulte), on est redirigé vers un site hébergé à l’adresse BEST-MONEY-DEAL-DAILY[.]COM.
Vous vous demandez peut-être pourquoi j’ai mis des crochets autour du point? C’est une façon de « dégriffer » les urls. De cette façon, on ne risque pas de cliquer dessus par accident.
En fouillant le code source de ce site, qui est visible en faisant un clic droit avec votre souris, j’ai noté un petit bout de code intéressant : un Google tag.
Pour analyser le trafic sur notre site Web, on peut utiliser ce qu’on appelle des Google tags. Ce sont des bouts de codes qui permettent au géant Google de suivre le trafic sur notre site. On peut savoir qui l’a visité, combien de temps ces gens sont restés, quelles pages ont été vues et quels liens ont été cliqués. Ils sont assez faciles à repérer et ressemblent habituellement à ceci : gtag('config', 'G-Le_ID_du_site');
Ce qui est intéressant dans notre cas, c’est qu’un Google tag est un identifiant unique. Cela veut dire que chaque compte aura le sien. Les gens qui gèrent plusieurs sites vont parfois les réutiliser et donc dévoiler les liens entre ceux-ci.
Dans ce cas, le ID G-JKNQJZB64H est utilisé par deux autres sites : OFFICIAL-SITE-OFFER[.]COM et OFFICIAL-SITE-PLATFORM[.]COM.
On sait donc qu’ils ont déjà fait ça. On sait qu’ils recyclent le même texte avec des célébrités et émissions différentes et qu’ils ont au moins trois plateformes reliées entre elles.
Qu’est-ce qu’on peut trouver de plus?
Suivre le lapin blanc
Première étape, trouver où et quand ont été enregistrés ces noms de domaine.
Ils sont tous relativement nouveaux. Le plus ancien du groupe a été enregistré en décembre 2023. Les autres domaines mentionnés plus haut datent tous de janvier et février 2024. Malheureusement, les informations sur la personne qui a enregistré ces noms de domaine sont cachées.
Quand vous voulez aller sur un site Web, votre fureteur va chercher son adresse sur Internet, c’est ce qu’on appelle l’adresse IP. Cette adresse peut nous permettre de relier des sites entre eux. Disons que sitewebA.com et siteWebB.com sont tous les deux hébergés à la même adresse, sur le même serveur, nous indique que ces sites sont potentiellement liés à la même personne.
Dans ce cas, malheureusement, presque tous les sites Web trouvés utilisent les services de Cloudflare.
Cloudflare est un CDN (en français, un réseau de diffusion de contenu). Ce service va stocker une copie du site sur divers serveurs situés à différents endroits dans le monde. Cela permet d’augmenter la rapidité avec laquelle le contenu est envoyé aux gens qui veulent le consulter. C’est aussi une façon de protéger un site contre les attaques de déni de service (DDoS).
Le problème pour nous, c’est qu’en utilisant ce service légitime, les arnaqueurs cachent l’adresse où est réellement hébergé le contenu.
Le site sur lequel on est tombé en cliquant sur le lien dans l’article publié sur Medium nous propose de s’inscrire pour enfin commencer à faire de l’argent à l’aide de cryptomonnaies.
Celui-ci est fait avec Wordpress, un système de gestion de contenu gratuit et « open-source » qui sert à bâtir des sites Web.
J’ai rempli le formulaire, qui demandait un nom, une adresse courriel et un numéro de téléphone. Ce site utilise une méthode pour valider les numéros de téléphone, car on m’a gentiment avisé que la série de chiffres entrée au hasard n’était pas un numéro valide.
Ne voulant pas donner mon véritable numéro, j’ai utilisé un numéro fourni par une application de téléphonie par Internet. Cette application sert en quelque sort d’intermédiaire. On peut même créer plusieurs numéros différents et choisir l’indicatif régional. C’est bien pratique dans ce genre de situation.
Inscription terminée et les appels commencent
Une fois l’adresse courriel créée pour l’occasion et le numéro de téléphone entré dans le formulaire, me voilà redirigé vers un autre site Web : CLIENT.ATRADE-GLOBAL[.]COM et c’est là que les appels téléphoniques ont débuté.
J’ai dû recevoir pas loin de 30 appels dans les deux heures qui ont suivies. Tous les appels affichaient des numéros différents et personne n’a laissé de message. Je n’ai pas répondu et finalement cela s’est calmé.
Le site à l’air un peu cheap. Ce n’est clairement pas l’œuvre de quelqu’un avec le budget qui vient avec le fait d’avoir fait fortune avec des Bitcoins. Il y a une interface pour entrer mes informations bancaires ainsi que pour faire des dépôts et des retraits.
On a déniché d’autres informations, qui bien qu’elles ne permettent pas d’identifier de personnes derrière cette arnaque, montrent que ce site existe dans un écosystème plus large de sites frauduleux sur le thème de la cryptomonnaie.
On vous en parlera de la suite de cette descente dans le terrier de lapin dans une prochaine édition de l’infolettre.
Abonnez-vous pour ne rien manquer!