Depuis notre article de février portant sur une escroquerie internet de grande ampleur, nous avons poursuivi nos investigations sur la prétendue Rebecca Dagg et son équipe. Plusieurs nouveaux sites falsifiés ont fait leur apparition. Leur contenu reste globalement inchangé par rapport aux premiers exemples analysés, mais nous avons cependant noté une progression technique certaine. Les sites sont plus aboutis et l’impression d’amateurisme qui les caractérisait en début d’année tend à disparaitre. La liste des utilisateurs piégés n’est plus directement accessible, les erreurs générées par un mauvais numéro de tracking sont gérées de manière correcte. Les scameurs semblent donc apprendre de leurs erreurs et il devient de plus en plus difficile de différencier un site falsifié de son modèle (légitime) d’origine.
Nous avons donc décidé d’établir une liste des sites, noms et adresses email utilisés par « Rebecca Dagg » et son équipe. Cette liste, qui n’est bien sûr pas exhaustive, est appelée à évoluer au fil du temps. Nous vous invitons d’ailleurs à nous soumettre toutes les nouvelles informations qui pourraient venir la compléter.
Liste des sites de petites annonces
Les annonces des escrocs ont été répertoriées sur les sites suivants :
- Kijiji [www.kijiji.ca]
- Conrad [www.conrad.ch]
- Anibis [www.anibis.ch]
- Ricardo[www.ricardo.ch]
- Gumtree [www.gumtree.com]
- Expatriates [www.expatriates.com]
- immoscout 24 [www.immosctou24.ch]
- Le bon coin [www.leboncoin.fr]
Sites de tracking de colis utilisés
Les sites de tracking utilisés lorsque le scénario implique l’envoi d’un colis sont répertoriés dans la liste ci-dessous. Certains d’entre eux sont maintenant inactifs :
- blueline-express.com
- globalcourworldwide.com
- safesds.net
- bentea-spedition.com
- speedinter.co.uk
- flightshipping.com
- 24courierexp.com
- www.counitedtruckltd.com
- europe-transit.com
- www.teratransporte.com/es
- cars-transport-online.com
- pacificmaritimeshippingline.com
- acrossglobeservices.com
- vuelo-exp.com
- hauex.com
- newrosslogistics.com
- haudirect.com
- protection-transport.com
- property-way.com
- ltr-transports.com
- britannic-express.com
- starhau.com
- aasocz-trk.com
- international-avirex.com
- landmark-agency.net
- mondial-shipping.com
- www.midland-transport.com
- transports-europe.com
- otlservice.com
- dynamic-ways.com
- property-next.com
- britania-logistics.com
- british-spedex.com
- fast-routes.com
- wmshippingltdusa.com
- total-world-logistics.com
- norfolk-line.all.co.uk
- property-instant.com
- spedex-is.all.co.uk
- straight-freight.com
l faut relever que l’essentiel de ces noms de domaines est enregistré par l’intermédiaire d’un service d’anonymisation. Des sociétés tel les que CloudGroup ou PublicDomainRegistry permettent de déléguer ce type d’enregistrement, rendant quasiment impossible l’obtention d’information sur leur propriétaire. Aucune chance donc de remonter par ce biais à l’identité réelle des arnaqueurs.
Un business en évolution constante
A l’origine, les escroqueries passaient uniquement par des petites annonces spécifiques à l’électronique – comme du matériel photo, par exemple. Les escrocs ont maintenant élargi leur champ d’action puisqu’ils publient aussi des offres de location d'appartements à Paris ou à Dubaï, ou encore proposent des ventes de voitures d’occasion. Dans ces cas de figure, il n’y a plus de colis à suivre sur un site de tracking, mais le « pigeon » doit verser un acompte pour réserver le bien.
Autre élément intéressant : de nouveaux noms de domaines sont enregistrés régulièrement. Depuis novembre 2012, on constate qu’une nouvelle entrée est créée presque chaque semaine. Les scameurs ont mis en place un processus constant d’ajout de nouveaux sites. Cela leur permet de disposer d’un pool de sites web récents et de rester ainsi en dehors des listes d’URL frauduleux puisque les processus de classification des sites à risque prennent un certain temps.
Contacts et adresses e-mail utilisés
Rebecca Dagg n’est que l’une des identités utilisées par les escrocs, parmi beaucoup d’autres. La relation entre les noms de ces différents contacts a pu être établie car ils se réfèrent aux mêmes sites frauduleux de tracking des colis.
Les noms suivants ont été répertoriés dans les différentes annonces :
- Rebecca Dagg
- Vicky Stokes
- Beccy dag
- Ann Clare Collings
- Tara Collings
- Hilton Kurth
- Juliet Dagg
- Genevieve Booysen
- Rita Booysen
- Pacome
- David Heath Wyatt
- Steven Lawler
- Anwar Mohammed Abdullah Elsayed
Rebecca Dagg reste pour l’instant le nom plus utilisé, mais on peut s’attendre à sa disparition progressive puisqu’en cherchant ce nom sur Google on tombe principalement sur des sites de prévention contre des arnaques. Les autres noms ne sont pour l’instant peu ou pas identifiés comme appartenant à des scameurs.
De la même manière les adresses mail utilisées sont essentiellement liées à Rebecca:
- beca.dagg@gmail.com
- abeccydag@gmail.com
- bettyglower@gmail.com
- karenglower@gmail.com
- Beccydag@gmail.com
- rebydag@gmail.com
- beccydag@gmail.com
- delaaw@hotmail.co.uk
- reb_dag009@yahoo.com
- hmmhra@yahoo.com
- rdagg1969@hotmail.co.uk
- lola.amanda392@gmail.com
- wiliam.robert385@hotmail.com
- rebeccajanedagg427@gmail.com
Pour combattre de telles arnaques
Les sites de petites d’annonces et les hébergeurs peuvent difficilement faire la chasse aux entrées frauduleuses puisque c’est lors des échanges directs entre le vendeur et l’acheteur potentiel qu’apparaissent les premières preuves de malversations. Par la force des choses, les hébergeurs ou les sites d'annonces auront toujours un temps de retard par rapport aux escrocs.
L’unique méthode permettant de prévenir de telles escroqueries est de former les utilisateurs à détecter les pièges potentiels. Savoir différencier ce qui est correct de ce qui ne l’est pas du point de vue de la sécurité ne s’improvise pas et passe par un processus d’apprentissage. Il y a bien sûr la méthode dure : apprendre de ses erreurs après s’être fait arnaquer. C’est radical et certainement efficace. Mais on lui préférera tout de même la méthode préventive, qui passe par une formation préalable. Le but final est d’amener l’utilisateur à se poser les bonnes questions lorsqu’on lui demande de fournir des informations personnelles sur internet et d’adopter un comportement réfléchi chaque fois qu’il utilise son navigateur web.
Bonjour
Moi aussi je suis tombé sur Clara Moulin qui vend un télescope sur le bon coin et devinez! elle est retournée au Danemark!
Yes, everything you see is included. My price is 1,000 EUR - it's quite cheap already. Like I said in my first e-mail, I live in Copenhagen, Denmark. I bought the equipment while I was working in Paris but I had to move back home. I want to sell it there because the warranty and all the paperwork are in french and it's much easier.
Moi aussi j'ai fais la connaissance de cette fameuse Marylène Pommier. Sa demande m'a parue louche, j'ai googlisé et suis arrivée ici OUf ! Merci pour l'info !
Clara Moulin 18:52 (Il y a 2 minutes)
À moi Emilio,
We can do it like this: I will accept 1,200 EUR now, I will send you the camera and you pay me the rest of 800 EUR in a month. I will specify this information to the shipping company so that they would know. Is it OK ?
Voyant qu'elle avait accepté une offre aussi farfelue, j'ai juste googlé clara Moulin sur google et je suis arrivé ici courage pour ceux qui se sont fait avoir
Clara Moulin 18:37 (Il y a 14 minutes)
À moi Emilio,
I will accept 2,000 EUR if you take it as quickly as possible. Like I said in my first e-mail, I live in Copenhagen, Denmark. I bought the camera while I was working in Bruxelles but I had to move back home. I want to sell it there because the warranty and all the paperwork are in french and it's much easier.
But if you're interested I will send it through a shipping company and you will benefit of a 3 days inspection period. That means you can look at it and check everything and if you find any kind of problems with it or it's not as described, you can send it back at no costs on your behalf.
You don't have to pay anything more than the asking price. Good faith has always been my top priority and my most valued business approach.
bonjour clara moulin fait encore parler d'elle... voici une copie de l' e-mail qu'on a échangé:
Clara Moulin 21:35 (Il y a 21 heures)
À moi Bonjour,
Je vous remercie de votre adresse e-mail. Je suis désolé que mon français n'est pas très bon, j'ai travaillé à Bonjour, Bruxelles jusqu'en Juillet, mais je quitter mon emploi et je suis rentré au Copenhague, Danemark.
J'ai acheté ce en Belgique, c'est pourquoi je préfère vendre en Belgique (il a la garantie de la Belgique, tous les documents en français, et la boîte d'origine)
Pour plus d'informations s'il vous plaît contactez-moi en anglais.
Merci beaucoup. Clara
2014-12-09 14:19 GMT+02:00 2ememain.be :
Ah oui ! Marylène Pommier de Chartres. Dites-donc, elle a de gros besoins en matériel photographique si elle vous a aussi contacté ! :) Elle insiste pour payer par Kwixo, livrer par chronopost 13 à sa charge, etc etc.
Bonjour, Vous avez aussi pommiermarylene21@gmail.com qui se propose d’acheter du matériel photographique sans poser la moindre question sur ce matériel. C Durand
Sad to say that Clara82moulin has been successful at scamming me. I am currently attempting everything I can to get my money back and to do anything in my power to stop this person.
I was lead to believe that I was to pay a sum of money to the fake courier company of Direct-Routes 24 co, which I did to this bank account
Account Holder: Vasile L. Hojda IBAN: ES89 0487 3227 0490 0008 2047 Account number: 0487 3227 0490 0008 2047 Swift: GBMNESMMXXX Bank name: Caja Granada
Can't help but wonder if that is not enough information to capture the crook behind all of this?
Anyone??
Merci J'ai moi aussi été attiré par une annonce sur le bon coin. Réponse très pro de clara Moulin: " Je vous remercie de votre adresse e-mail. Je suis désolé que mon français n'est pas très bon, j'ai travaillé à Paris jusqu'en Juillet, mais je quitter mon emploi et je suis rentré au Copenhague, Danemark.
J'ai acheté ce en France, c'est pourquoi je préfère vendre en France (il a la garantie de la France, tous les documents en français, et la boîte d'origine)
Pour plus d'informations s'il vous plaît contactez-moi en anglais.
Merci beaucoup. Clara puis, à ma demande de détails " Everything is in immaculate condition - not a single scratch, no dust, nothing. Like I said in my first e-mail, I live in Copenhagen, Denmark. I bought the binoculars while I was working in Paris but I had to move back home. I want to sell it there because the warranty and all the paperwork are in french and it's much easier.
But if you're interested I will send it through a shipping company and you will benefit of a 3 days inspection period. That means you can look at it and check everything and if you find any kind of problems with it or it's not as described, you can send it back at no costs on your behalf.
You don't have to pay anything more than the asking price. Good faith has always been my top priority and my most valued business approach." Mais c'était trop beau pour être vrai: un coup d'oiel sur votre site m'a évité de me faire escroquer. MERCI
Clara sur le bon coin pour vendre un fujifilm x-pro1 plus accessoirs et 3 objectifs !
La reponse : "Bonjour,
Je vous remercie de votre adresse e-mail. Je suis désolé que mon français n'est pas très bon, j'ai travaillé à Paris jusqu'en Juillet, mais je quitter mon emploi et je suis rentré au Copenhague, Danemark.
J'ai acheté ce en France, c'est pourquoi je préfère vendre en France (il a la garantie de la France, tous les documents en français, et la boîte d'origine)
Pour plus d'informations s'il vous plaît contactez-moi en anglais.
Merci beaucoup. Clara"
Attention elle vend un Nikon D700 avec 3 objectifs (sur le bon coin), elle prétend être au Danemark, mauvais français elle veut correspondre en anglais, paiement à travers une société.
clara de retour ! sur leboncoin concernant un appareil nikon D800 ... j'ai répondu en danois , le parlant ... j'attends la réponse
Reçu même mail pour annonce sur le bon coin qui était encore active hier. Pour un canon 70-200 f2,8 avec extender pour un prix imbattable.
Bonjour,
Je vous remercie de votre adresse e-mail. Je suis désolé que mon français n'est pas très bon, j'ai travaillé à Paris jusqu'en Juillet, mais je quitter mon emploi et je suis rentré au Copenhague, Danemark.
J'ai acheté ce en France, c'est pourquoi je préfère vendre en France (il a la garantie de la France, tous les documents en français, et la boîte d'origine)
Pour plus d'informations s'il vous plaît contactez-moi en anglais.
Merci beaucoup. Clara
Oui, méfiez-vous de Clara, j'ai reçu également le même e-mail mais concernant un vélo cette fois.
Attention.... Moi j'ai répondu à une annonce du boncoin.fr d'un nommé Max (synthé yamaha motif XF8) et c'est cette Clara Moulin qui m'a répondu. Elle est repartie au Danemark !!!
Voici sa réponse (avec toutes ses fautes) :
Je vous remercie de votre adresse e-mail. Je suis désolé que mon français n'est pas très bon, j'ai travaillé à Paris jusqu'en Juillet, mais je quitter mon emploi et je suis rentré au Copenhague, Danemark. J'ai acheté ce en France, c'est pourquoi je préfère vendre en France (il a la garantie de la France, tous les documents en français, et la boîte d'origine) Pour plus d'informations s'il vous plaît contactez-moi en anglais. Merci beaucoup. Clara
J'ai également retrouvé une annonce de cette clara sur www.2ememain.be qui est devenue Danoise maintenant et qui a vécue quelques mois en Belgique et y a acheter une camera professionnelle à plus de 3.500 euros ????? attention
Je poste les infos ici sur conseils de navixia :
Nom : Clara Moulin Adresse mail : clara82moulin@gmail.com "Rencontré" sur le site d'annonce belge www.2ememain.be
Variante Bruxelles/Prague de la vente d'un appareil photo, des phrases identiques aux 2 articles, e.g.: "It is in immaculate condition, no scratches, dents, dust, nothing. Like I said in my first e-mail, I live in Prague, Czech Republic. I bought the equipment while I was working in Bruxelles but I had to move back home. I want to sell it there because the warranty and all the paperwork are in french and it's much easier."
etc..
Cordialement,
Bonjour, j'ai rencontré le même type d'arnaque (mail avec plus de détails envoyé à navixia) sur le site d'annonce belge www.2ememain.be annonceur Clara Moulin (de Prague...) Restez prudent. Cordialement, Pierre
Ne serait-il pas judicieux de faire une recherche préalable sur le nom du transporteur (fictif) avant de passer commande ? Et rechercher dans les registres du commerce (genre Societe.com pour les entreprises françaises) si l'entreprise existe bel et bien ? Et l'absence de présence de ses société dans les sites de rating des services comme Google Trusted Store ou Fia-Net ne peut-elle pas mettre la puce à l'oreille des acheteurs ? Sinon, il y a toujours la notation des vendeurs sur eBay : choisir un vendeur avec un passé important et un nombre de transactions volumineux ainsi que la vente d'objets de type similaire...
Très intéressant. Merci pour cette enquête et rendre publique toutes ces informations !