Rebecca, arnaques et nouvelles découvertes

Tristan Leiter
Blog cybersécurité

Depuis notre article de février portant sur une escroquerie internet de grande ampleur, nous avons poursuivi nos investigations sur la prétendue Rebecca Dagg et son équipe. Plusieurs nouveaux sites falsifiés ont fait leur apparition. Leur contenu reste globalement inchangé par rapport aux premiers exemples analysés, mais nous avons cependant noté une progression technique certaine. Les sites sont plus aboutis et l’impression d’amateurisme qui les caractérisait en début d’année tend à disparaitre. La liste des utilisateurs piégés n’est plus directement accessible, les erreurs générées par un mauvais numéro de tracking sont gérées de manière correcte. Les scameurs semblent donc apprendre de leurs erreurs et il devient de plus en plus difficile de différencier un site falsifié de son modèle (légitime) d’origine.

Nous avons donc décidé d’établir une liste des sites, noms et adresses email utilisés par « Rebecca Dagg » et son équipe. Cette liste, qui n’est bien sûr pas exhaustive, est appelée à évoluer au fil du temps. Nous vous invitons d’ailleurs à nous soumettre toutes les nouvelles informations qui pourraient venir la compléter.

Liste des sites de petites annonces

Les annonces des escrocs ont été répertoriées sur les sites suivants :

  • Kijiji [www.kijiji.ca]
  • Conrad [www.conrad.ch]
  • Anibis [www.anibis.ch]
  • Ricardo[www.ricardo.ch]
  • Gumtree [www.gumtree.com]
  • Expatriates [www.expatriates.com]
  • immoscout 24 [www.immosctou24.ch]
  • Le bon coin [www.leboncoin.fr]

Sites de tracking de colis utilisés

Les sites de tracking utilisés lorsque le scénario implique l’envoi d’un colis sont répertoriés dans la liste ci-dessous. Certains d’entre eux sont maintenant inactifs :

  • blueline-express.com
  • globalcourworldwide.com
  • safesds.net
  • bentea-spedition.com
  • speedinter.co.uk
  • flightshipping.com
  • 24courierexp.com
  • www.counitedtruckltd.com
  • europe-transit.com
  • www.teratransporte.com/es
  • cars-transport-online.com
  • pacificmaritimeshippingline.com
  • acrossglobeservices.com
  • vuelo-exp.com
  • hauex.com
  • newrosslogistics.com
  • haudirect.com
  • protection-transport.com
  • property-way.com
  • ltr-transports.com
  • britannic-express.com
  • starhau.com
  • aasocz-trk.com
  • international-avirex.com
  • landmark-agency.net
  • mondial-shipping.com
  • www.midland-transport.com
  • transports-europe.com
  • otlservice.com
  • dynamic-ways.com
  • property-next.com
  • britania-logistics.com
  • british-spedex.com
  • fast-routes.com
  • wmshippingltdusa.com
  • total-world-logistics.com
  • norfolk-line.all.co.uk
  • property-instant.com
  • spedex-is.all.co.uk
  • straight-freight.com

l faut relever que l’essentiel de ces noms de domaines est enregistré par l’intermédiaire d’un service d’anonymisation. Des sociétés tel les que CloudGroup ou PublicDomainRegistry permettent de déléguer ce type d’enregistrement, rendant quasiment impossible l’obtention d’information sur leur propriétaire. Aucune chance donc de remonter par ce biais à l’identité réelle des arnaqueurs.

Un business en évolution constante

A l’origine, les escroqueries passaient uniquement par des petites annonces spécifiques à l’électronique – comme du matériel photo, par exemple. Les escrocs ont maintenant élargi leur champ d’action puisqu’ils publient aussi des offres de location d'appartements à Paris ou à Dubaï, ou encore proposent des ventes de voitures d’occasion. Dans ces cas de figure, il n’y a plus de colis à suivre sur un site de tracking, mais le « pigeon » doit verser un acompte pour réserver le bien.

Autre élément intéressant : de nouveaux noms de domaines sont enregistrés régulièrement. Depuis novembre 2012, on constate qu’une nouvelle entrée est créée presque chaque semaine. Les scameurs ont mis en place un processus constant d’ajout de nouveaux sites. Cela leur permet de disposer d’un pool de sites web récents et de rester ainsi en dehors des listes d’URL frauduleux puisque les processus de classification des sites à risque prennent un certain temps.

Contacts et adresses e-mail utilisés

Rebecca Dagg n’est que l’une des identités utilisées par les escrocs, parmi beaucoup d’autres. La relation entre les noms de ces différents contacts a pu être établie car ils se réfèrent aux mêmes sites frauduleux de tracking des colis.

Les noms suivants ont été répertoriés dans les différentes annonces :

  • Rebecca Dagg
  • Vicky Stokes
  • Beccy dag
  • Ann Clare Collings
  • Tara Collings
  • Hilton Kurth
  • Juliet Dagg
  • Genevieve Booysen
  • Rita Booysen
  • Pacome 
  • David Heath Wyatt
  • Steven Lawler
  • Anwar Mohammed Abdullah Elsayed

Rebecca Dagg reste pour l’instant le nom plus utilisé, mais on peut s’attendre à sa disparition progressive puisqu’en cherchant ce nom sur Google on tombe principalement sur des sites de prévention contre des arnaques. Les autres noms ne sont pour l’instant peu ou pas identifiés comme appartenant à des scameurs.

De la même manière les adresses mail utilisées sont essentiellement liées à Rebecca:

  • beca.dagg@gmail.com
  • abeccydag@gmail.com
  • bettyglower@gmail.com
  • karenglower@gmail.com
  • Beccydag@gmail.com
  • rebydag@gmail.com
  • beccydag@gmail.com
  • delaaw@hotmail.co.uk
  • reb_dag009@yahoo.com
  • hmmhra@yahoo.com
  • rdagg1969@hotmail.co.uk
  • lola.amanda392@gmail.com
  • wiliam.robert385@hotmail.com
  • rebeccajanedagg427@gmail.com

Pour combattre de telles arnaques

Les sites de petites d’annonces et les hébergeurs peuvent difficilement faire la chasse aux entrées frauduleuses puisque c’est lors des échanges directs entre le vendeur et l’acheteur potentiel qu’apparaissent les premières preuves de malversations. Par la force des choses, les hébergeurs ou les sites d'annonces auront toujours un temps de retard par rapport aux escrocs.

L’unique méthode permettant de prévenir de telles escroqueries est de former les utilisateurs à détecter les pièges potentiels. Savoir différencier ce qui est correct de ce qui ne l’est pas du point de vue de la sécurité ne s’improvise pas et passe par un processus d’apprentissage. Il y a bien sûr la méthode dure : apprendre de ses erreurs après s’être fait arnaquer. C’est radical et certainement efficace. Mais on lui préférera tout de même la méthode préventive, qui passe par une formation préalable. Le but final est d’amener l’utilisateur à se poser les bonnes questions lorsqu’on lui demande de fournir des informations personnelles sur internet et d’adopter un comportement réfléchi chaque fois qu’il utilise son navigateur web.

Autres lectures instructives