Le pirate... piraté!

Tristan Leiter
Blog cybersécurité

Le monde des arnaques sur internet (« scam » dans le jargon informatique) évolue rapidement. On voit bien sûr toujours feu monsieur Mamatou, habitant un pays de l’Afrique centrale et souhaitant par son testament vous léguer une partie de son héritage. Il suffit alors en théorie, de s’acquitter d’un acompte destiné à payer les frais bancaires pour recevoir quelques millions sur son compte en banque. Mis à part quelques politiques vaudois, les gens réalisent rapidement qu’il s’agit d’une escroquerie. Mais d'autres arnaques sont bien plus traîtres.

Nouveau type d'arnaques

Le nouveau type d'arnaque que l’on trouve aujourd’hui sur internet, plus sophistiqué et plus ciblé, est beaucoup plus difficile à déceler. Avec relativement peu de moyens et beaucoup d’astuce des escrocs peuvent aisément extorquer des fonds à des internautes peu vigilants. C’est un peu par hasard que nous sommes tombés sur l'un de ces scams, à partir d'une annonce proposant un appareil photo sur un site suisse de petites annonces. Décortiquer techniquement son fonctionnement de manière pointue nous a permis de faire des découvertes intéressantes et de mettre à jour un système éprouvé, actif dans toute l’Europe.

Schéma de l’arnaque

Le point de départ est une annonce pour un appareil photo sur un célèbre site de petites annonces suisses. L’offre, même très bon marché, semblait réelle. Plusieurs emails sont échangés avec le vendeur, une certaine Rebecca, sans qu’il soit question d’argent. Les échanges portent principalement sur des questions techniques. Rebecca nous explique qu’elle habite maintenant à Londres mais a vécu précédemment à Bâle. De ce fait, la garantie a été établie en Suisse et c’est là qu’elle cherche à vendre l’appareil.

Rebecca nous propose ensuite de nous envoyer à ses frais le colis par l‘intermédiaire d’une société de transport type DHL. Nous aurons 3 jours pour examiner le matériel et dans le cas où celui-ci ne nous satisferait pas, nous aurons la possibilité de le lui renvoyer.

Echange de mails

Dans le mail suivant, la méthode change quelque peu, puisqu’il faut maintenant payer la totalité du prix de vente, l’argent restant bloqué sur le compte du transporteur. Si nous décidons de garder le colis après les 3 jours, le transporteur reversera la somme à Rebecca.

Rebecca nous envoie également une copie de son passeport pour valider son identité.

Après avoir donné notre adresse à Rebecca, nous recevons rapidement de sa part un email nous indiquant qu’elle a déposé le paquet chez le transporteur et que celui-ci devrait nous contacter.

Le rôle du "transporteur"

Nous recevons le même jour un mail de europe-transit.com nous informant qu’un colis est en attente chez eux. Le payement est à effectuer sur leur compte à la Barclays Bank. Dans le mail on trouve également un tracking number permettant de suivre le paquet.

En se rendant sur le site du transporteur, on trouve bel et bien une page qui permet de suivre notre colis.

Tout semble en ordre, il ne reste plus qu’à faire le paiement….

L’envers du décor

Commençons par faire quelques recherches sur Rebecca Dagg. Les premiers résultats sont très révélateurs puisqu’ils parlent tous de scam. Rebecca n’en est donc pas à son coup d’essai ! On trouve aussi d’autres passeports à son nom avec une photo différente. A choisir, nous aurions plutôt utilisé celle-là que la première.

Bien que le mode opératoire semble correct, puisque le transporteur est garant de la transaction, nous décidons de faire quelques vérifications. Pourquoi ne pas rencontrer directement Rebecca à Londres la semaine prochaine ?

On aura essayé…

Des sites de transporteurs falsifiés

Passons au site du transporteur europe-transit.com. En analysant le code source de la page principale, on trouve un commentaire assez intéressant.

Le site a été copié à l’aide d‘un software qui, dans l’action, a ajouté sa signature. On y trouve aussi la source, c'est-à-dire le site qui a été copié. L’original ne diffère que peu d’europe-transit.com. Seul le formulaire de contact a été remplacé par le suivi des paquets. MSP fait aussi dans le transport logistique en Europe, le choix n’est donc pas anodin puisqu’il permet d’induire en erreur les personne connaissant le service original.

Les techniques des arnaqueurs

En analysant le site de manière minutieuse, nous tombons sur plusieurs pages cachées ainsi que sur une interface d’administration protégée par mot de passe. La première page permet aux arnaqueurs de créer des entrées pour de nouveaux clients/victimes. Par la suite un mail est envoyé à la victime pour l’informer qu’un colis est en attente. La victime pourra ensuite vérifier par elle-même que le transporteur existe et qu’un colis est bien enregistré à son nom.

Nous trouvons également le répertoire où toutes les informations des faux colis sont stockées. Plutôt que d’utiliser une base de données, un fichier au format xml est généré pour chaque nouvelle victime.

Les informations récoltées

Dans chacun de ces fichiers se trouvent les informations saisies dans le formulaire trouvé plus haut : nom, prénom, adresse, matériel commandé, etc.

Autres sites similaires

En cherchant sur le web, nous avons trouvé en peu de temps cinq autres sites du même genre que europe-transit.com. Ils hébergent, eux aussi, un faux système de gestion de colis :

  • http:// newrosslogistics.com/track.html
  • http:// hauex.com
  • http:// www.teratransporte.com/es/
  • http:// speedinter.co.uk
  • http:// straight-freight.com/es

Quelques statistiques

Nous avons extrait les statistiques suivantes à partir de tous les fichiers présents sur les différents sites. Le plus ancien date du 8 novembre 2012, ce qui indique que ce scam est fonctionnel depuis cette date - ou que les anciens fichiers sont régulièrement effacés. Au total nous avons trouvé des fichiers contenant les informations valides d’environ 800 victimes. Plus de 50% des victimes sont en Allemagne, 21% en France et 16% en Suisse.

Où se trouve Rebecca?

La dernière étape consiste à essayer d’identifier la personne derrière le scam : Rebecca. Pour cela, nous avons utilisé une faille XSS présente sur le formulaire utilisé pour créer de nouveaux colis. Une fois en place, nous avons renvoyé un mail à Rebecca pour l’inciter à visiter la page en question.

Le script injecté a été exécuté lorsque Rebecca est allée sur la page en question. Il a permis de récupérer son adresse IP ainsi que ses cookies définis pour europe-transit.com. Ceux-ci auraient pu être utilisés pour accéder à la partie authentifiée du site. « Auraient », car malheureusement ces cookies avait été configurés avec le flag « httpOnly » qui restreint leur utilisation et ne permet pas à des scripts d’y accéder. A noter que ce flag, dont l’importance est souvent sous-évaluée, est rarement présent dans les différents audits que nous effectuons.

Nous avons pu néanmoins récupérer l’adresse IP de Rebecca qui, après géo-localisation, se trouve bien en Angleterre.

Après investigation, l’adresse IP est celle d’une machine d’entreprise qui a sûrement été compromise par les scameurs.

Conclusion

Notre enquête s’est arrêtée là. Elle montre les rouages d'un type d’arnaque en augmentation, qui peut piéger non seulement l’acheteur direct des « produits » proposés, mais aussi les entreprises dont l’infrastructure informatique insuffisamment protégée pourrait être exploitée par des auteurs d'escroqueries.

Version anglaise de cet article ici.

Autres lectures instructives

Commentaires

vx mercredi, 12 nov 2014

Rebbeca just tried to scam me as well. She posted as selling a car in a Kosovo based site merrjep.com

She is back

bossy lundi, 11 nov 2013

J ai failli me faire avoir avec une voiture de collection entreposée a Nice chez un transporteur et dont le propriétaire travaille comme ingénieur au Bénin. Vu l état irréprochable de l auto et son très faible prix j ai coupé court a la transaction . Bizarrement ce monsieur ne m a pas recontacté . Bizarre vous avez dis bizarre !!!!

HEP dimanche, 20 oct 2013

très intéressant, même si la cocotte méritait d'être retrouvée et balancée

leo samedi, 19 oct 2013

une solution, ne jamais acheter de seconde main sur ces sites, surtout sur ebay...:D pour les 4000eur, c'est stupide, pour ce prix la y a plein de scooters en vente en belgique chez les concessionnaires motos.

Ralph samedi, 12 oct 2013

Donc : ne plus acheter sur leboncoin, ebay, etc?

abdelhadi samedi, 12 oct 2013

moi aussi j'etais vectime des africains par wu mais heureusement que je me suis rendu compte rapidement suite a plusieures tentatives qui m'ont ete presentees.

Santiano samedi, 28 sep 2013

Bien joué, fin limier! Je dois dire que j'ai failli moi aussi me faire piéger depuis Londres (c'est ce que disait mon correspondant) via une usurpation de Paypal (simulation de site et menaces) et dans le sens contraire: je vendais un bien et l'acheteur envoyait un transporteur depuis Londres. ...et comme il était en déplacement à l'étranger, il me demandait de payer ce transporteur à l'avance en étant bien entendu "d'accord" de me "rembourser" plus tard! Inutile de dire que j'ai tout bloqué.

Ramzi, Tunisia jeudi, 26 sep 2013

Bravo pour le document.

julie jeudi, 26 sep 2013

Très bon article. Moi ce que je ne pige pas c'est comment font-ils pour récupérer l'argent, ils ont des faux comptes banquaires et donc des complices ? Il faut bien donner une vrai identité à sa banque pour gérer l'argent non ? Donc si ce genre d'arnaques continuent je pense que les banques en règle générale ont leur part de responsabilité .

Speed jeudi, 26 sep 2013

Même type d'arnaque mais avec un appartement à louer, j'ai flairé l'arnaque après quelques mails échangés avec le sois disant propriétaire..

Appartement très bon marché sur un site immobilier Belge, je contacte l'annonceur, celui ci me répond en anglais et me dit avoir hérité de l'appartement de son grand père défunt qui habitait en Belgique. Il m'envoie quelques photos de l'appartement, tellement belles que c'est impossible de ne pas penser à de fausses photos. Après il me demande des informations sur moi que je ne lui ai pas donné, il m'a même demandé de lui envoyer une photo de moi.. Il m'explique qu'il est le seul à avoir les clés et qu'il se trouve en angleterre, qu'il a trouvé une entreprise qui peut faire l'intermédiaire entre lui et moi. Finalement je n'ai plus donné suite aux mails et n'ai plus rien reçu en retour de la part de l'arnaqueur, l'annonce sur le site à été supprimée le jour suivant.

mullender mercredi, 25 sep 2013

Autre détail qui a échappé à tout le monde semble-t-il : l'appareil photo est vendu sur le site 1800 CHF, et la facture mentionne 1800 € ....

Alexis mercredi, 25 sep 2013

Bonjour, J'ai été victime d'une arnaque sur Le Bon Coin, j'ai contacté le site pour les en informer. Ils n'ont jamais retiré l'annonce et m'ont envoyé cette stupide réponse après que je leur ai relaté ma mésaventure : "Ce genre de situation se règle dans la plupart des cas à l'amiable. Nous vous conseillons donc de contacter votre interlocuteur pour trouver un arrangement avec lui." Les sites de vente en ligne pourraient également faire un effort pour lutter contre ce fléau. J'achète et vends beaucoup sur les sites de vente en ligne, je me suis fait avoir une fois, je suis maintenant d'autant plus vigilant. Avec un peu d'expérience, on ne se fait plus avoir mais on perd beaucoup de temps : la grande majorité des personnes qui me contactent suite à mes annonces sont des arnaqueurs même si leurs techniques ont évolué. J'ai porté plainte au commissariat mais l'affaire a été classé sans suite.

Thibaut mercredi, 25 sep 2013

J'avais repéré une arnaque similaire avec également du matos photo complètement bradé. J'ai écrit juste pour m'amuser et en effet, pareil, la personne n'est comme par hasard plus dans le même pays ;-)

Son nom : Russell Plante (russell.plante@hotmail.com) Faites une petite recherche Google, vous tomberez sur d'autres témoignages.

yannick mercredi, 25 sep 2013

Bravo pour cette démo. Ca devient pénible, il est possible de laisser une annonce avec téléphone sur le boncoin sans recevoir des appels régulièrement (qui décroche dés que vous prenez l'appel), des sms qui vous demandent de les contacter par mail...etc

Les escrocs s'échangent les tél. Contacté leboncoin considère que ce n'est pas son problème (!)

Sur mon site alerte-animaux-perdus.fr, suite a 3 tentatives d'arnaques durant l'année et venant du Bénin (Afrique), j'interdis désormais tous accès aux visiteurs Béninois.

Jérôme mercredi, 25 sep 2013

Les arnaques à l'africaine étant trop vite découverte par les internautes, ils ont changé de tactique et proposent des arnaques plus fines et de mieux en mieux ficelées.

Marie mercredi, 25 sep 2013

Nous avons failli nous faire avoir pour un appareil photo mais ne connaissant pas le transporteur, nous avons cherché ou était le compte sur lequel déposer de l'argent... étant donné qu'il était situé aux iles Caïmans, nous avons abandonné et supprimé l'historique, etc...

Vassili mercredi, 25 sep 2013

Bonjour, D'autre arnaques persiste également, celle qui ce trouve dans les site de rencontre, on en rencontre de plus en plus... Que faire pour que cela s'arrête ?

Jack mardi, 24 sep 2013

Bonjour, J'ai trouvé ceci concernant cette Rebecca: Une petite photo volée je présume... A moins que vous ne trouviez quelque chose là dessous? C'est tout de même bizarre qu' "elle" utilise autant de références à Rebecca Dagg... Merci pour cette enquête, je ferai encore plus attention à l'avenir!

Internaute mardi, 24 sep 2013

Heu ben là je vais me moquer gentiment. l'article de notre spécialiste de la sécurité nous présente les "nouvelles" arnaques expliquée en détails. Expliqué certes, mais nouveau non et TRES loin de là. Sur les forums comme Comment ça marche ce la fait plusieurs années que ce type d'arnaque est répertorié et "traité". En dehors du décorticage qui est très bien fait, notre spécialiste ferait bien de sortir la tête de chez lui de temps en temps pour le vrai monde :-PP

Django mardi, 24 sep 2013

Bonjour, Il s'agit en fait d'un modus operandi connu et pas si neuf: je me suis fait excroquée de 4000 euros sur le site d'eBay pour l'achat d'un scooter en 2006 exactement de la même manière. J'ai retrouvé une trentaine de victimes arnaquées par la même bande (bateau, voiture, motos, jetskis...). J'ai porté plainte auprès de la Computer Crime Unit à Bruxelles.Les arnaqueurs opéraient depuis la Roumanie. Je n'ai jamais revu mon argent.Pour faire bouger les choses il faut que les victimes se mettent ensemble et prennent un avocat. Seul, c'est impossible d'envoyer une commission rogatoire dans le pays en question, 4000 euros, c'est un trop petit préjudice. Hé oui.Et TOUJOURS porter plainte s'il y a eu arnaque,toujours.

Erick Haehnsen mardi, 24 sep 2013

Quelle belle enquête !!! Bravo

philippe mardi, 24 sep 2013

Rebecca Dagg / Rebecca Jane Dagg (fake flatsharing offers) par Asterix » Ven 11 Juil, 2008 à 15:12:37

Rebecca Dagg propose une chambre en collocation dans un appartement rue Vernet á Paris. Elle est du genre occuper, à ne pas avoir le temps de faire visiter l'appart, mais le réserve sans problémes, elle envoie meme un scan de son passeport international, un contrat, par contre il faut virer l'argent du 1er mois + la caution de 800€ à sa mère, que l'appart appartenait à son Père défunt, ... Voilà les meme personnes sous l'identité de Rebecca Dagg ont fait la meme chose à Londre, visant surtout les étrangers (qui ne peuvent pas demander á voir l'appart avant de payer). Bien sur il n'y a pas d'appart et l'argent n'est jamais restitué.

Comeliau mardi, 24 sep 2013

En Belgique aussi avec 2ememain.be pour du matériel photo: même mode opératoire vente depuis la Belgique mais après quelques mails les deux personnes signalent qu'ils habitent maintenant en Angleterre et qu'il faut verser sur un compte en Hongrie => j'ai flairé le coup foireux avec ces deux vendeurs (car identiquement le même mail reçu)=> j'ai contacté le site de vente et ils les ont bloqué immédiatement => ils reprendrons un autre pseudo => soyons vigilants quelque soit le site de vente !

franck mardi, 24 sep 2013

Bonjour, attention meme arnaque avec une vente de voiture de la part d'un espagnol avec une société de transport anglaise mais bidon, il demande un acompte pour faire transporter la voiture. Il y a une multiplication de ce type d'arnaque ne jamais payer un produit à un particulier sans avoir le produit en main.

Joëlle Verbrugge mardi, 24 sep 2013

Bravo pour cet article et les vérifications techniques Je me permets de relayer sur mon blog "Droit & Photographie", ça va intéresser mes lecteurs.

Balliner mardi, 25 jui 2013

Like I said in my first e-mail, I live in London, UK. I bought the camera while I was working in Paris but I had to move back home. I want to sell it there because the warranty and all the paperwork are in french and it's much easier.

But if you're interested I will send it through a shipping company and you will benefit of a 3 days inspection period. That means you can look at it and check everything and if you find any kind of problems with it or it's not as described, you can send it back at no costs on your behalf.

You don't have to pay anything more than the asking price. That way we are both protected. la même chose pour un D4 dont l'annonce n'est resté en ligne que 24 heures .Avec la même Rebecca.Merci de vos info, je n'irai pas plus loin.

Lionel lundi, 24 jui 2013

Merci pour cet article qui a mis un terme aux échanges mail avec cette chère Rebecca. Cette annonce d'un D3S sur "leboncoin" en est l'origine, même si le vendeur renseigné est Ugo : 06 04 68 27 71 http:// www.leboncoin.fr/image_son/493987570.htm

cyr jeudi, 20 jui 2013

Anarque de même type pour des panneaux solaires sur le bon coin 3w.le_bon-coin.-fr. Tout juste au débût de l'affaire.

heillouis jean-nicolas lundi, 10 jui 2013

hello ! meme arnaque avec un nikon d4 sur le bon coin ce 10/6/2013 compagnie de transport : fast-routes.com faut la choper !!!

vanquish mardi, 04 jui 2013

Voici ce que je viens de recevoir de Rebecca Dagg après avoir proposé qu'un ami londonien effectue l'achat en direct à Londres : That would be great, but the camera and all the paperwork are already at the shipping company - ready for delivery. And I can't back up now because I will lose time and money. So this is the only way I can sell it. It works like this: first, I need your full name and shipping address. I will forward them to the shipping company and they will send you the invoice, payment instructions, tracking number, etc. Then you have to make the payment to them (via bank transfer) in order to start the delivery. After you receive and inspect the equipment for 3 days, you have to get back with them and allow them to release me the money.

If you find any problems with it or it's not as described, you can send it back at no costs on your behalf and you will receive a full refund from the shipping company.

Rebecca

Vanquish lundi, 03 jui 2013

beca.dagg (at)gmail.com c'est le mail de cette personne qui essaie de soutirer de l'argent

Vanquish lundi, 03 jui 2013

Je suis en contact avec Rebecca Dagg dont le mail : Rebecca Dagg . C'est le même scénario : Vente d'un appareil photo Sony RX1 à moitié prix sur leboncoin. Expédition depuis Londres. C'est quand même assez visible mais la question est pourquoi leboncoin ne fait rien ?

Nicolas K lundi, 03 jui 2013

Merci pour cette "enquête" qui a confirmé que je m'étais bien fait arnaquer !!! Il ne me reste qu'à porter plainte et en tirer des leçons pour mes prochains achats.

Navixia SA samedi, 01 jui 2013

Nous en sommes navrés pour vous! Il n'est malheureusement pas de notre compétence de vous conseiller sur les démarches judiciaires à effectuer mais vu le contexte nébuleux des arnaques par internet, vos chances de récuperer votre argent semblent relativement minimes. C'est hélas un cas de figure où prévenir vaut mieux que guérir.

Mathieu samedi, 01 jui 2013

Je me suis malheureusement fais avoir comme un bleu... Des conseils sur ce qu'il faut faire pour récupérer son argent ? Porter plainte ? Merci.

Bouteiller vendredi, 31 mai 2013

idem !

Blogger jeudi, 30 mai 2013

Merci pour les infos, j'ai "failli" me faire avoir, j'avais flairer l'histoire, avec votre article j'en ai le cœur net.

Merci :)

Thierry jeudi, 28 fév 2013

Très intéressant et Bravo pour le travail de fin limier...

Pierre-André Vullioud vendredi, 08 fév 2013

Merci pour les intéressantes explications sur les techniques des scammers

Laissez votre commentaire