Mois : janvier 2022

L’aventure de la vente sur Marketplace

Posted on by xaav

Il y a deux jours, j’ai publié une annonce sur Marketplace. Comme sur toutes les plateformes de vente entre particuliers, Marketplace est parcourue par des acheteurs peu scrupuleux qui tentent d’arnaquer l’utilisateur naïf. Je n’imaginais pas à quel point ils étaient nombreux: sur la vingtaine de contact que j’ai eus, un seul est (ou semble être) un acheteur réel, les autres sont tous des arnaqueurs avec le même schéma d’action. Encore une occasion de publier un petit article…

Alors, comment ça marche? que faire?

Comment ça marche?

premier contact

Le premier contact est tout à fait normal: l’acheteur, que j’appellerai Jean-Pierre car ce n’est pas son nom, utilise le bouton « Demander si l’article est toujours disponible ». Je réponds en précisant directement que l’article est à envoyer et payer sur place, ce qui devrait automatiquement empêcher la tentative d’arnaque. JP me demande alors où j’habite, ce à quoi je répond par une indication très vague et même un peu inexacte, vu que je flaire déjà le piège. Mais comment puis-je déjà flairer le piège? Il se fait que les 15 tentatives d’arnaque précédentes commençaient toutes exactement, à la lettre près, par les mêmes messages. Il faut croire que les arnaqueurs utilisent tous le même script…

Et c’est parti…

Et voilà, c’est parti. Prouvant qu’il ne sait pas lire, JP me demande s’il peut utiliser les services de BUDBEE au lieu de venir payer et rechercher l’objet sur place. Ce qui est amusant, c’est que là les scripts divergent entre les arnaqueurs: certains proposent BUDBEE (un service de livraison qui existe réellement), d’autres PostNL, bpost, DHL, fedEx etc… Mais le point commun est que l’acheteur ne peut venir chercher l’objet, il envoie une tierce partie et il offre généreusement de s’acquitter des frais. Certains vont même jusqu’à proposer 10€ de plus pour être sûr d’avoir l’objet.

JP me demande ensuite quelques informations personnelles, que je m’empresse de lui donner. Cependant dans ma grande distraction je lui donne un faux nom, une fausse adresse, et une adresse e-mail que j’ai construite juste pour l’occasion. Je me permet de garder cette fausse identité secrète, je pourrais avoir à m’en re-servir 😉

Et voilà, je donne ma précieuse identité à un inconnu

Visiblement, cela ne pose aucun problème à JP si le nom ne correspond pas du tout avec mon vrai nom, celui du compte FB avec lequel il est en train de bavarder…

JP me demande ensuite mon n° de GSM, que je ne souhaite absolument pas lui donner. J’en invente un sur le pouce, mais trouve une excuse bidon pour ne pas l’utiliser (d’avance mes plus plates excuses si d’aventure il correspond réellement à quelqu’un)

Youpie, des sous!!!

Voilà, JP vient de me payer! Et là je suis content d’avoir vraiment créé cette adresse e-mail, sinon je n’aurais pas pu recevoir le fameux mail de confirmation…

Je le laisse un peu poireauter, surtout que j’ai envie d’écrire un article de blog sur son arnaque et que je ne veux pas perdre cette précieuse conversation.

Voici donc le mail que j’ai effectivement reçu sur l’adresse e-mail:

oui, c’est un vrai mail, et quelqu’un a du penser que c’était crédible

Le mail en question m’a bien fait rire. Le ton, le vocabulaire, l’audacieux mélange de polices de caractère et de couleurs, tout cela crie « FAKE » à plein poumons. Franchement, il y a du laisser-aller. Mais pourquoi mettre si peu d’effort pour piéger la victime qui a déjà été assez naïve pour aller jusque là? Je pense qu »il s’agit justement d’un dernier filtre: les arnaqueurs fonctionnent grâce à des scripts, et une grande partie est automatisée. Ils ont donc une quantité énorme de victimes potentielles, et ne veulent vraiment garder que celles dont l’esprit critique est très faible, afin d’en tirer un maximum.

Et on va le voir tout de suite, le site vers lequel pointe le lien est du même acabit

Je donne 1 point pour l’effort

Une image pixelisée volée au véritable site de budee, une URL qui ne fait presque pas d’effort pour essayer d’être crédible, et tout de suite on me demande d’entrer les données de ma carte bancaire. J’arrête là mon exploration et il est temps de clôturer l’aimable conversation avec JP.

Que faire?

Et donc, oui, que faire pour éviter ce genre de pollution d’une plateforme de vente?

Tout d’abord, en tant qu’utilisateur, vous pouvez signaler les comptes qui s’adonnent à ce genre d’arnaques. Il faut croire que cela est fréquent, car FB a même implémenté une fonctionnalité juste pour ça. Malheureusement je crains qu’il suffise à l’arnaqueur de recréer un profil pour recommencer dans la minute…

Signaler un vilain arnaqueur…

Je vais aussi contacter webnode pour les avertir que l’un des sites qu’ils hébergent est un site d’arnaque, mais à nouveau je crains que ce ne soit qu’un léger contretemps pour l’arnaqueur.

[UPDATE: Je tiens à remercier Webnode pour sa réactivité et son professionnalisme. En effet, 5 minutes après mon signalement, le site web était désactivé! Webnode n’est que l’hébergeur et n’a absolument aucun lien avec l’exploitant des sites qu’il héberge, et conformément à leurs conditions générales de vente, ils se réservent le droit de désactiver un site qui contrevient à ces conditions. La leçon: cela vaut la peine de signaler les sites frauduleux!]

Pirates 0 – Geekhackademy 1

Donc, continuons d’être vigilants!

Post-scriptum

Le temps que j’écrive ce long article, un autre arnaqueur utilisant le même schéma vient de m’envoyer son « payement ». On le voit, le système est quasi identique, jusqu’au template du mail…

Un sentiment de déjà-vu…
Cette fois je mets 2 pour l’effort et la présentation, mais je retire un point pour plagiat

Par contre le lien ne fonctionne pas, je suis presque déçu 😉

Au secours, on a volé mon compte Instagram :-(

Posted on by xaav

Cette mésaventure, ce n’est pas à moi qu’elle est arrivée, mais à un de mes contact dont je ne dévoilerai pas l’identité… L’histoire peut sembler tout à fait banale, mais les conséquences peuvent être désastreuses. Laissez-moi vous raconter une histoire, imaginée d’après les éléments que j’ai pu rassembler, du point de vue de la victime et de celui du pirate…

Un simple clic…

Imagine: un soir de désœuvrement, tu fais glisser paresseusement ton fil d’actualité Instagram sans trop y prêter attention, quand tout à coup un message attire ton regard. « Wow, c’est vraiment toi sur cette photo?!!??! » proclame le message, assaisonné de quelques émojis accentuant encore l’interrogation et la surprise suggérée par l’abondance de points d’exclamation. Cela t’intrigue, évidemment: quelle éventuelle photo de toi pourrait susciter une telle réaction? Tu passes en revue tes dernières frasques, espérant qu’aucune action compromettante n’ait été immortalisée par une photo publiée sur le web. Alors bien sûr tu cliques sur le lien, tu t’identifies, et tu peux enfin ouvrir la photo en question. Et là tu es soulagé, la photo n’a rien à voir avec toi, il s’agissait juste d’une blague de mauvais goût, tu pousses un ouf de soulagement, tu oublies ça et et tu reprends le cours de ta vie. Ce n’est que quelques jours plus tard que tu te rends compte que tu n’as plus accès à ton compte 🙁

Pendant ce temps…

Imagine: tu es un pirate. Pas celui des films, celui qui se bat pour une cause, un idéal, en tapant 300 mots à la seconde sur un terminal vert et noir, non, un pirate d’aujourd’hui, qui tire son revenu de l’exploitation des parties les plus faibles des systèmes informatiques: les utilisateurs.

Tu sais comment fonctionnent les gens, tu maîtrise l’art de ce qu’on appelle « ingénierie sociale »: tu sais les mots à utiliser, la forme à donner à tes messages pour susciter l’envie de cliquer, jouer sur les sentiments de peur, d’urgence, de curiosité. Une de tes meilleurs trouvailles, c’est ton « Wow, c’est vraiment toi sur cette photo?!!??! », avec ses points d’exclamation et ses émojis. Il marche tellement souvent que c’en est presque trop facile.

Tu sais programmer, développer des sites. Tu as développé un petit site qui imite Instagram à la perfection. Lorsque ta victime clique sur le lien de ton message, elle se voit présenter un écran d’identification qui ressemble à s’y méprendre au vrai formulaire, elle rentre sans y penser son login et son mot de passe. Mais derrière ton site, c’est toute une machinerie qui se met en place: le login et le mot de passe sont enregistrés, et tu vas pouvoir les exploiter à loisir…

Justement, voilà qu’une victime vient de tomber dans ton piège. Une alerte sur ton écran te signale qu’une paire de login/password toute fraîche vient d’être capturée. Il faut agir vite, afin de s’approprier le compte avant que ta victime n’aie pas le temps de réagir. Rien de compliqué: tu te connectes avec les identifiants volés et tu changes immédiatement le mot de passe et l’adresse mail. Tu es maintenant le seul à avoir accès au compte volé, tu peux même éjecter la victime. Tu as gagné un compte Instagram! Mais ce n’est pas tout…

Non, ce n’est pas tout, parce que toi tu es là pour gagner de l’argent. Bien sûr, tu finiras par revendre le compte Instagram sur le darkweb, tu sais que ces comptes volés, les données qu’ils contiennent, les contacts, tout cela s’achète et se vend. Mais d’abord tu veux voir ce que tu peux toi-même en retirer…

Tu connais la nature humaine, tu sais que l’humain est paresseux par nature, et qu’il y a de fortes chances que le mot de passe que tu as volé ait été utilisé par ta victime sur d’autres application. Alors tu essaies, sur les comptes email, twitter, facebook etc. Et si d’aventure le mot de passe te donne accès au compte email, jackpot! En effet, tu pourras alors récupérer le mot de passe de n’importe quel compte lié: tu utilises la fonctionnalité de récupération de mot de passe, et du coup tu récupères le lien de réinitialisation du mot de passe sur le compte email piraté… A toi l’accès au compte Paypal que tu pourras dépouiller, à toi l’accès au compte Amazon avec lequel tu pourras te commander quelques cadeaux offerts par la victime…

Et puis, ce compte Instagram volé, tu peux l’utiliser pour lancer d’autres attaques vers les contacts de ta victime. Parce que tu sais bien que ton fameux « Wow, c’est vraiment toi sur cette photo?!!??! » marche encore mieux quand il semble venir d’un contact connu.

Maintenant, c’est le moment de passer à la deuxième phase de l’attaque, celle qui va te faire gagner le plus d’argent. La fameuse arnaque « j’ai-perdu-l’accès-à-mon-téléphone-peux-tu-appeler-ce-numéro-pour-me-donner-le-code-de-déverrouillage ». Le principe, de nouveau, est très simple: en te faisant passer pour la victime, tu contactes un de ses proches en lui demandant de l’aide: ton téléphone est verrouillé, il te faut un code de déverrouillage qu’il faut obtenir en appelant un certain numéro de téléphone. Et comme le tien est verrouillé tu demandes de l’aide. Bien sûr, tu passes sous silence le fait que le numéro est épouvantablement surtaxé, et que cette surtaxe ira en grande partie dans ta poche. Ceci est beaucoup plus lucratif que la simple vente du compte.

Et le meilleur dans tout cela, c’est que tout cela ne te demande quasi pas d’effort. Comme tu es doué en informatique, tu as programmé tout cela dans une série de scripts, capable de tester des centaines de comptes différents en quelques secondes, capable d’envoyer des centaines de messages privés en un temps record, même capable de gérer un semblant de conversation en MP avant que tu ne prennes le relais. Bien sûr, tu sais que la probabilité qu’une victime tombe dans le piège est faible, mais comme tes scripts envoient une énorme quantité de messages, même cette faible quantité de victimes te permet de t’assurer un bon petit pactole…

Morale de l’histoire

L’histoire du pirate, même si elle est seulement basée sur mes suppositions, est basée sur des techniques réelles, et des outils réels que l’on peut trouver assez facilement. Et la réalité est encore plus effrayante, il n’est même pas nécessaire de savoir (beaucoup) programmer pour utiliser ces outils. en quelques clics, on peut créer une fausse page de login, on peut envoyer des paires de login/passwords à une centaine de sites et applications pour trouver les autres endroits où ils sont utilisés, on peut lancer une attaque par message privé sur des milliers de comptes.

Les solutions pour ce protéger de ce genre d’attaques ne passent pas par l’installation d’outils complexe. Les pièges permettant de capturer les identifiants sont de plus en plus efficaces, et la véritable protection passe par un changement fondamental de comportement:

  • Ne cliquez pas sur n’importe quoi. Réfléchissez avant de cliquer: est-ce que le message est crédible? est-ce que le style du message ressemble à ce que mon contact m’envoie habituellement?
  • N’entrez pas vos identifiants n’importe où. Demandez-vous s’il est normale de devoir entrer vos identifiants. Il ne suffit pas que le formulaire ressemble au formulaire de login habituel pour être légitime…
  • Ne réutilisez pas vos mots de passe, ainsi si un mot de passe est corrompu vos autres comptes sont en sécurité
  • Prévenez rapidement vos contacts si votre compte est piraté, car ils risque de recevoir eux-même des messages piégés de votre part.