Vous avez gagné 30 bitcoins !

Et c’est la marmotte qui emballe le chocolat
Internet 8 min
Vous avez gagné 30 bitcoins !
Crédits : TommL/iStock

Règle de base : si le message semble trop beau pour être vrai, c’est souvent le cas. Les techniques utilisées sont de plus en plus sophistiquées et le diable est parfois dans les détails. On décortique une tentative d’arnaque aux bitcoins qui parait pourtant alléchante au premier abord.

Quelle joie de recevoir de bonnes nouvelles, pendant les fêtes ou en début d'année ! Malgré la chute des cours des cryptomonnaies, apprendre par mail qu’on s’appelle Rob Hoffman, qu’on a 30 bitcoins qui dorment dans un coin et qu’il n’y a plus qu’à se connecter pour les retirer, ça fait plaisir et donne envie d’aller voir de plus près, peu importe que le mail se trouve dans le dossier des indésirables et que l’expéditeur ait un nom de domaine sans rapport avec le site indiqué dans le corps du message. Que ne ferait-on pas pour 30 bitcoins, surtout qu’ils pourraient être avantageusement investis dans un abonnement à Next INpact (ou dans l'inflation à venir).

Dans le doute...

Avant d’aller trop loin, rappelons que tout ce qui est trop beau pour être vrai est… trop beau pour être vrai : le jardinier de Kadhafi qui a mis des millions de dollars de côté pour vous, les investissements en cryptomonnaies qui rapportent 5 % par jour, on connait. Mais pourquoi proposer 30 bitcoins sans contrepartie : où est le piège ?

Il y en a forcément un, mais lequel ? Nous allons décrypter cette affaire qui s'est présentée à nous, en cherchant à établir le scénario mis en place par les fraudeurs. Au passage, n’essayez pas vous-même de creuser ce genre d’arnaques si vous ne savez pas exactement ce que vous faites. Pour cette petite enquête, il vaut mieux sortir couvert : machines virtuelles/isolées, connexion anonyme et numéro de téléphone jetable sont de rigueur.

Première connexion

Entrons donc nos identifiants fournis par mail. Un premier écran nous demande la devise dans laquelle on souhaite opérer, pour donner une première impression crédible. Une fois connecté, on nous avertit qu’en raison de la valorisation de notre portefeuille, il est indispensable de modifier le mot de passe pour en mettre un plus sûr, et d’utiliser un code à usage unique (OTP) reçu sur un smartphone.

La modification du mot de passe n’est guère rassurante : à part 123456 et 12345678, on peut mettre ce qu’on veut. Nous avons opté pour un très original ABCDefgh. Nous voilà donc avec super mot de passe très difficile à deviner. Pour ce qui est de l’OTP, il faut entrer un numéro de téléphone et un automate appelle pour fournir un code à six chiffres. Après quelques recherches, il s’agirait d’un service a priori légitime, sellaite.com, mais encore une fois on veut faire sérieux.

  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins

Maintenant que nous sommes connectés, jetons un coup d’œil sur le tableau de bord : nos 30 BTC sont là. Une constatation d’emblée : il s’agit d’un site fonctionnel et dynamique, et non d’un vulgaire site de phishing où seule la page de connexion est implémentée. On peut donc naviguer, créer des portefeuilles d’investissement et même envoyer des messages à un support (on attend toutefois toujours la réponse à notre message).

Par ici la monnaie

La première chose qu’on va vouloir faire est un petit retrait sur notre compte d’investissement déjà bien rempli malgré nous. Et, effectivement, le retrait sera petit : pour d’évidentes raisons de sécurité (ah oui ?), il ne peut dépasser 0,0001 BTC soit quelques euros au cours actuel. Pas question de retirer les 30 BTC tout de suite.

On valide tout ça, et on attend un peu pour voir si la transaction passe réellement. Et (demi-surprise) : elle passe. Le pouillème de bitcoin est bien reçu sur notre portefeuille de test. Ça remboursera une partie de la carte prépayée du téléphone jetable… Maintenant, passons aux choses sérieuses, vu que cela semble fonctionner : retirons le pactole.

Il reste 29,9999 BTC sur votre portefeuille. Mais si vous regardez bien, la création d’un portefeuille propose un mécanisme assez curieux, qui fait prendre tout son sens à cette arnaque : il y a un montant minimum de retrait. Cette option nommée « SaveProTM » peut être activée lors de la création d’un portefeuille d’investissement

Vous avez gagné 30 bitcoinsVous avez gagné 30 bitcoins

C'est l'une des fonctions utilisables sur le site, qui permet de créer un portefeuille et promet une belle culbute de 25 % en un an. On obtient en retour une adresse BTC sur laquelle on peut effectuer des versements, mais nous n’irons pas pousser la taquinerie jusque-là, le retour sur investissement (ou des fonds) est certainement aléatoire.

On voit tout de même que l'on peut créer un portefeuille avec un montant minimum de retrait via la fonction SaveProTM. Vous vous demandez pourquoi vous feriez ça ? Logique. Néanmoins, le beau portefeuille bien rempli auquel vous avez accès a bel et bien activé cette option. Et que voit-on ? Le montant minimal de retrait pour ce portefeuille est de 30,006 BTC. Il manque donc 0,007 BTC pour pouvoir retirer votre argent.

Compris ? Pour toucher vos sous, vous serez donc obligé de verser sur votre portefeuille au minimum 0,007 BTC. Si vous le faites, vous ne le reverrez bien sûr jamais, mais nous voilà face à un scenario bien huilé et un site parfaitement crédible et fonctionnel en apparence, dont le seul but est de vous faire verser un peu d’argent (230 euros environ) dans l’espoir – vain – de récupérer un pactole.

Il s’agit donc de la variante en cryptomonnaie du jardinier de Kadhafi ou du riche homme d’affaires décédé sans héritier qui vous versera son héritage à condition de régler les frais de dossier de l’avocat ou du notaire, mais réalisée de façon évoluée en s’appuyant sur un joli site web.

Vous avez gagné 30 bitcoins
Crédits : Jean Gebarowski

La puce à l’oreille

Quels indices indiquent que l’on est en présence d’une arnaque ? Le plus important reste l’affaire trop belle pour être vraie. L’adresse mail d’expédition est également un indice fort ; heureusement, des progrès sont à constater et il devient difficile d’envoyer des mails frauduleux sans se retrouver dans le dossier des indésirables.

Regardons d'ailleurs le nom de domaine. Si les bases WhoIs ne montrent plus les données personnelles suite à l’application du RGPD, sa consultation reste souvent instructive.

Voici ce qu’on trouve pour notre site d’investissement en cryptomonnaies :

The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars.
Domain Name: coinlux.net
Registry Domain ID: 2658202417_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.registrar.eu
Registrar URL: http://www.registrar.eu
Updated Date: 2021-11-29T16:27:43Z
Creation Date: 2021-11-29T09:05:10Z
Registrar Registration Expiration Date: 2022-11-29T09:05:10Z
Registrar: Hosting Concepts B.V. d/b/a Registrar.eu
Registrar IANA ID: 1647

Une date de création trop récente pour un nom de domaine est un indice classique : les fraudeurs sont souvent délogés et blacklistés, ils sont dans l’obligation de changer régulièrement de domaine. On retrouve ça également sur les faux sites de commerce ou les sites de contrefaçon : il ne s’agit jamais de sites anciens et bien établis.

Où est-il, ce site ?

Deuxième vérification de base : trouver la localisation du site, afin de voir dans quel pays on se trouve et quel est l’hébergeur concerné. Une simple commande dig donne :

Vous avez gagné 30 bitcoins
Crédits : Jean Gebarowski

Deux adresses IP apparaissent, et un WhoIs nous présente une tactique répandue chez les fraudeurs : il s’agit d’adresses chez cloudflare.com, service légitime et bien connu proposant de nombreux services IP tels que la mise en cache ou la protection contre les attaques. L’intérêt pour un attaquant est de masquer la véritable adresse IP du serveur. Qu’à cela ne tienne, nous avons nos petites sources.

Nous obtenons une nouvelle adresse IP, et là les choses changent : l’adresse est située en Ukraine, et shodan.io nous confirme que le serveur est situé à Kiev. On remarquera aussi que deux autres sites web sont actifs sur des ports peu habituels (10 000 et 20 000), sans doute pour administrer les données et récupérer les identifiants de portefeuille ou effectuer les transferts de bitcoins.

Vous avez gagné 30 bitcoinsVous avez gagné 30 bitcoins

Ce sera pour la prochaine fois

Disons adieu à nos rêves de fortune, mais vous aviez compris l’essentiel : les fraudeurs ne manquent pas d’imagination et adaptent leurs tactiques selon les modes et nos usages.

Ce genre de site peut d’ailleurs très bien avoir été conçu par une équipe spécialisée pour être revendu à différents opérateurs, comme on le voit pour les ransomwares. La cybercriminalité est depuis longtemps (et pour longtemps) passée en mode industriel.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !