Chasse aux Brouteurs : Protégeons les internautes les plus vulnérables
[Exclusivité ZATAZ – Cybermoi/s] La toile virtuelle est un univers en constante évolution, où les prédateurs en ligne, connus sous le nom de brouteurs, traquent leurs proies sans relâche. Dans cet article, et à l’occasion du Cybermoi/s 2023 nous allons découvrir les brouteurs de Casablanca, Abidjan, Cotonou, ainsi que leurs méthodes secrètes. Nous allons vous montrer, de l’intérieur, comment ils préparent leurs cyberattaques via des scénarios préétablis, comment ils récoltent de l’argent, comment ils vivent en couple, comment ils entretiennent leurs amitiés, comment ils ciblent leurs victimes, etc. Bienvenue dans l’opération « Border Collie » !
Il n’est pas rare de trouver sur la toile des reportages sur les brouteurs, les escrocs. Il y en a de très bons, comme celui du youtubeur Micode, ou encore CenthoLeBest. ZATAZ va aller encore plus loin dans la démarche. Vous montrer, de l’intérieur, les processus internes mis en place par ces pirates.
Cette enquête s’est terminée à quelques jours du lancement du Cybermoi/s. Un rendez-vous qui s’inscrit dans le cadre de la campagne européenne ECSM, campagne soutenue par la plupart des pays européens, dont la France. La mission est d’aborder collectivement la question de la cybersécurités. Une mission proposée par ZATAZ, 365 jours par an, et cela depuis plus de 25 ans. Pour en savoir plus sur les autres campagnes européennes et sur les initiatives de l’ENISA, l’agence européenne chargée de ce mois de la cybersécurité : cybersecuritymonth.eu.
Cette nouvelle édition du Cybermoi/s a pour thème, en 2023, l’ingénierie sociale. Le social engineering que ZATAZ vous présentera les 4 et 5 octobre, sur Twitch, via des démos, des exemples, Etc. Les attaques de « SE » consistent a manipuler les victimes pour obtenir de l’argent, des informations, des accès via des appels téléphoniques, des courriels, des sites web, des logiciels frauduleux.
Qui n’a jamais reçu, par courriel, une plainte de la police, de la gendarmerie, ou d’Interpol, vous informant qu’ils vous ont vu sur un site pédopornographique ? Ou encore un courriel d’un ami (ou d’une inconnue) vous affichant une alerte médicale urgente ? Ce sont des hameçons grossiers, mais terriblement efficaces, comme je vais vous le montrer. De l’ingénierie sociale qui continue de faire de gros dégâts dans les familles, dans les têtes des victimes.
Cette enquête a débuté à l’été 2023. Durant des semaines, dans une opération que j’ai baptisée « Border Collie« , j’ai suivi la trace d’une dizaine de scammeurs, récolté des milliers de données concernant ces voyous 2.0, et alerté des dizaines de potentielles victimes.
Les brouteurs : une ombre virtuelle
Nous allons vous présenter plusieurs brouteurs. Ils opèrent sous des pseudonymes aussi variés que « Les brouteurs en slip », « MAKISS », « Yoda », « MXXKMXNXY », « Christy », « Dieu des Dieu », « B. », « Paco », et bien d’autres. Ils se cachent dans les recoins obscurs du cyberespace, mais ZATAZ a pu les retrouver, et nous allons partager leurs données, tout comme ils partagent les données qu’ils parviennent à voler. Ce sont des experts de l’escroquerie en ligne, se faisant passer pour la brigade des mineurs ou mettant en place des arnaques liées à des logements sur des sites tels que Seloger.com ou encore LeBonCoin. La plupart d’entre eux ont la trentaine, et la plupart sont diplômés (informatique, Etc.) Rares sont ceux qui n’ont aucun bagage intellectuel. L’un d’entre eux est même un membre actif d’une association « Jeunesse », en Côte d’Ivoire.
En somme, ils aspirent à avoir une famille et un emploi. L’Europe et la France ne sont plus leurs objectifs, beaucoup rêvent de partir vivre au Canada, aux USA. L’argent facile est l’un de leurs principaux moteurs de vie, afin de sortir, de s’habiller élégamment, et d’acheter des cadeaux pour la fille ou le garçon de leurs rêves. En résumé, une ligne directrice que nous avons tous, le crime en plus pour les scammeurs. Pour réussir leurs malveillances, ils n’usent que d’une seule chose, le Social Engineering.
Des pseudonymes et des machines
Prenons, par exemple, « Les brouteurs en slip ». Ils opèrent depuis la magnifique ville d’Abidjan. Leur utilisation constante de la même adresse IP (160.155.239.***) et de l’adresse MAC (a4:97:b1:73:3*:**) montre que leur habileté à rester dans l’ombre n’est pas sans faille. D’autres individus, tels que MAKISS (Yoda), partagent le même PC, avec l’Username « Makiss ».
Ce sont des professionnels de l’escroquerie, du SE, qui ciblent souvent des personnes démunies et isolées. Ces brouteurs passent leur temps sur des plateformes populaires comme Youtube, Netflix, sur des sites de petites annonces Wannonce, LeBoncoin, et même des sites pour adultes bien connus ou regroupant des escortes girls et autres rencontres libertines. Cependant, leurs activités les plus sombres se déroulent sur Seloger.com, où ils utilisent leur HP ENVY x 360 Convertible 15m-Cn0xxx (MAC : 5c:5f:67:6f:6*:** / 41.66.41.** le 4 juillet, par exemple) pour mettre en place des arnaques au logement, à la location, repérer de futures victimes.
Grâce à leur instance AWS EC2, ils stockent des informations confidentielles et communiquent avec leurs complices via WhatsApp. Pour éviter d’être filmés par erreur, le modèle de leur PC permet de bloquer physiquement la caméra. Ce second PC, un HP Pavillon x360 Convertible 15-dq1xxx (CB: 0b:54:75:3*:** / 105.235.71.*** le 7 juillet et 128.90.128.** le 8 juillet), était récemment utilisé pour diffuser des arnaques au nom de [email protected] [faux compte de la Gendarmerie Nationale. Ils n’hésitent pas à fournir des numéros de téléphone pour être contactés (comme en témoigne l’appel émis le 21/09 à écouter ici). Ils utilisent différentes plateformes pour en créer. « OnOff était bien pratique, souligne l’un de ces pirates, dans une conversation avec un de ses amis sur WhatsApp, avant qu’ils ne renforcent la sécurité et le contrôle des identités« .
Des collaborations malfaisantes
Les complices des « brouteurs en slip » se joignent à eux dans leurs méfaits et utilisent Telegram et WhatsApp pour communiquer. Ils représentent un exemple flagrant de la coopération entre brouteurs, partageant des astuces, des centaines de bases de données (combinaisons d’adresses électroniques) et des informations pour perfectionner leurs escroqueries : contenu des courriels, réponses à donner aux victimes, comment répondre au téléphone, etc. Dans le cas de trois brouteurs, il m’a été possible de constater pas moins de 3 millions d’adresses électroniques exploitées ou prêtes à être exploitées à la rentrée 2023.
Les brouteurs ne se limitent pas à une seule zone géographique. De la Côte d’Ivoire au Bénin, du Maroc à la Belgique, en passant par la France ou encore le Canada, ces escrocs ont de nombreuses ramifications. Un Béninois de Cotonou utilise sa machine (90:e8:68:07:d*:* / 197.234.221.** au 13 juin) pour monter des centaines d’arnaques au logement. Il possède une multitude de documents sensibles de ses victimes, y compris des cartes d’identité, des passeports, des contrats de travail, des contrats de location et des fiches d’imposition. Ces données sont récoltées via de fausses annonces de location d’appartement qu’il peut, par exemple, publier sur le site LeBonCoin (où il a ouvert des dizaines de comptes).
Sa bande organisée (3/4 personnes) compile des listes d’adresses électroniques pour alimenter les escroqueries. Il utilise un faux site de vérification de coupons PCS, Neosurf, Paysafecard, Etc. pour récupérer les codes des victimes, bien qu’il ne semble pas être l’administrateur de ce site malveillant. À lui seul, j’ai pu référencer pas moins de 100 000 adresses électroniques de Français et de Françaises visées, ou prêtes à être exploitées, dans des arnaques.
Du côté de Casablanca, au Maroc, MXXKMXNXY opère avec son MacBookPro16 (90:9c:4a:d0:8*:**), mais il ne se limite pas à macOS, utilisant également Windows 10 sur son Apple. Il passe par son fournisseur d’accès à Internet (FAI), Meditel (196.115.12*.** au 20/07), pour lancer des centaines de cyberattaques par courriel. Il se connecte à un serveur Windows 2022 (en RDP) pour perfectionner ses escroqueries au nom de la brigade des mineurs française (Police Nationale ou Interpol). Ce qui est le plus inquiétant, c’est qu’il possède un grand nombre de RIB de Français, lui permettant d’encaisser les virements de ses victimes.
Ci-dessus, ou en cliquant sur ce lien, interview d’un des pirates retrouvé
Brouteur, un métier à part entière
Paco, la trentaine, vit à Abidjan (160.154.24*.**). Son SUSTeK COMPUTER INC. ZenBook UX481FAY_UX481FA chauffe beaucoup (MAC : a5:62:0c:f0:48:**). Il faut dire aussi qu’il est ultra-actif dans les escroqueries. Être brouteur est devenu son métier. Son train de vie demande beaucoup d’argent : maison, console, grande TV, sorties. Il rêve de posséder une Mercedes. Un document semble montrer qu’il a acquis ce type de véhicule pour 8.600.000 fr CFA (13 000 €). Ce « pro » de l’arnaque et du Social Engineering diffuse des milliers de courriels piégés. Il s’est spécialisé dans les faux avertissements de la Police et de la Gendarmerie Nationale Française, mais aussi des autorités Belges et Canadiennes, ainsi que dans les arnaques liées à l’amour. Selon mes calculs, il possède plus d’un million d’adresses électroniques uniques de Français et de Canadiens. J’ai été très étonné de découvrir qu’il détenait des adresses électroniques, plus de 900 000, d’employés et étudiants d’académies et d’universités françaises.
Très organisé, le pirate possède des scénarios d’actions, comme ceux que je vous montre ci-dessous.
Un autre pirate, HP, s’attaque aux personnes inscrites sur Disons Demain, un site de rencontres pour les plus de 50 ans. Au moment de la rédaction de cet article, il disposait de 95 comptes mails pour tenter de piéger des internautes via des adresses telles que [email protected], [email protected] à [email protected], [email protected] à [email protected], etc. Pour chaque compte, il enregistre la date de création et note si le compte a permis de piéger une personne. L’escroc s’est constitué un « road book, » une sorte de pense-bête rempli de noms de victimes et/ou de futures victimes, avec des commentaires laissant peu de place au doute : « 38 ans, Meetic » « homme prêt » Etc.
Ce pirate est celui qui a été signalé par Cyber Malveillance en 2022 dans une mise en garde publique. Cet escroc va jusqu’à récupérer des vidéos de jeunes femmes lascives directement depuis des sites pour adultes (vidéos amateurs et rencontres pour adultes) et les réutilise pour piéger ses victimes. Je suis tombé sur de nombreuses photographies d’hommes, dans des postures scabreuses, que le pirate avait réussi à récupérer lors de contact en visio conférence ! Autant de documents pour faire payer les victimes !
Des scénarios, comme au cinéma
Des scénarios sont mis en place, avec une précision que seul un social engineering préparé est capable de fournir. La connaissance approfondie des cibles et du sujet avant d’attaquer ne laisse peu de place de sortie pour les cibles des pirates. Un exemple est le cas du pirate S. Il a collecté toutes les informations concernant l’hépatite B : symptômes, médicaments, etc. Il est ainsi capable de répondre à toutes les questions des interlocuteurs qu’il tente de piéger. Plusieurs histoires sont à disposition du pirate pour adapter son discours si la personne préfère discuter d’un autre sujet, comme le « cancer. » Le pirate B., quant à lui, a rassemblé des informations sur les villes les plus peuplées et les noms de famille les plus courants en France. Dans l’ensemble, j’ai pu repérer que ces pirates détenaient plus de 3 millions d’adresses électroniques utilisées dans leurs escroqueries.
Pour diffuser leurs courriels piégés, ils exploitent différentes méthodes. Tout d’abord, ils utilisent des milliers de comptes ouverts chez Gmail, Topnet, etc. Ils n’hésitent pas à utiliser des comptes électroniques piratés chez Orange, Free, SFR. J’ai repéré plusieurs cas de piratage de comptes électroniques de Français, de Canadiens et de Belges. Plus surprenant encore, ils ont accès à des comptes d’enseignants ou de fonctionnaires de l’éducation nationale. Organisés, les pirates disposent de centaines de bases de données. Certaines sont soigneusement organisées. Par exemple, le pirate B. regroupe plusieurs cibles pour chaque faux compte qu’il enregistre pour l’occasion, que ce soit chez SFR, Neuf, Orange, ou La Poste. Son « road book » affiche l’identité qu’il utilise, la signature de cette identité (Ville, âge, Etc.) et le nombre de cibles contactées sous cette signature inventée de toute pièce.
Ils utilisent également des comptes électroniques usurpés, qui ont été préalablement piratés pour être exploités. Dans ses escroqueries amoureuses, B. utilise généralement des mêmes photographies volées sur de vieux comptes de réseaux sociaux. Pour ces arnaques sentimentales, il dispose d’environ une centaine de faux comptes, ciblant au total 25 000 personnes. Une usine !
Dans la liste que j’ai pu consulter, il a visé aussi bien des particuliers que des fonctionnaires de Préfectures ou de Ministères. Le pirate ne connaît pas personnellement ses cibles. La masse de courriels envoyés suffit à son entreprise ! Il recherche la rapidité, au point que même les mots de passe sont générés par des outils. Pas le temps de réfléchir ! Stakhanovite du SE ! Par exemple, B. utilise le site motdepasse.xyz pour créer ses mots de passe. C’est d’ailleurs grâce à cet outil en ligne qu’il a généré le mot de passe lui permettant de « protéger » l’adresse usurpatrice [email protected]. Adresse se faisant passer pour un service de Police dédié à la lutte anti-drogue.
Ces escrocs ne ciblant pas seulement la France, la Belgique et le Canada ont été observés. J’ai remarqué des cyberattaques visant la Lettonie, la Lituanie, l’Irlande, le Luxembourg, même l’Arabie Saoudite ! En ce qui concerne les sommes récoltées, ZATAZ a pu additionner, dans le cas d’un des escrocs infiltrés, plus de 25 victimes ayant payé 3 700 chacune [fausses amendes], entre 2021 et 2023, ce qui équivaut à 92 500 € au total. Cela représente 734 fois le salaire moyen d’un employé ivoirien ou béninois.
Exemples d’escroqueries exploités par les pirates infiltrés
Les pirates repérés et suivis depuis mai 2023 ont un éventail d’arnaques très large. Voici toutes celles qu’ils ont mises en place :
L’escroquerie de l’héritage : les brouteurs prétendent souvent être des membres de familles riches ou des avocats représentant des personnes décédées. Ils envoient des courriels ou des messages indiquant que vous êtes l’héritier d’une somme importante d’argent et vous demandent de payer des frais pour obtenir cet héritage. En réalité, il n’y a pas d’héritage, et ils cherchent simplement à vous extorquer de l’argent.
La fraude aux loteries ou aux gains inattendus : Les brouteurs envoient des messages vous informant que vous avez gagné une loterie à laquelle vous n’avez pas participé ou que vous avez été sélectionné pour recevoir un prix important. Ils demandent ensuite des frais de traitement ou d’autres paiements pour que vous puissiez réclamer votre prix fictif.
Les arnaques romantiques (romance scam / scam à l’amour) : les brouteurs créent de faux profils sur des sites de rencontres ou sur les réseaux sociaux. Ils établissent des relations virtuelles avec leurs victimes en se faisant passer pour des personnes attirantes et bienveillantes, puis ils demandent de l’argent pour diverses raisons, telles que des problèmes médicaux ou des billets d’avion pour les rencontrer.
Voici, par exemple, l’escroquerie montée de A à Z par le pirate B. Nous avons appelé son « attaque » : Maria Love. Maria est un personnage fictif inventé par B. B. a récupéré les photos d’une jeune femme, quelque part sur le web. Pour cela, il parcourt les réseaux sociaux, Facebook en tête. Il cherche des comptes oubliés, dont les images sont accessibles. Il continue d’ailleurs à exploiter « Maria Love » alors que l’on retrouve l’image exploitée un peu partout sous les noms de Rosine D., Marissa G., ou encore Rachelle Meunier et Alice070.
Sa méthode est simple : noyer le web de petites annonces, de contacts auprès d’hommes croisés sur des sites de rencontres, forums, ou Linkedin. « Coucou charmant homme ! » ; « Je suis Maria Gabrielle, je viens de visiter ton profil » ; « Je suis célibataire et mère d’une petite fille de 8 ans« . Le pirate possède plusieurs scénarios pour chaque petite annonce qu’il publie. Il lui arrive même de s’emmêler les pinceaux en appelant Maria Gabrielle, Maria Fernandes, sans que cela ne le perturbe !
L’arnaque à la santé : le scammeur vous contacte sous l’identité d’un(e) ami(e) ou d’un(e) inconnu(e) et annonce un problème de santé nécessitant une aide financière. Ci-dessous, un document exclusif reprenant des scénarios, des phrases, des arguments et des réponses que le pirate doit fournir à un internaute piégé. Il n’a qu’à copier/coller !
L’arnaque aux emplois fictifs : les escrocs proposent des offres d’emploi attrayantes en ligne, souvent liées à des opportunités de travail à domicile. Ils demandent des frais de formation ou d’autres paiements initiaux, mais il n’y a pas d’emploi réel, et ils disparaissent une fois que l’argent est payé.
Les escroqueries de prêt ou d’investissement : les brouteurs promettent des prêts à des taux d’intérêt avantageux ou des opportunités d’investissement lucratives. Ils demandent des frais ou des dépôts initiaux, mais une fois que l’argent est envoyé, ils disparaissent, laissant la victime sans prêt ni investissement.
Le faux message de la CNIL : l’escroc usurpe l’identité de la Commission Informatique et des Libertés. Sa mission est d’intercepter un maximum de données personnelles des internautes contactés. Le faux courriel de la CNIL incite à l’action en indiquant avoir retrouvé le pirate lié à une fuite de données/courriels de la police, etc. L’internaute doit remplir une fiche aux questions… particulières !
L’arnaque aux paiements frauduleux : les brouteurs vous envoient de faux chèques ou des transferts d’argent frauduleux et vous demandent de renvoyer une partie de ces fonds. Une fois que vous avez renvoyé l’argent, le chèque original ou le transfert se révèle être frauduleux, et vous perdez votre propre argent.
L’escroquerie aux faux services de support technique : les brouteurs prétendent travailler pour des entreprises de technologie bien connues et vous contactent avec de fausses alertes de virus ou de problèmes techniques sur votre ordinateur. Ils demandent ensuite un accès à distance à votre ordinateur et des frais pour réparer le problème, mais leur véritable intention est de voler des informations sensibles.
L’arnaque aux impôts : une amende, un avis d’arrêt de transfert de fonds, etc. Le malveillant vous fait croire au versement d’une importante somme d’argent, que vous ne pouvez toucher qu’à la condition de payer les « frais ».
L’escroquerie aux faux sites Web de vente en ligne : les brouteurs créent de faux sites Web de vente en ligne qui proposent des produits à des prix très attractifs. Une fois que vous avez passé commande et payé, vous ne recevez jamais le produit, et le site Web disparaît.
L’escroquerie aux faux sites Web de contrôle de code pour carte bancaire prépayée : le voleur vous demande de vérifier le code que vous avez pu acheter, PCSCard, NeoSurf, etc. Les données fournies sur ces sites sont interceptées par les pirates, qui créent des sites usurpant les marques existantes.
L’arnaque aux demandes de dons fictifs : les brouteurs se font passer pour des organisations caritatives ou des personnes dans le besoin et demandent des dons. Ils profitent souvent de catastrophes naturelles ou de situations d’urgence pour susciter la sympathie, mais les dons ne sont jamais utilisés à des fins charitables. Des escrocs qui sévissent aussi sur le territoire comme l’affaire, jugée fin septembre, à Paris. Un malveillant était jugé le mercredi 20 septembre au tribunal correctionnel de Paris. Ce français de 32 ans est accusé d’avoir frauduleusement extorqué de l’argent à au moins une dizaine de femmes qu’il charmait en se faisant passer pour un homme d’affaires extrêmement fortuné. Il a été condamné à une peine de 2 ans de prison pour avoir escroqué plusieurs femmes par le biais d’applications de rencontres. Il se faisait passer pour un richissime New-Yorkais atteint du syndrome d’Asperger, une forme d’autisme, dans le but de voler et tromper ses victimes. Déjà appréhendé en 2019 « Il prétendait être un avocat travaillant pour le gouvernement américain, bien que son anglais fût médiocre. J’ai pensé que c’était en raison de son syndrome d’Asperger, alors j’ai cherché à être compréhensive envers lui« , déclare l’une de ses victimes sur France Info. Il avait déjà été incarcéré auparavant pour des délits de vol et d’escroquerie. Faisant l’objet d’un mandat d’arrêt international, il avait été arrêté en 2019 à Fréjus (Var).
L’arnaque aux faux billets d’avion ou de voyage : les brouteurs vendent de faux billets d’avion, de séjours à l’hôtel ou de forfaits de voyage à des prix alléchants. Une fois que vous avez payé, vous découvrez que les réservations n’existent pas ou sont frauduleuses.
L’escroquerie aux faux prêts hypothécaires : les brouteurs prétendent être des prêteurs privés ou des institutions financières offrant des prêts hypothécaires à des taux exceptionnellement bas, même aux personnes ayant un mauvais crédit. Ils demandent des frais de dossier ou d’assurance avant d’approuver le prêt, puis disparaissent après avoir reçu l’argent.
L’arnaque « je vous ai vu sur un site… » : Fin septembre 2023, le Tribunal de Paris a entamé le jugement de deux présumés pirates informatiques français, adeptes de l’escroquerie « Je vous ai vu sur un site pour adulte » et ses dérivés tels que « je vous ai vu sur un site pédopornographique« , etc. Des escroqueries que ZATAZ avait été le premier à signaler dès 2018, 9 millions de lectures plus tard, l’alerte était reprise un an aprés par Cyber Malveillance. Des escroqueries que les scammeurs affectionnent et utilisent de manière abusive.
La fausse location de chambres d’hôtes : le malveillant écrit à des propriétaires de chambre d’hôtes aux motifs de mariage, de déplacement professionnel, d’un décès. L’escroc envoie un chèque pour le paiement de sa location. Le montant du chèque est supérieur au prix pratiqué par l’hôtelier au motif que le voleur n’a plus de chèque et qu’il suffit de lui renvoyer le trop perçu, par Western Union, par exemple. Ce cas a été repéré une seule fois dans l’ensemble des pirates surveillés. Peut-être une escroquerie ancienne qu’il a gardé dans son disque dur !
Pour vous protéger des escroqueries en ligne
Soyez sceptique face aux demandes d’argent provenant de personnes que vous ne connaissez pas personnellement.
Ne partagez jamais d’informations personnelles ou financières avec des inconnus en ligne. Vérifiez les informations que vous avez pu laisser en ligne ou que les pirates possèdent sur vous. Le Service Veille ZATAZ est capable de vous proposer une cartographie complète des données vous concernant trainant dans les mains des pirates, sur le web et darkweb, afin de vous alerter et vous protéger. Cela vous évitera de finir comme ce Général de l’Otan, ponctionné de 200 000€ par une pirate qui savait tout de lui et avait réussi à lui faire croire qu’ils s’étaient rencontrés physiquement plusieurs années auparavant ! Ne répondez pas à des courriels ou à des messages suspects, et ne cliquez pas sur les liens ou les pièces jointes provenant de sources non fiables.
Si vous êtes contacté par quelqu’un prétendant avoir besoin d’aide financière, vérifiez son identité de manière indépendante et consultez des sources fiables pour confirmer la légitimité de la demande.
Signalez toute escroquerie présumée aux autorités locales (Gendarmerie, Police, via la plateforme Thésée).
En conclusion, il est temps que la peur change de camp. Ces brouteurs virtuels exploitent la vulnérabilité de nombreuses personnes, semant la méfiance et la terreur en ligne.
Il y a même un gamin en France qui s’est suicidé à cause de ces « trucs » .
Les parents ont tout fait mais la police a été limitée dans son champ d’action à cause des différentes loi entre pays .
Faut trouver une solution définitive pour mettre un terme à ces miteux .
Pour les coup de fils ,il y a l’application « orange téléphone » qui permet de mettre en réseau les utilisateurs et signaler aux autres ,les numéros malveillant qui seront automatiquement filtré.