Les arnaques s’adaptent. Pour contrer le scanner permanent des autorités qui placent un site escroc sur leur liste noire dès qu’ils l’ont détecté, quand ils n’obtiennent pas son blocage, les escrocs ont élaboré une contre-mesure: Un espace de connexion privée
Un nouveau mode opératoire
Depuis plusieurs mois, nous notons une recrudescence de ce mode opératoire passant par un espace de connexion privée:
- Les victimes sont démarchées via un appel téléphonique par un conseiller qui, très majoritairement, usurpe l’identité d’une société réelle.
- Le conseiller renvoie au site de la société usurpée mais ses coordonnées téléphoniques et son adresse mail est libellée de façon légèrement différente (par exemple @edf-fr.fr au lieu de @edf.fr) que la victime ne remarque pas.
- Il adresse un identifiant de connexion et un mot de passe à la victime pour lui permettre d’accéder à un espace sécurisé dans lequel sont présentées des offres frauduleuses d’investissement.
- Il noue et entretien une relation régulière en renvoyant à cet espace sécurisé pour faire croire à des retours sur investissement important et inciter à de nouveaux versements
Pour des escrocs, l’avantage de l’espace sécurisé, c’est de diminuer la détectabilité de l’arnaque. Il faut attendre qu’une victime se soit manifestée pour que le site soit grillé. Cela leur laisse plus de temps avant d’être repéré, placé sur une liste noire ou bloqué judiciairement.
L’espace de connexion privée, une tendance de fond
Nous avons recensé dans leur grande majorité, tous les sites qui présentent ce mode opératoire:
- Apartners-limited, sur lequel nous avons écrit cet article
- Lyxorpro.com, sur lequel nous avons écrit cet article
- RCP-ROncin, sur lequel nous avons écrit cet article
- Byblos, sur lequel nous avons écrit cet article
- Bkinter-lux, sur lequel nous avons écrit cet article
- JCI-cpl.com, sur lequel nous avons écrit cet article
- capital-alliance.fr, sur lequel nous avons écrit cet article
- tpi-conseil.com, sur lequel nous avons écrit cet article
- Pfm-golden-malt, sur lequel nous avons écrit cet article
- Europe-pimco.com, sur lequel nous avons écrit cet article
- Astir-Capital, sur lequel nous avons écrit cet article
- Acd-solution, sur lequel nous avons écrit cet article
- Clic-Epargne, sur lequel nous avons écrit cet article
- Lse-asset.com, sur lequel nous avons écrit cet article
- Db-info.com, sur lequel nous avons écrit cet article
- Bkt-inter.eu, sur lequel nous avons écrit cet article
- daskann-clientsfr.com, sur lequel nous avons écrit cet article
- gv-corporatelimited.com sur lequel nous avons écrit cet article
- lamaisonlivreo.com, qui fait partie d’un groupe d’une dizaine de site frauduleux derrière lesquels on retrouve la même équipe.
- acces-boursorama.com et brs-investissement.com ou encore secure-lse.com
- munich-fg.com
- orpeagroup.com
- index-hg.com
- market.banif-bc.online
- index-hg.com nous a été signalé par un internaute sans plus de détails. index-hg.com ressemble à s’y méprendre à tous les sites avec espace de connexion que nous décrivons sur cet article. index-hg.com est donc une arnaque.
Le signe d’une industrialisation des arnaques
Ces interfaces ont toutes des points communs que l’on s’explique aisément: pas de procédure de récupération de mot de passe oublié, pas de mentions légales, des hébergeurs à l’étranger et que l’on retrouve dans de nombreuses arnaques…
Voici les interfaces de connexion privée de trois arnaques: SCP-roncin, and-solution.com et apartners-limited.com
Leur identité graphique saute aux yeux. Les programmateurs-escrocs ont donc copié-collé des lignes de code HTML. Seul les noms de chacun de ces sites changent.
Une plongée dans les « feuilles de styles » du langage HTML permet de retrouver les mêmes terminologies sur d’autres sites:
- Europe-pimco.com
- JCI-cpl.com
- Apartners-limited
- Acd-solution
- RCP-Roncin
Cela permet d’affirmer qu’il est pratiquement certain que les mêmes personnes ont conçu au moins ces cinq sites.
En effet, les codes HTML des pages d’accueil sont pratiquement identiques du point de vue de la présentation du code, des noms des identifiants utilisés dans les feuilles CSS et des commentaires.
Pour jci-cpl, il possible de montrer que le code HTML est le même que pour apartners-limited, and-solution et scp-roncin. Seule l’image de l’écran de connexion a été modifiée.
Sur le serveur hébergeant le site Europe-Pimco, on trouve d’autres images qui ont été déposées là mais ne servent pas, probablement pour les prochains sites d’arnaques à venir
Ces photos, on les retrouve sur d’autres sites internet sans rapport comme celui-ci ou celui-ci.
Cette industrialisation de la création de sites d’arnaques a été relevée en 2019 dans une conférence de presse de l’AMF, qui évoque le « clonage de sites frauduleux ». 59 clones d’un même site ont pu être identifié à l’été 2019. Hélas pour les victimes, dans le même exposé, l’AMF explique que « Sauf exception, on ne récupère jamais les sommes investies ».
Un espoir pour les victimes
Découvrir qu’il s’agit d’un seul et même groupe derrière tous ces sites est un espoir pour les victimes. Elles seront plus nombreuses et les préjudices seront plus importants. Elles peuvent ainsi espérer mobiliser les autorités policières et judiciaires sur ces arnaques, pour espérer une coopération internationale.
N’hésitez pas à nous contacter si vous êtes victime de l’un de ces sites.
