Depuis début septembre, des publicités frauduleuses (fishing) visant à capter des données personnelles de victimes potentielles pullulent sur les réseaux sociaux. Les filtres que ces derniers mettent en place ne semblent pas fonctionner car nombre de ces publicités sont manifestement illégales.
L’identité de 6 banques françaises usurpée sur Facebook et Instagram
Depuis le début du mois de septembre 2021, nous avons identifié une campagne publicitaire massive pour des arnaques via les réseaux sociaux Facebook et Instagram.
Ce qui permet tout de suite d’identifier des publicités frauduleuses pour de faux investissements, c’est l’utilisation de logaux de grands groupes bancaire français très bien implantés et leur détournement pour mettre en avant des produits financiers qui n’existent pas.
Sur l’image ci-dessus, on peut aisément reconnaître les logos du Crédy Lyonnais, du Crédit du Nord, BNP Paribas, Crédit agricole, Société Générale et Fortunéo (en dehors de cette image).
L’objectif: capter des données personnelles
Si vous vous montrez intéressé par l’une des ces publicités, voici le processus qui s’ensuit, à travers la succession des captures d’écrans successifs
Dans ce cas précis, la publicité vise à récupérer des données personnelles (nom, prénom, numéro de téléphone et mail) pour recontacter cette personne ensuite en lui proposer un placement, en l’occurence un “livret actif à 3,99”.
Mais l’éditeur de cette publicité, qui se présente sous le nom de “Bons Plans Investissements pour 2021”, est intraçable. Son profil Facebook ne permet pas de l’identifier.
Autre éditeur de publicités reprenant illégalement des logos de banques: “Où investir en 2021”. Impossible également de l’identifier.
Une fois le processus d’inscription terminé, il est proposé d’ “Afficher le site web” de cette offre. Et là, pareil, le site qui s’affiche ne permet pas d’identifier son propriétaire.
Facebook et Instagram, des espaces publicitaires hors là loi
Ces pratiques publicitaires sont proches de ce que l’on appelle de l’hameçonnage ou du phishing en anglais, c’est-à-dire de la récupération de données personnelles de manière illégales et à des fins frauduleuses.
Une fois les données personnelles récupérées, les auteurs de ces publicités ne vont généralement pas s’en servir elles-même mais les vendre à des entreprises frauduleuses proposant de faux investissements.
Nous avons pu le constater nous-même en remplissant l’un de ces formulaires.
Vous en savez plus sur cette entité ou sur cette personne ? Veuillez utiliser ce formulaire pour entrer en contact avec un de nos journalistes, ou si vous avez besoin d'une communication plus sécurisée, contactez-nous à l'aide de l'application Signal +33 6 33 78 33 78. Aucun système n'est sécurisé à 100%, mais Signal peut être utilisé pour protéger votre identité en utilisant un cryptage de bout en bout.
Nous avons déjà par le passé mis en évidence ces pratiques. Il a par exemple été démontré que le site de trading Alvexo avait acheté des données personnelles obtenues illégalement dans des publicités manifestement illégales et usurpant l’identité de personnes connues pour leur prêter de fausses citations.
L’économie de la cybercriminalité a évolué vers une spécialisation croissante. Comme nous l’a récemment expliqué Alain Doustalet, en charge de la lutte contre la cybercriminalité chez Orange, des entreprises cybercriminelles collaborent entre elles en se spécialisant dans des taches.différentes mais complémentaires. Les auteurs de ces publicités, eux, se sont spécialisés dans la récupération de données personnelles. Ils ne font probablement que cela et collaborent avec d’autres équipes spécialisées dans l’offre de faux placements.
Des publicités illégales pour des arnaques par dizaines
Ces usurpations d’identité de logo bancaires pourraient passer pour des cas isolés anecdotiques. Mais nous avons rencontré des variantes par dizaines.
Ainsi cette publicité qu’Instagram a accepté de diffuser. Elle est intitulée “Epargne sans risque”. Si vous cliquez dessus et remplissez le formulaire qu’elle vous présente, vous êtes renvoyé à un “site de capture” de données personnelles: livret.capitaldynamique.com.
Ce site, en réalité cette page internet, ne comporte aucune mention légale. Impossible de savoir qui l’a éditée. Une recherche sur son “Whois” ne permet pas de savoir qui est le propriétaire de son URL. On sait seulement qu’elle a été créé il y a 96 jours.
On rencontre régulièrement ces sites d’une durée de vie de quelques dizaines ou centaines de jours dans le monde des arnaques en ligne parce que ces pages internet ne sont pas créées pour durer. Elles sont illégales, leurs propriétaires le savent et tôt ou tard, elles disparaissent et réapparaissent sous un autre nom ailleurs. Et ainsi de suite.
