Différences

Ci-dessous, les différences entre deux révisions de la page.

--- elsenews:spot-2025:05:arnaque-colis [26/12/2025/H10:01:45]
216.73.216.167 supprimée
+++ — (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
- {{tag>a3}}
-----
-====== Le Monde – « Votre colis n’a pas pu être livré » : enquête sur les arnaques à la carte bancaire par SMS
-   ====== https://www.lemonde.fr/pixels/article/2025/05/04/votre-colis-n-a-pas-pu-etre-livre-enquete-sur-les-arnaques-a-la-carte-bancaire-par-sms_6602832_4408996.html
-<hidden Article Complet (utilisateurs connectés)>
-<ifauth @user>
-Vous pouvez partager un article en cliquant sur l’icône de partage en bas à droite de celui-ci.
-La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite.
-Pour plus d’informations, consultez nos conditions générales de vente.
-Pour toute demande d’autorisation, contactez syndication@lemonde.fr.
-En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».
-https://www.lemonde.fr/pixels/article/2025/05/04/votre-colis-n-a-pas-pu-etre-livre-enquete-sur-les-arnaques-a-la-carte-bancaire-par-sms_6602832_4408996.html
-« Votre colis n’a pas pu être livré » : enquête sur les arnaques à la carte bancaire par SMS
-Par Florian Reynaud
-Par Florian Reynaud
-Par Florian Reynaud
-Aujourd’hui à 08h00, modifié à 13h29
-Article réservé aux abonnés
-Offrir
-ENQUÊTE « Le Monde » et ses partenaires du projet « Darcula Unmasked » ont remonté la trace de Magic Cat, un logiciel conçu pour automatiser l’envoi de messages frauduleux, développé et vendu dans l’écosystème cybercriminel chinois.
-Lecture 6 min
-Vous avez probablement déjà reçu ce genre de SMS. Envoyés depuis des numéros inconnus, ils prétendent provenir de La Poste ou de Chronopost. Ils s’accompagnent de liens étranges, imitant à la perfection le site officiel d’une entreprise de livraison, et vous demandent la plupart du temps de payer une taxe imprévue. Ces faux messages ont généralement un seul objectif : récupérer vos coordonnées bancaires, utilisées ensuite pour des transactions frauduleuses.
-L’enquête « Darcula Unmasked », qui s’appuie sur des données transmises par l’entreprise de sécurité Mnemonic à la télévision norvégienne NRK, la radio bavaroise Bayerische Rundfunk et au Monde, permet de lever le voile sur certains de ces messages. Derrière eux se dissimulent des groupes Telegram, dans lesquels délinquants ou aspirants voleurs de numéros de cartes bancaires s’échangent tuyaux, vidéos humoristiques et étalages de biens de luxe. Un univers parallèle qui s’est constitué autour d’une activité prolifique : le phishing as a service, ou « hameçonnage à la demande ».
- 000 victimes françaises pour un même logiciel
-Jean (son prénom a été changé) a ainsi été piégé, au printemps 2024, par un faux SMS de La Poste. Par inattention, il a entré ses informations bancaires sur le site factice et a perdu 700 euros, avant de comprendre qu’il avait été victime d’une arnaque. Son numéro, mais aussi son adresse, les caractéristiques de son téléphone et de son navigateur Web, ainsi que ses références bancaires, ont toutes été transmises en direct à un pirate.
-Lire l’enquête
-Révélations sur le réseau « Saphir », une multinationale de l’arnaque à l’investissement
-Jean fait partie des milliers de personnes en France qui ont été trompées, à la même période, par le même logiciel : Magic Cat. Doté d’une interface intégralement en chinois, cet outil créé par un groupe asiatique permet d’automatiser et de gérer de façon simplifiée des campagnes d’hameçonnage. Clés en main, le kit propose des centaines de copies de sites de transporteurs dans des dizaines de pays. L’envoi de SMS, utilisant une sélection de noms de domaine usurpant l’entité ciblée (lapostefr.live, chronopostfr.cc ou encore laposteefs.top, par exemple) , est lui aussi automatisé.
-La quasi-totalité des internautes utilisant le programme Magic Cat sont sinophones.
-En France, près de 9 000 personnes ont entré des informations personnelles entre novembre 2023 et juin 2024 sur l’un des faux sites utilisant Magic Cat, selon un document que Le Monde a pu consulter. La majeure partie des victimes contactées ont cependant déclaré avoir fait opposition avant même que des fonds soient dérobés.
-Repéré dès le mois de mars 2024 par l’entreprise de sécurité informatique Netcraft, Magic Cat a tout de suite marqué par sa sophistication. Car le logiciel, relié à l’époque à plus de 20 000 noms de domaines frauduleux, contourne certaines protections antispam en exploitant le protocole de messagerie d’Apple et Google. « Le chiffrement d’iMessage et de Google Messages empêche l’analyse automatique des messages envoyés », explique Umut Alemdar, expert pour l’entreprise Hornetsecurity. En utilisant ce protocole, Magic Cat permet donc aux fraudeurs d’échapper aux filtres déployés pour bloquer les campagnes malveillantes par SMS.
-Comme d’autres kits, l’outil fait aussi en sorte que ses liens ne soient lisibles que par les victimes ciblées, et non des chercheurs trop curieux. « Quand on cliquait sur le lien depuis un téléphone, le faux site s’affichait, mais depuis un ordinateur, c’était une page blanche », raconte Harrison Sand, expert chez Mnemonic.
-Mèmes et étagères de téléphones
-Le Monde et ses partenaires sont partis sur la trace du développeur du logiciel. Caché sous le pseudonyme « Darcula », il pourrait s’agir de Yucheng C., né en 2000 en Chine. Sur Telegram, il publie régulièrement des guides à destination des utilisateurs de Magic Cat. Le projet Darcula Unmasked a pu accéder à plusieurs groupes de discussion réservés à Magic Cat, toujours sur la messagerie Telegram. En mai 2024, on peut y voir une vidéo diffusée par Darcula, l’administrateur, montrant comment des données bancaires arrivent en direct sur son tableau de bord.
-Lire l’enquête
-Derrière les fausses interviews d’Elise Lucet ou de Jamel Debbouze, les mafias des arnaques aux placements
-Dans ce groupe de discussion, on trouve des plaintes d’utilisateurs, parfois confrontés à des problèmes techniques, mais aussi des centaines de vidéos et images humoristiques, pour la plupart des photos de bébés faisant des grimaces. Pour accéder à ce petit milieu, il faut acheter, auprès d’un revendeur, une licence permettant d’activer le logiciel : quelques centaines de dollars par mois tout au plus. Des frais peuvent être ajoutés pour l’achat de listes de numéros de téléphone de victimes potentielles.
-Le Monde Jeux
-Chaque jour de nouvelles grilles de mots croisés, Sudoku et mots trouvés.
-Jouer
-L’un de ces revendeurs est « X667788X », du nom de son pseudonyme Telegram, où il arbore une photo de profil provenant d’un dessin animé chinois pour enfants. L’analyse de ses portefeuilles de cryptomonnaies révèle plus de 300 000 dollars (264 000 euros) de rentrées d’argent sur une période de plus d’un an, et surtout de nombreuses transactions allant de 250 à 900 dollars, qui pourraient correspondre à des abonnements mensuels et hebdomadaires pour Magic Cat.
-X667788X apparaît comme l’un des points de contact pour acheter une licence permettant d’utiliser le kit, et fait même la promotion de formations pour ceux qui souhaitent apprendre le « métier ». C’est également lui-même un utilisateur féru de Magic Cat : sur Telegram, il diffuse ainsi plusieurs vidéos présentant des dizaines de téléphones envoyant à la chaîne des messages accompagnés de liens frauduleux.
-Ses publications ont permis à la NRK et à ses partenaires de remonter jusqu’à un certain « Kris » (possiblement un pseudonyme), exposant une vie luxueuse sur Instagram et semblant vivre entre la Chine et la Thaïlande. Contacté, Kris a nié en bloc les accusations du projet Darcula. Son complice présumé, Yucheng C., n’a pas répondu aux sollicitations de la NRK et de ses partenaires. En revanche, après avoir écrit à celui-ci, des journalistes ont été contactés par une personne se présentant comme l’un de ses collaborateurs. Elle affirme que Magic Cat a été créé à des fins légitimes, et non pour dérober des cartes bleues. Une défense contredite par le fonctionnement même du logiciel.
-Les utilisateurs de Magic Cat, eux, semblent être pour la quasi-totalité des internautes sinophones. Une liste de victimes françaises, que Le Monde a pu consulter, fait ainsi apparaître, à chaque ligne, le pseudonyme Telegram de l’utilisateur derrière la campagne d’envois. On en dénombre plus de 150 différents, tous ayant un nom écrit en chinois.
-Une fois ces coordonnées bancaires dérobées, il existe plusieurs manières de les exploiter. En explorant les comptes Telegram d’utilisateurs de Magic Cat, on découvre des communautés adjacentes, conçues pour revendre des informations bancaires ou se faire livrer des biens achetés avec des numéros de cartes dérobés. Les pirates semblent très souvent ajouter ceux-ci à leur portefeuille sur un iPhone ou un téléphone Android. Sur le groupe de discussion de Darcula, ils prennent en photo leurs téléphones où sont enregistrés parfois jusqu’à une dizaine de moyens de paiement.
-Pour dépenser leur argent, beaucoup utilisent des terminaux de paiements. En témoignent des reçus de carte bancaire, de parfois plusieurs milliers de dollars, pour des achats vraisemblablement fictifs. Un utilisateur de Magic Cat a ainsi publié la photo de l’un d’eux, sur lequel apparaît le nom d’une société créée seulement deux mois plus tôt en Californie et dont l’activité réelle semble introuvable. Un autre client de Magic Cat, lui, postait fièrement un reçu pour un achat de 5 000 euros au nom d’une entreprise installée en Italie, alors qu’il ne semble pas y vivre.
-Exemple d’image publiée sur l’une des chaînes Telegram liées à Darcula, montrant des dizaines de téléphones utilisées pour des fraudes. TELEGRAM / « LE MONDE »
-Groupes sinophones
-Darcula et son logiciel Magic Cat sont symptomatiques de la place que prend progressivement la Chine dans le monde des fraudeurs. « Ces dernières années, on voit une montée des acteurs cybercriminels sinophones, dont les cibles sont de plus en plus élargies au niveau mondial », affirme Selena Larson, chercheuse chez Proofpoint.
-Si Magic Cat semble être un des acteurs majeurs du secteur, d’autres kits de « smishing » (phishing par SMS) se partagent aujourd’hui le marché sinophone. On trouve notamment Lucid, développé par le groupe Xinxin, et pour lequel l’entreprise de sécurité Prodaft a répertorié environ 10 000 noms de domaines et plus de 150 clients potentiels.
-Lire le récit
-Dans les centres d’appels des arnaqueurs du réseau « Saphir », une vie de bureau presque banale
-« L’écosystème sinophone présente une dynamique propre, les acteurs dans ce milieu tendent à se soutenir et s’encourager entre eux, et il ne semble pas y avoir de compétition, même si on ne voit pas ce qui se passe en coulisses », détaille Halit Alptekin, directeur du renseignement pour Prodaft. Les administrateurs de Lighthouse, un des principaux kits gérés d’Asie, ont par exemple fait la promotion de Darcula, et ont même utilisé Magic Cat pour certaines campagnes, selon Prodaft.
-L’hameçonnage est « depuis plusieurs années la menace principale pour laquelle les gens viennent chercher de l’information chez nous », souligne Jérôme Notin, directeur du portail d’aide aux victimes Cybermalveillance. Ce dernier encourage les victimes à rester vigilantes, même après avoir fait opposition : « Il faut faire attention à ne pas répondre aux sollicitations téléphoniques, parce qu’après un vol de coordonnées bancaires, la victime va très souvent être ciblée par un appel d’un faux conseiller bancaire. »
-Il est également recommandé de porter plainte, les autorités faisant face à un véritable « chiffre noir » concernant le nombre de victimes réel de ces campagnes d’hameçonnage. Sollicité, le parquet de Paris nous a répondu ne pas avoir connaissance d’enquête concernant Darcula ou Magic Cat.
-Lire l’analyse
-Arnaque au faux Brad Pitt : pourquoi personne n’est à l’abri des escroqueries financières
-Florian Reynaud
-NOS LECTEURS ONT LU ENSUITE
-« La Russie falsifie la mémoire de la seconde guerre mondiale pour justifier ses actes les plus abominables »
-Aujourd’hui à 07h30
-Le couple libre séduit de plus en plus de Français
-Aujourd’hui à 06h00
-Erik Prince, l’Américain qui rêve de privatiser l’armée et de délocaliser les prisons
-Aujourd’hui à 07h00
-Le père d’un magnat des cryptomonnaies enlevé en plein Paris recouvre la liberté après un assaut policier
-Aujourd’hui à 03h54
-Robert Ageneau, théologien : « Il est urgent de réformer, voire d’abolir, la papauté »
-Aujourd’hui à 06h30
-Cent jours de Donald Trump : « Dans un étonnant mouvement de miroirs inversés, l’état de grâce dont il semble privé rejaillit sur ses opposants ou ses adversaires internationaux »
-Hier à 20h00
-CONTRIBUTIONS
-Bienvenue dans l’espace des contributions
-Pour améliorer la qualité des échanges sous nos articles, ainsi que votre expérience de contribution, nous vous invitons à consulter nos règles d’utilisation.
-Voir les contributions
-</ifauth>
-</hidden>

× iphelper toolbox

you see this when javscript or css is not working correct

Untested

ElseNews

Différences

Input

ElseNews

Outils pour utilisateurs

Outils du site

Différences

Input

Outils de la page