Des noms de sites inhabituels pour des sites frauduleux

Certains sites frauduleux récents ont des noms vraiment inhabituels. Une nouvelle tendance ?

Vous êtes plusieurs à nous avoir signalé le site Meauxvolley.fr et plusieurs également à s’être faits escroquer par ce faux site de vente en ligne. Même chose pour des sites comme serrurerie-vsm-91.fr laveze-doubs.fr ou institut-hyles.fr . Le point commun entre ses sites de vente ? Leurs noms inhabituels pour un site de vente !

En effet, avec ces noms de sites, on est loin des noms typiques de sites frauduleux qui comportent souvent les mots « en soldes » ou « pas cher » comme par exemple louisvittonsoldes.fr ou louboutinpaschere.fr (exemples fictifs)

Étudions de plus près le site Meauxvolley.fr . D’apparence il se présente comme un site de vente à l’interface assez simpliste. (Contrairement au site ralphlauren.ga dont nous parlions dans un billet précédent et qui a été fermé depuis). Sur Meauxvolley.fr pas d’effet visuel, pas d’animations modernes, le site affiche une série d’images de vêtements avec un descriptif du produit et un prix.meauxvolley, noms inhabituels

A y regarder de plus près, le site Meauxvolley.fr n’est pas le plus abouti des sites frauduleux que nous avons pu rencontrer. Il présente en effet plusieurs signes qui montrent qu’il s’agit d’une arnaque, à savoir :

  • Une interface minimaliste (on vient d’en parler)
  • Des prix très faibles et des réductions énormes (71% sur tous les produits!)
  • L’absence totale de mentions légales ou de conditions générales de vente

Pourquoi alors les escrocs choisissent-ils ces noms de sites inhabituels ?

En revanche, assez peu de fautes d’orthographe. Également quelques tournures de phrases bizarres pour un site français mais rien qui saute aux yeux. Le serveur de Meauxvolley.fr est localisé… aux Seychelles ! Les sites laveze-doubs.fr et institut-hyles.fr sont localisés en Suède. Le site serrurerie-vsm-91.fr en Californie. Ce qui renforce encore l’image de sites frauduleux.

seychelles

Alors pourquoi ces noms de sites inhabituels et à priori inadaptés à un site de vente ? Il s’agit sans doute d’une histoire de référencement doublée d’une tentative de dissimulation.

En effet, les sites en questions ont probablement existé de manière légitime avant d’être transformés en sites frauduleux. Par exemple, le site serrurerie-vsm-idf.com est sans doute le nouveau nom du site officiel qui devait précédemment s’appeler serrurerie-vsm-91.fr

Les escrocs ont récupéré le nom du domaine précédent et créé un site de vente frauduleux avec ce nom. Parmi les nombreux paramètres qui interviennent dans le classement réalisé par les moteurs de recherche, on sait par exemple que Google privilégie les sites anciens plutôt que les sites nouveaux. En reprenant un nom de domaine existant, les escrocs bénéficient d’un coup de pouce dans le référencement des moteurs de recherche. Ils font ainsi plus de victimes et donc plus de « chiffres d’affaires »

En jouant également avec l’historique du nom du site, les escrocs peuvent également semer le doute dans l’identité du propriétaire actuel. Ils peuvent faire croire que le propriétaire du site frauduleux est toujours l’ancien propriétaire légitime. D’autant qu’en tant de propriétaire légitime, ce dernier n’avait pas à cacher son identité.

Méfiez-vous toujours des sites de vente peu connus, d’autant que maintenant on ne peut plus se fier aux noms de domaine parfois inhabituels ! Heureusement, des prix incroyablement bas, une interface vieillotte, des fautes d’orthographe et l’absence de mentions légales restent de bons moyens de reconnaitre un site de vente frauduleux !

Un réseau d’arnaques via LeBoncoin démantelé

Les gendarmes viennent de démanteler un réseau qui perpétrait des escroqueries aux petites-annonces via Leboncoin.

Un homme de 33 ans résidant en Charente a été interpellé pour escroquerie par les gendarmes. Deux complices parmi des buralistes du département seront également convoqués au tribunal pour complicité d’escroquerie. Le préjudice se porte à plus de 120 000 euros selon le journal Charente Libre. Le principal suspect est accusé d’avoir été le maillot clé d’un vaste réseau d’arnaques sur LeBoncoin, le célèbre site de petites-annonces sur internet.

réseau d'arnaque aux voitures d'occasion

Voiture à vendre
Crédit : DanTD

L’escroquerie était parfaitement organisée : Notre homme créait de fausses annonces sur LeBoncoin qui étaient particulièrement alléchantes car les biens était proposés bien en dessous de la valeur du marché, principalement des voitures vendues jusqu’à 5000 euros en dessous de leur cote.

Les internautes qui répondaient aux annonces rentraient, sans le savoir, en contact avec d’autres escrocs du réseau situés en Afrique et spécialistes dans l’art de la conviction. Ces derniers persuadaient les victimes de faire des virements par mandat cash pour réserver les voitures, en argumentant que l’argent serait encaissé seulement au moment de la livraison, lorsque l’acheteur divulguerait au vendeur le code secret de la transaction mandat cash, sésame permettant au vendeur de toucher l’argent de la transaction.

Or les internautes qui acceptaient ce mode de fonctionnement se retrouvaient redirigés sur un faux site internet et étaient invités par ruse à communiquer ce fameux code secret. Le principal suspect du réseau récupérait alors l’argent et le transférait en Afrique avec la complicité des buralistes impliqués dans cette escroquerie. Le principal suspect et les buralistes complices touchaient une commission sur l’argent transféré. Lorsque la victime s’apercevait de l’arnaque, il était trop tard, le processus de transaction par Mandat Cash étant irréversible.

44 personnes ont été identifiés comme victimes de ce réseau mais de l’aveu des gendarmes, le nombre de personnes ayant été arnaquées est sans doute plus élevé car de nombreuses victimes n’ont pas été identifiées ou ne sont pas fait connaitre.

Tentatives de phishing annonçant un trop-perçu des impôts

Vous venez de recevoir un mail des impôts vous signalant un trop-perçu ? Malheureusement, il s’agit d’une tentative de phishing.

Un trop-perçu de la part des impôts ? En 2014, 35% des foyers fiscaux français ont déclaré leurs revenus en ligne sur le site internet du gouvernement. Ce chiffre progresse chaque année et devrait encore augmenter en 2015. D’ailleurs si vous faites partie de ces 13 millions de personnes (sur 37 millions de foyers fiscaux) vous avez reçu un e-mail comme celui de l’image ci-dessous à l’issue de votre télé-déclaration.

trop perçu des impotsIl s’agit bien d’un e-mail officiel envoyé par le gouvernement à toute personne ayant validée sa déclaration d’impôts en ligne. Car des escrocs tentent régulièrement, et encore plus ces jours-ci, de se faire passer pour l’administration fiscale et vous font parvenir des courriels prétendant un remboursement suite à un montant trop-perçu.

Le courriel suivant est un exemple de ces tentatives de phishing :

trop perçu des impots

Autre exemple de tentative de phishing se basant sur un trop-perçu des impôts.

trop perçu des impots

  • Comment identifier une tentative de phishing ?

Il y a encore quelques années, les e-mails d’hameçonnage étaient truffés de fautes d’orthographe, de sorte qu’il était facile d’en déduire qu’ils ne pouvaient pas provenir d’un site officiel gouvernemental. Mais cette caractéristiques s’estompent. Les deux exemples ci-dessus contiennent bien des fautes d’orthographe mais pas forcément décelables par une lecture un peu trop rapide.

Il reste cependant deux évidences nettes que ces e-mails signalant un trop-perçu sont en réalité des tentatives d’escroquerie :

  1. L’adresse de provenance du courriel ne se termine pas par « gouv.fr ». Dans le premier exemple, le nom de domaine (la partie après le @) est « t-online.de » ce qui n’a rien à voir avec l’administration fiscale. On évitera de faire confiance au nom de l’expéditeur « IMPOTS GOUV » qui peut être paramétré et donc peut prendre n’importe quelle forme.
  2. Contrairement à l’e-mail officiel, les tentatives de phishing n’indique pas vos noms et prénoms. Ainsi, alors que le courriel officiel commence par Monsieur [prénom nom] (caché dans l’image), les mails voulant vous faire croire à un trop perçu emploient un simple « bonjour » pour le premier et un « Chère client contribuable » pour le deuxième (avec une faute de grammaire en prime)