Depuis plusieurs semaines, je n’arrête pas de voir des comptes comme celui ci-dessous apparaître sur Instagram. Pour simplifier, des individus vont cloner les profils Instagram (principalement de jeunes filles) en utilisant nom et prénom, photos ainsi qu'un nom d'utilisateur très ressemblant à l'original.
Sur ces comptes, on va retrouver une bio qui ne laisse place à l'interprétation; on fait la promotion de contenu pour adultes et on incite les gens à se rendre sur le lien inscrit afin d'accéder au contenu promis.
Pour que ce faux compte ait une certaine visibilité, les individus qui l'ont créé vont aller suivre les abonnés du compte cloné dans le but que ceux-ci croient que c'est la personne qu'ils suivent qui a créé le faux compte.
Lorsque j'ai cliqué sur le lien, je suis arrivé sur cette page. On retrouve de nouveau le prénom de la personne, une ou plusieurs photos, ainsi qu'une description beaucoup plus complète que sur Instagram; qui explique clairement qu'on propose du contenu pornographique.
Le hic est que c'est évidemment une arnaque et qu'il n'y a absolument aucun contenu. Ce site a été conçu gratuitement sur la plateforme Wix; on peut d'ailleurs voir un bandeau publicitaire tout en haut de la page qui en informe les visiteurs. Plus précisément, cette fausse page a été conçue pour imiter le visuel du site Pocket Stars qui lui, propose du contenu pornographique. Celui-ci est bien réel et contient véritablement ce type de contenu. La compagnie est enregistrée légalement auprès du Gouvernement du Royaume-Uni sous l’entité Pocket Stars LTD.
Sur la fausse page, on retrouve un rectangle où il est écrit « subscribe to me for 30 days ». Lorsqu'on clique dessus, on est redirigés sur ce site. On nous demande alors de rentrer une adresse courriel, un nom d'utilisateur et un mot de passe. C'est donc ce que j'ai fait, puis j'ai cliqué sur « JOIN NOW ».
Je me suis alors retrouvé sur cette page qui demande de rentrer des informations de carte de crédit pour valider notre âge. On précise au bas de celle-ci que notre compte ne sera pas débité. Vous ne serez pas surpris, c'est évidemment un mensonge et un montant d'argent va à 100% vous être chargé.
Voilà, nous venons de voir le déroulement de cette arnaque qui débute par la création d'un faux compte Instagram. Le but de celle-ci est très simple, obtenir les détails de votre carte de crédit afin de vous frauder. Pour ce faire, on vous fait miroiter l'accès à du contenu pornographique.
Comme je le disais au début de l'article, ce n'est pas juste un, mais bien plusieurs dizaines de faux comptes Instagram que j'ai vu passer: Même technique utilisée, mais différents sites imités. Dans le cas de ce faux compte Instagram par exemple, le lien inscrit mène à une page qui tente d'imiter le visuel du vrai site Fansly. Comme Pocket Stars, celui-ci est légal et propose le même type de contenu.
J'aurais pu m'arrêter ici, mais voir autant de faux comptes Instagram et de faux sites web m'a donné envie de pousser plus loin les recherches et de mener ma petite enquête. Voici donc la 2e partie de cet article retraçant les étapes effectuées et les découvertes que j'ai faites.
Mon enquête
J'ai débuté le tout par les faux comptes Instagram. Pour tenter d'obtenir plus d'informations, je me suis mis dans la peau de celui qui l'a créé et j'ai fait comme si j'avais oublié le mot de passe. Ce qui est ressorti, c'est que tous les comptes testés étaient liés à un numéro de téléphone débutant par l'indicatif +63.
Une petite recherche sur internet m'a permis de savoir que le +63 correspond à l'indicatif des Philippines. Sachez que ceci n'est pas très surprenant; les Philippines sont en effet reconnues pour la sextorsion, dont cette arnaque se rapproche. Cette information permet également de constater que ce sont des individus à l'extérieur du Canada qui sont à l'origine de cette fraude, ce qui est très fréquent.
Par la suite, j'ai parcouru les faux sites créés à partir de la plateforme Wix. Je n'ai malheureusement rien trouvé de très pertinent. J'ai donc décidé de m'attarder aux sites sur lesquels nous sommes redirigés et qui demandent de rentrer une adresse courriel, un nom d'utilisateur et un mot de passe. Pour rappel, à partir du faux site imitant le visuel de Pocket Stars, on arrive ici.
Une fois dessus, je suis allé voir la racine du site, soit frlysglmt.com et suis alors tombé sur ce qui ressemblait à une page de service à la clientèle pour tout ce qui est relié à la facturation et aux transactions. Voici le visuel en question.
Sur ce site, on retrouve un rectangle vert dans lequel il est écrit « Visit Friendly Singles Meetup! ». En cliquant dessus, j'ai été redirigé à ce qui s'apparente à un site de rencontres. Sur la page principale, on demande de se créer un compte en indiquant entre autres date de naissance, adresse courriel, région et code postal.
Intrigué par tout ça, j'ai effectué le même processus, mais cette fois à partir du faux site imitant le visuel de Fansly. On peut voir ci-dessous que le visuel est sensiblement le même; il y a seulement la racine du site qui change. Dans ce cas, c'était pcnghw.com.
J'ai alors vu ce qui ressemble comme deux gouttes d'eau au site frlysglmt, soit une page de service à la clientèle pour la facturation et les transactions, avec une dame au grand sourire. On retrouve de nouveau un rectangle vert dans lequel il est cette fois écrit « Visit Ties Your Love Together! ».
J'ai donc cliqué dessus et, surprise: on arrive sur un autre site de rencontre. Le nom du site n'est pas le même et les phrases changent; mais on a le même visuel et on demande exactement les mêmes informations pour la création d'un compte.
Dans le cas de ces deux sites de rencontres, on ne demande aucune information bancaire pour la création d'un compte. On propose cependant de rapidement passer à un compte premium pour lequel on doit insérer les informations d'une carte de crédit. Pour les deux sites, les tarifs sont exactement les mêmes, tout comme la fenêtre pour insérer les informations de paiements. Je vous conseillerais fortement de ne pas mettre votre carte de crédit là parce que c'est sans aucun doute une arnaque, tout comme les faux sites de pornographie vus au début de l'article.
Pour poursuivre mes investigations, j'ai lancé un « whois » sur les sites frlysglmt.com et pcnghw.com. Voici les résultats ci-dessous:
Ce qu'on constate rapidement, c'est que le registraire n'est pas le même pour les deux sites. Il y a cependant une donnée identique qui les lie (étant pourtant reliée à 2 fraudes distinctes), c'est l'adresse IP: 157.185.161.8. Le détail qui a attiré mon attention est qu'il y aurait 1016 autres sites hébergés sur ce serveur. J’ai donc effectué un « Reverse IP Lookup » pour identifier ces sites, et ce que j’ai découvert m’a choqué.
Il y a des centaines et des centaines de sites web de rencontres comme les deux que nous venons de voir, mais également d’autres, un peu différents. Le visuel est sensiblement pareil; ce sont les mêmes onglets, mais seul le nom des sites change.
À ma grande surprise, ce n’était pas tout. En descendant plus bas dans la liste de résultats, je suis tombé sur des URL plus courtes qui m’ont fait penser aux sites pcnghw.com et frlysglmt.com. Comme de fait, c’était bien ça: des centaines de sites web de « customer support » avec exactement le même visuel excepté le nom du site.
Signe que tout cela n'a rien de fiable et que c'est une vulgaire arnaque, j'ai effectué une recherche sur Google Maps de certaines adresses indiquées sur des sites de rencontre ou sur des sites de service à la clientèle comme adresse de contact de la compagnie. Il y avait par exemple le 22 Cranbourne Road, Potters Bar, EN6 3AH, UK. En fait, la vraie adresse c'est Cranborne sans le u, et ça donne en plein quartier résidentiel. C'était comme ça pour la très grande majorité des adresses.
Nous arrivons ainsi à la fin de mon enquête, qu'il serait possible de pousser encore plus loin. Le constat que je fais, c'est que l'arnaque des faux sites pornographiques avec des comptes Instagram clonés est beaucoup plus grosse que ce que j'avais imaginé. En arrière de tout ça, il y a en fait un important réseau de sites de rencontres, prétendument fiables, actifs sur internet, combiné à un réseau de sites de service à la clientèle bidons, utilisés pour traiter les transactions par carte de crédit. En d'autres mots, on a une opération frauduleuse extrêmement bien organisée, conçue de telle sorte à brouiller les pistes étant donné la grande variété de sites.
Comme j'aime bien l'expression « jamais 2 sans 3 », il y a une troisième partie à cet article. Je voulais en effet montrer ce qu'il est possible de faire si vous, ou une connaissance êtes victime de cette arnaque, mais également les possibles actions à prendre pour ces faux sites de rencontre et de service à la clientèle.
Actions possibles contre cette fraude
Pour ce qui est des faux comptes Instagram, vous avez deux options:
La première est de demander à vos abonnés d'aller signaler le compte frauduleux qui tente de se faire passer pour vous. Cette méthode à un résultat très mitigé. En effet, si vous avez énormément d'abonnés qui s'exécutent à quelque temps d'intervalle, quelques heures pourraient suffire pour le compte soit supprimé. À l'inverse, ça peut prendre plus d'une semaine ou, malheureusement, le compte peut n'être jamais supprimé.
La deuxième option consiste à signaler vous-même le compte à partir du formulaire disponible juste ici Pages d’aide Instagram.
Vous devrez choisir l'option « Quelqu’un a créé un compte usurpant mon identité ou celle d’un ami », puis « Oui, je suis la personne victime de l’usurpation d’identité ».
On va alors vous demander de donner divers renseignements ainsi que de fournir une photo de vous tenant une pièce d'identité à côté de votre visage. En utilisant cette méthode, vous pourrez accélérer le processus et faire fermer plus facilement le faux compte Instagram.
Pour ce qui est des faux sites créés sur la plateforme Wix, la meilleure méthode est de signaler un abus à Wix en déposant une plainte à l'aide du formulaire de contact. Pour ce faire, rendez-vous à Signaler un abus | Centre d'Assistance | Wix.com et cliquez sur « déposer une plainte ». Vous serez alors redirigé ici:
Sélectionnez « Usurpation d'identité », puis répondez aux questions.
1. Fournir l'URL du faux site web.
2. Indiquer où le contenu apparaît sur la page (vous pouvez répondre « toute la page »).
3. Indiquer pourquoi le contenu devrait être supprimé (Expliquez l'arnaque brièvement).
4. Fournir votre nom complet.
5. Indiquer à quelle adresse e-mail vous êtes joignable.
Dans un délai de 24 heures tout au plus, vous devriez recevoir une réponse de la part de Wix comme quoi le site à été désactivé. Dans mon cas, j'ai signalé de nombreux sites et c'est ce qui est arrivé à chaque fois.
Après plusieurs signalements, j'ai décidé de pousser plus loin les démarches auprès d'un représentant de Wix. J'ai expliqué que ça faisait plusieurs signalements que je faisais, que chaque fois c'était le même mode opératoire et donc; qu'on pouvait supposer que c'était les mêmes personnes qui créaient les faux sites ! J'ai également demandé s'il y avait des mesures en place pour prévenir ce type de fraude. Voici la réponse que j'ai reçue:
Par cette réponse, j'en ai compris que Wix est très réactif quand on signale un abus de type faux sites pornographiques, mais qu'il va justement falloir signaler cet abus si on veut que quelque chose soit fait. Comme indiqué dans la réponse, ils ne sont pas en mesure de « prévenir ce genre de situation ».
J'ai par la suite regardé au niveau des registraires des sites de service à la clientèle frlysglmt.com et pcnghw.com. Durant mon enquête, j'ai d'ailleurs réalisé que ces registraires étaient les mêmes pour de très nombreux sites de rencontres.
Dans le cas de frlysglmt.com, le registraire est Dynadot LLC. J'ai envoyé un courriel à l'adresse e-mail identifiée pour recevoir les plaintes. Voici la réponse que j'ai reçue:
Résumé simplement, ils demandent de fournir des documents juridiques comme une ordonnance de la cour pour mener une investigation.
Dans le cas de pcnghw.com, le registraire est URL Solutions inc. J'ai envoyé un courriel à l'adresse e-mail identifiée pour recevoir les plaintes. Voici la réponse que j'ai reçue:
Résumé simplement, ils m'expliquent qu'en tant que registraires, ils ne sont pas en mesure de m'aider avec ma plainte. Ils me conseillent à la place de contacter l'hébergeur du site web en question.
Une recherche avec l'adresse IP me permet de découvrir que l'hébergeur est Quantil Networks Inc; une compagnie enregistrée dans l’État de Californie aux États-Unis.
Comme suggéré par le registraire, j'ai donc envoyé un courriel qui incluaient plusieurs captures d'écran en expliquant la situation et les étapes effectuées.
Je n'ai malheureusement jamais eu un retour de leur part, ni même un accusé de réception de mon courriel. Cela vient démontrer une chose: en tant que particuliers, nous sommes limités dans ce que nous pouvons faire, particulièrement si, comme dans mon cas, on n'a pas été victime de quoi que ce soit.
La bonne nouvelle, c'est qu'il y a des moyens de se protéger.
Concernant Instagram, mettre son compte privé est assurément la meilleure option. Vous avez ainsi l'assurance que vos photos ne sont pas accessibles publiquement. Le risque de voir votre compte être cloné est donc beaucoup plus faible, et par le fait même, un risque moindre de trouver un faux site pornographique utilisant votre nom et votre image.
Pour le reste, il s'agit de se rappeler cette règle élémentaire: on ne met jamais ses informations de carte de crédit sur un site sans être sûr à 100% qu'il est fiable. Pour valider, on peut utiliser notre ami Google, qui est très pratique pour savoir si un site a été signalé comme du spam par d'autres personnes.
Et nous voilà donc à la fin de cet article. J'espère que vous avez apprécié le récit de ma petite enquête. Si oui, je vous propose de lire mon article Je retrace la provenance d’une page d’hameçonnage et fais fermer celle-ci qui expose mon enquête suite à une tentative de fraude visant les clients de la Banque TD.
Comments