Règle de base : si le message semble trop beau pour être vrai, c’est souvent le cas. Les techniques utilisées sont de plus en plus sophistiquées et le diable est parfois dans les détails. On décortique une tentative d’arnaque aux bitcoins qui parait pourtant alléchante au premier abord.
Quelle joie de recevoir de bonnes nouvelles, pendant les fêtes ou en début d'année ! Malgré la chute des cours des cryptomonnaies, apprendre par mail qu’on s’appelle Rob Hoffman, qu’on a 30 bitcoins qui dorment dans un coin et qu’il n’y a plus qu’à se connecter pour les retirer, ça fait plaisir et donne envie d’aller voir de plus près, peu importe que le mail se trouve dans le dossier des indésirables et que l’expéditeur ait un nom de domaine sans rapport avec le site indiqué dans le corps du message. Que ne ferait-on pas pour 30 bitcoins, surtout qu’ils pourraient être avantageusement investis dans un abonnement à Next INpact (ou dans l'inflation à venir).
Dans le doute...
Avant d’aller trop loin, rappelons que tout ce qui est trop beau pour être vrai est… trop beau pour être vrai : le jardinier de Kadhafi qui a mis des millions de dollars de côté pour vous, les investissements en cryptomonnaies qui rapportent 5 % par jour, on connait. Mais pourquoi proposer 30 bitcoins sans contrepartie : où est le piège ?
Il y en a forcément un, mais lequel ? Nous allons décrypter cette affaire qui s'est présentée à nous, en cherchant à établir le scénario mis en place par les fraudeurs. Au passage, n’essayez pas vous-même de creuser ce genre d’arnaques si vous ne savez pas exactement ce que vous faites. Pour cette petite enquête, il vaut mieux sortir couvert : machines virtuelles/isolées, connexion anonyme et numéro de téléphone jetable sont de rigueur.
Première connexion
Entrons donc nos identifiants fournis par mail. Un premier écran nous demande la devise dans laquelle on souhaite opérer, pour donner une première impression crédible. Une fois connecté, on nous avertit qu’en raison de la valorisation de notre portefeuille, il est indispensable de modifier le mot de passe pour en mettre un plus sûr, et d’utiliser un code à usage unique (OTP) reçu sur un smartphone.
La modification du mot de passe n’est guère rassurante : à part 123456 et 12345678, on peut mettre ce qu’on veut. Nous avons opté pour un très original ABCDefgh. Nous voilà donc avec super mot de passe très difficile à deviner. Pour ce qui est de l’OTP, il faut entrer un numéro de téléphone et un automate appelle pour fournir un code à six chiffres. Après quelques recherches, il s’agirait d’un service a priori légitime, sellaite.com, mais encore une fois on veut faire sérieux.
Maintenant que nous sommes connectés, jetons un coup d’œil sur le tableau de bord : nos 30 BTC sont là. Une constatation d’emblée : il s’agit d’un site fonctionnel et dynamique, et non d’un vulgaire site de phishing où seule la page de connexion est implémentée. On peut donc naviguer, créer des portefeuilles d’investissement et même envoyer des messages à un support (on attend toutefois toujours la réponse à notre message).
Par ici la monnaie
La première chose qu’on va vouloir faire est un petit retrait sur notre compte d’investissement déjà bien rempli malgré nous. Et, effectivement, le retrait sera petit : pour d’évidentes raisons de sécurité (ah oui ?), il ne peut dépasser 0,0001 BTC soit quelques euros au cours actuel. Pas question de retirer les 30 BTC tout de suite.
On valide tout ça, et on attend un peu pour voir si la transaction passe réellement. Et (demi-surprise) : elle passe. Le pouillème de bitcoin est bien reçu sur notre portefeuille de test. Ça remboursera une partie de la carte prépayée du téléphone jetable… Maintenant, passons aux choses sérieuses, vu que cela semble fonctionner : retirons le pactole.
Il reste 29,9999 BTC sur votre portefeuille. Mais si vous regardez bien, la création d’un portefeuille propose un mécanisme assez curieux, qui fait prendre tout son sens à cette arnaque : il y a un montant minimum de retrait. Cette option nommée « SaveProTM » peut être activée lors de la création d’un portefeuille d’investissement
C'est l'une des fonctions utilisables sur le site, qui permet de créer un portefeuille et promet une belle culbute de 25 % en un an. On obtient en retour une adresse BTC sur laquelle on peut effectuer des versements, mais nous n’irons pas pousser la taquinerie jusque-là, le retour sur investissement (ou des fonds) est certainement aléatoire.
On voit tout de même que l'on peut créer un portefeuille avec un montant minimum de retrait via la fonction SaveProTM. Vous vous demandez pourquoi vous feriez ça ? Logique. Néanmoins, le beau portefeuille bien rempli auquel vous avez accès a bel et bien activé cette option. Et que voit-on ? Le montant minimal de retrait pour ce portefeuille est de 30,006 BTC. Il manque donc 0,007 BTC pour pouvoir retirer votre argent.
Compris ? Pour toucher vos sous, vous serez donc obligé de verser sur votre portefeuille au minimum 0,007 BTC. Si vous le faites, vous ne le reverrez bien sûr jamais, mais nous voilà face à un scenario bien huilé et un site parfaitement crédible et fonctionnel en apparence, dont le seul but est de vous faire verser un peu d’argent (230 euros environ) dans l’espoir – vain – de récupérer un pactole.
Il s’agit donc de la variante en cryptomonnaie du jardinier de Kadhafi ou du riche homme d’affaires décédé sans héritier qui vous versera son héritage à condition de régler les frais de dossier de l’avocat ou du notaire, mais réalisée de façon évoluée en s’appuyant sur un joli site web.
La puce à l’oreille
Quels indices indiquent que l’on est en présence d’une arnaque ? Le plus important reste l’affaire trop belle pour être vraie. L’adresse mail d’expédition est également un indice fort ; heureusement, des progrès sont à constater et il devient difficile d’envoyer des mails frauduleux sans se retrouver dans le dossier des indésirables.
Regardons d'ailleurs le nom de domaine. Si les bases WhoIs ne montrent plus les données personnelles suite à l’application du RGPD, sa consultation reste souvent instructive.
Voici ce qu’on trouve pour notre site d’investissement en cryptomonnaies :
The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars.
Domain Name: coinlux.net
Registry Domain ID: 2658202417_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.registrar.eu
Registrar URL: http://www.registrar.eu
Updated Date: 2021-11-29T16:27:43Z
Creation Date: 2021-11-29T09:05:10Z
Registrar Registration Expiration Date: 2022-11-29T09:05:10Z
Registrar: Hosting Concepts B.V. d/b/a Registrar.eu
Registrar IANA ID: 1647
Une date de création trop récente pour un nom de domaine est un indice classique : les fraudeurs sont souvent délogés et blacklistés, ils sont dans l’obligation de changer régulièrement de domaine. On retrouve ça également sur les faux sites de commerce ou les sites de contrefaçon : il ne s’agit jamais de sites anciens et bien établis.
Où est-il, ce site ?
Deuxième vérification de base : trouver la localisation du site, afin de voir dans quel pays on se trouve et quel est l’hébergeur concerné. Une simple commande dig donne :
Deux adresses IP apparaissent, et un WhoIs nous présente une tactique répandue chez les fraudeurs : il s’agit d’adresses chez cloudflare.com, service légitime et bien connu proposant de nombreux services IP tels que la mise en cache ou la protection contre les attaques. L’intérêt pour un attaquant est de masquer la véritable adresse IP du serveur. Qu’à cela ne tienne, nous avons nos petites sources.
Nous obtenons une nouvelle adresse IP, et là les choses changent : l’adresse est située en Ukraine, et shodan.io nous confirme que le serveur est situé à Kiev. On remarquera aussi que deux autres sites web sont actifs sur des ports peu habituels (10 000 et 20 000), sans doute pour administrer les données et récupérer les identifiants de portefeuille ou effectuer les transferts de bitcoins.
Ce sera pour la prochaine fois
Disons adieu à nos rêves de fortune, mais vous aviez compris l’essentiel : les fraudeurs ne manquent pas d’imagination et adaptent leurs tactiques selon les modes et nos usages.
Ce genre de site peut d’ailleurs très bien avoir été conçu par une équipe spécialisée pour être revendu à différents opérateurs, comme on le voit pour les ransomwares. La cybercriminalité est depuis longtemps (et pour longtemps) passée en mode industriel.
Commentaires (38)
Merci ! Parfois j’ai aussi envie de tenter de suivre le lapin blanc pour voir jusqu’où l’arnaque creuse dans l’absurde. Mais bon, déjà c’est du temps, et puis comme dit dans l’article ce n’est pas dénué de risques si on n’est pas prudent sur les traces que l’on laisse.
Super article merci !
Bon, J’attends mes 30 bitcoins maintenant. Vous souhaitez un virement bancaire de 1000€ pour couvrir les frais?
Et NI inventa… le putaclic éducatif
Très bon article, merci
si on crée 70 comptes et qu’on retire les 0.0001btc à chaque fois, on pourra remplir le 1er portefeuille avec le pognon du scammeur et retirer les 30,007BTC, non?
j’allais poser la même question
arghl, j’avais mal lu, on retire 0.0001
et le mini pour retirer c’est 30.006
du coup il manque 0.0061
donc c’est pas 6 ou 7 fois la récupération de 0.0001 btc qu’il faut faire, mais effectivement plutôt 61, ça peut être long, et coûter cher en numéro de téléphone jetable :/
Superbe article
Vous avez pas tenté plusieurs fois de récupérer le 0.0001 BTC ?
Tu ne peux pas : c’est leur fameux mécanisme SaveProTM….
Le mécanisme empêche de retirer une somme inférieure à 30,007 BC OK, je vois le truc.
Par contre, une fois que l’on a (naivement) rajouter les 0.007 BC qu’il manque, le retrait est impossible pour quelles raisons ?
Car si le système bloque le retrait à 30.007BC mini c’est que les 30BC sont sur le compte non ?
J’ai cru que le système d’arnaque se basait quand même sur un socle réel, pas que du fake
On ne peut pas faire 300000000 retrait de 0,0001 BTC?
Chouette, ils versent vraiment des sous ? Si un gars un peu malin sait capter quelques milliers de numéro de téléphone pour quelques secondes, il y a moyen de scripter des milliers de création de comptes et l’envoi de milliers de 0.00001 BTC vers un compte à soi.
Ce n’est peut être pas la peine.
Tu as une chance sur 999999 de trouver le “bon” code OTP.
Si on connait le serveur d’origine on peut peut-être taper dessus directement pour éviter la protection cloudflare.
Il suffit alors de faire du brute force sur le serveur, et statistiquement à chaque million de requête tu gagnes quelques euros.
Aucune idée de la rentabilité de cette affaire par contre, surtout avec le temps passé pour faire le script.
EDIT: ça aura le double effet kiss kool de leur coûter de l’argent et de rendre leur opération très peu rentable.
c’est surtout super illégale en France de le faire, il n’y a pas l’exception : sauf site de méchant escroc.
si un procureur ukrainien corrompu trempe la dedans, il envoi une requête a interpol, et en France c’est une autre histoire :) même si tes intentions sont bonnes.
La discussion était purement théorique … ;-)
je ne comprends pas trop la raison :
Merci bien !
J’ai raté une étape. Je n’ai pas compris comment on est passé de Cloudflare à l’Ukraine.
Vous aviez demandé quoi ?!
Ça donne presque envie d’être riche pour faire une arnaque du style qui n’en est pas une et l’envoyer à des administrateurs-systèmes très vigilant sur les arnaques.
Le problème c’est que le test peut coûter un peu plus de 200€
, ça en fait des abonnements Premium pour aller vérifier. 
Possible qu’il y ai des frais sur le retrait qui t’empêchent de sortir l’argent pour rajouter encore une étape sur laquelle il faut leur verser de l’argent, ou qu’un malencontreux bug technique empêche de faire la manipulation… ou qu’on pousse le vice à essayer de te faire filer ta clé privée pour sécuriser une transaction “conséquente”.
Le but du premier virement réel est de *mettre en confiance* l’utilisateur…
malin le ‘Lynx’ !!!
Pour information, les ports TCP 10000 et 20000 sont ceux de Webmin et Usermin respectivement (je ne les vois plus ouvert pour ma part), c’est peut-être juste une coïncidence.
C’est encore pire que ce qui est annoncé dans la copie écran :
YURTEH-AS (30860) Ukraine
21/FTP 22/SSH 25/SMTP 53/DNS 80/HTTP 110/POP3 143/IMAP 443/HTTP 587/SMTP
993/IMAP 995/POP3 2222/SSH 3306/MYSQL 10000/HTTP 20000/HTTP
services.tls.certificates.leaf_data.names: coinlux.net
services.tls.certificates.leaf_data.subject.common_name: coinlux.net
services.tls.certificates.leaf_data.subject_dn: CN=coinlux.net
Il semblerait que la BDD mysql soit accessible par Internet. Honeypot ?
Finalement, aussi sophistiquées qu’elles soient, par Internet, e-mail, même courrier, et ce depuis très longtemps, ces arnaques à distance sont toujours les mêmes : elles demandent à un moment un paiement pour quelque chose qui n’en nécessite pas. Seul le moyen de transfert et l’emballage de mise en confiance change.
Globalement simple à déjouer, même pas besoin de se demander si c’est trop beau pour être vrai, quand il n’y a pas de raison de payer, on ne paie pas et ça s’arrête là. On risque cependant d’avoir donné un peu trop d’infos persos au moment où la demande de paiement sans raison arrive.
Je ne suis pas tout à fait d accord avec cette analyse. Avec une arnaque bien faite, la raison de payer peut correspondre à des situations où l on a vraiment des frais et des raisons de payer dans une situation “réelle”.
Par exemple, si l’ont nous dit qu’il s agit d un investissement dans une nouvelle super crypto ou NFT qui a le potentiel de faire du 1000%, et bien c’est vrai que quand on investit, il faut engager une somme avant le potentiel retour sur investissement.
Si on nous dit qu’il y a 100 euros offert pour les nouveaux clients à l’ouverture d un compte mais qu’il faut un dépôt de 20 euros minimum pour ouvrir le compte : situation réaliste qui correspond à des pratiques réelles.
Donc le “trop beau pour être vrai” reste le premier signal d alerte à mon goût.
Habituellement, dans ce genre de situation, on signe un contrat avec une société réelle, qui garantit la livraison de ce pourquoi on paye. Il faut lire et vérifier que la société existe réellement, et/ou chercher des avis dessus.
Dans la finance décentralisée, cette garantie peut aussi être apportée par du code plutôt qu’un contrat classique. Dans ce cas, soit on peut aller lire le code pour savoir ce qui va se passer (pas facile), soit on se fie aux avis et à la réputation du service (comme dans la vraie vie en fait quand on a la flemme de lire les contrats), chose que n’ont pas les arnaqueurs qui sortent de nulle part.
ça me fait penser aux ‘Anti-virus’, c’est pareil, le meilleur des ‘AV.’ reste l’Humain
qui-ne-doit-pas-cliquer-SUR-TOUT-CE-QUI-BOUGE !
“Rob”
Un nom de voleur.
“Le montant minimal de retrait pour ce portefeuille est de 30,006 BTC.”
Je comprend pas comment vous avez pu retirer 0,0001 BTC.
le premier retrait de 0,0001BTC est là juste pour mettre en confiance, le coup du montant minimum de 30,006 c’est si tu veux retirer tout d’un coup.
J’ai pas lu l’article ou les commentaires, mais c’est chouette de voir le retour des concours en si grande forme.
Magnifique article, merci.