Les entourloupeurs et autres malfaiteurs du web sont habitués à surfer sur le sujet le plus chaud du moment, et la pandémie Covid-19 ne fait pas exception. Nous avons remonté un email qui promettait de donner accès à une liste essentielle pour traverser la période de pandémie. Rhétorique du complot, sentiments d’urgence, prétendue miracle de l’offre : nous vous expliquons les ficelles qui mènent à générer des ventes de documents inintéressants, traduits dans toutes les langues.

Comme à chaque événement d’ampleur, des personnes peu scrupuleuses essaient de profiter de la situation. Le gouvernement a mis en garde, sur son site Cybermalveillance, sur la vague d’hameçonnage à venir autour de la pandémie Covid-19. De nombreux malfaiteurs utilisent déjà le coronavirus comme appât de leur hameçonnage. Si pour l’instant, ces campagnes touchent principalement les pays anglophones, la France n’est pas en reste. Cybermalveillance et la CNIL ont demandé à la population d’être attentive aux tentatives d’arnaques.

Nous en avons repéré une, relayée par le streamer de jeux vidéo Kenny. Le vidéaste a mis en garde ses abonnés contre les risques de l’arnaque et nous l’a communiquée. L’email, envoyé le 17 mars, au lendemain de la seconde prise de parole d’Emmanuel Macron, a pour objet « La liste à savoir Covid-19 ». Voici son contenu (sic) :

« Bonjour,
avec ces annonces d’hier et ces temps de crise sans précédent. J’ai tenu à vous partager une liste sur laquelle je suis tombé par hasard. Il s’agit d’une personne qui a fait le point des choses utiles ou nécessaires à connaître en plus des précautions d’usage. Ce n’est pas dans notre secteur habituel mais si ça peut servir à quelqu’un pourquoi pas. Il y un email à entrer et toutes les explications sont données. J’ai entré mon email et ce n’est pas de l’hameçonnage (j’ai cru au début).

Voici le lien : https://corpostuff.systeme.io/la-liste-covid19

Bon courage dans cette période, serrons nous les coudes.

Damien de CORPOSTUFF »

Le scénario paraît bien huilé, malgré quelques fautes de grammaire. L’email sous-entend que la liste des précautions essentielles indiquée en lien est gratuite. L’auteur affiche une prétendue bienveillance, ne force pas au clic, et signe son email avec un nom probable.

bitkom.gif

L’email reçu par notre source est passé au-delà du filtre antispam. // Source : Capture d’écran Numerama

Nous avons décidé de remonter à l’origine de cet email, qui présente plusieurs caractéristiques du phishing. Mais contrairement à ce que nous pensions, au bout de la chaîne ne se trouve pas une plateforme destinée au vol d’information. À la place, une vraie vente d’un livre de solutions miracles, réalisée par une plateforme spécialisée dans ce genre d’entourloupes.

Une vraie entreprise en premier maillon de la chaîne

Si nous avions reçu cet email en première main, nous aurions identifié suffisamment de détails louches pour effectuer une recherche en ligne avant de cliquer : émetteur inconnu, fautes de grammaire, nom de domaine étrange… c’est donc ce que nous avons fait.

Corpostuff a deux pages Facebook, une officielle et une autre de « vidéos marrantes », probablement rachetée à un service spécialisé afin de renvoyer des visiteurs vers son site. Seulement, le site officiel de l’entreprise ne fonctionne plus.

En revanche, l’email nous donne plus d’information : pour lancer sa campagne, Corpostuff a envoyé un email de son adresse [email protected] à l’adresse [email protected], avec vraisemblablement de nombreux destinataires — dont notre source — en copie cachée. C’est une pratique commune, sauf que généralement l’auteur de l’email se l’envoie à lui-même.

Corpostuff n’est que le dernier maillon de la chaîne

Mais cela tombe bien pour nous : Jérôme Fraiche a un profil LinkedIn, sur lequel il s’identifie comme dirigeant et fondateur de Corpostuff. Il indique que son entreprise, créée en juillet 2019, est « une entreprise qui déniche pour vous des produits innovants qui améliorent votre quotidien. » Corpostuff existe réellement, dispose d’un numéro de SIRET et est domiciliée à Nanterre.

Résultat : puisque le nom de domaine de l’entreprise est clairement identifié, le mail passe outre les filtres des boîtes email, dont ceux de Gmail. En revanche, nous n’avons pas trouvé de trace du signataire de l’email, le prétendu « Damien », en ligne. Il pourrait tout à faire n’être qu’un alias de Jérôme Fraiche. Contacté par Numerama, ce dernier n’a pas donné de réponse.

Mais revenons à notre scénario : vous aussi vous voulez savoir ce que contient la précieuse liste de préparation au Covid-19 ? Et bien, cliquons sur le lien.

La liste coûte 37 euros, et il faut vite se décider

Nous aboutissons sur une page sommaire, appartenant à Corpostuff, qui nous demande d’entrer une adresse email pour « obtenir la liste ». Même si nous savons qu’un pirate peut retracer un ensemble d’informations avec une simple adresse email, nous décidons de la donner — ou plutôt, de donner notre adresse dédiée aux arnaques.

Image d'erreur

La page ne demande que l’adresse email. // Source : Capture d’écran Numerama

Nous voilà sur un nouveau nom de domaine, sante24.info/1tpe-presentation. À peine arrivé, une pop-up s’affiche à l’écran. Dans le même temps, un compteur se déclenche à partir de 16 heures et 28 minutes.

peerimpact.gif

Capture d’écran Numerama // Source : D’entrée, l’entourloupeur déploie la rhétorique complotiste.

C’est raté pour la gratuité espérée, la pop-up nous lance ses arguments de vente : « Ne Partez Pas Sans Votre Liste Secrète » ; « 95% de  réduction et 3 dossiers gratuits ».  Au milieu du pop-up, un gros bouton jaune : « Je commande maintenant. Seulement 37 euros. Accès immédiat. Garantie 35 jours ».

Le sentiment de (relative) urgence créé par le chronomètre est une ficelle très utilisée dans les entourloupes sur le web. Elle vise à précipiter la décision d’achat de la cible. Pressée par le temps, la potentielle victime aura moins de temps pour déceler les ficelles d’une potentielle mésaventure.

Plutôt que d’immédiatement nous lancer dans l’achat de la précieuse liste, nous décidons de lire l’article, qui commence sur un ton complotiste : « Avec le silence complice des médias … les millionnaires se préparent depuis le début à faire face au virus tueur Covid-19 ».

Toutes les ficelles de la parfaite entourloupe

Voici le scénario : l’auteur de l’article, Henri Dunant, aurait préparé une liste, contenue dans une enveloppe « top secret », à laquelle seuls les plus riches ont eu accès. « Des millionnaires d’Internet », qui ont eu « raison d’être paranoïaques ». La liste donnerait des conseils pratiques et une liste d’indispensables à avoir en période de pandémie.

Pour nous convaincre, le prétendu Henri cite quatre survivalistes connus qui l’auraient formé. En revanche, aucune trace du nom ni de la photo de l’auteur. Ou plutôt, il existe bien un Henri Dunant, mais il est décédé en 1910, après avoir fondé la Croix Rouge.

6 maladies graves guéries grâce à une épice bon marché

Évidemment, son expertise coûte cher : 500 € pour obtenir le PDF. Enfin, c’était le prix pour ses clients VIP : pour nous, Henri est prêt à faire une ristourne. Mais sans aller jusqu’à la gratuité : « Si trop de personnes ont accès à cette liste, les produits simples à trouver aujourd’hui seront en rupture de stock très rapidement », prévient-il, « C’est comme les masques : il fallait les acheter AVANT tout le monde. »

Tout en déroulant sa théorie du complot, il nous amène vers l’objet du message : « Je vais proposer pour une durée limitée, à un petit groupe de lecteurs et avec une énorme réduction d’obtenir la liste secrète. » La chance, nous en faisons partie !

La liste contiendrait : des conseils pour gérer une coupure d’électricité durable ; le nom d’une épice bon marché qui soignerait 6 maladies graves ; le nom d’une boîte de conserve à 0,45 centime qui couvrirait 22 % des apports en protéines ; ou encore le geste « SIMPLE » qui nous permettra de vivre chez nous un mois sans sortir. Bref, toutes sortes de promesses « trop belles pour être vraies », encore une ficelle classique du phishing.

Image d'erreur

Quelle générosité, ce Henri. // Source : Capture d’écran Numerama

Pour nous, Henri a réduit le prix total de son offre de 667 euros à seulement 37 euros. « L’urgence de la situation face à ce virus tueur m’oblige de vous faire cette réduction », écrit-il.  Si nous hésitions à débourser cette somme, l’auteur précise que le contenu a une « garantie 365 jours ».«  Si une fois l’épidémie passée, que vous avez pris en votre possession les articles de la liste et vous jugez que ma liste ne vous a pas apporté les protections nécessaires, je vous rembourse à 100 % », avance-t-il. Encore une ficelle récurrente de l’entourloupe sur le web : faire croire à leurs victimes que la décision d’achat ne comporte aucun risque.

La présentation se conclut par une foire aux questions, et une dernière ficelle : répondre frontalement à la suspicion d’arnaque. « Est-ce que c’est une arnaque ? Vous avez raison de douter. Le doute est un signe d’intelligence (…). Mais la liste confidentielle pour se protéger face à la pandémie n’est pas une arnaque. Je me serai pas donner tout ce mal pour vous arnaquer. » (sic)

Nous avons un « signe d’intelligence », mais nous décidons de poursuivre vers la transaction. Nous sommes alors redirigés vers un formulaire hébergé sur 1tpe.net. Il nous demande notre identité, notre adresse, notre email, puis d’accepter les conditions de vente. Une fois ces informations données, il nous renvoie vers une page Citélis, l’outil de paiement de la banque en ligne Fortuneo.

jamendo-spirale.jpg

À nous la liste ! // Source : Capture d’écran Numerama

Si nous décidons de ne pas aller au bout de la transaction, il s’agit bien d’une vente réelle, et nos données bancaires ne seraient vraisemblablement pas volées.

Des usines à désinformation déguisées en « plateformes d’affiliation »

Derrière la magouille se trouve 1tpe.com. Ce site se désigne comme un « site d’affiliation » et revendique la vente de près de 270 000 produits, pour 7 millions d’euros de commission distribués à ses vendeurs. Contacté par Numerama, son dirigeant, Sylvain Milon, n’a pas donné suite.

1tpe.com présente un catalogue de produits, principalement des livres audios ou numériques, comme « La faille infaillible aux paris sportifs » ; « la méthode pour gagner 200 euros par jour » ou « Devenez naturopathe certifié ». Il fait la publicité de ces méthodes miracles en envoyant des bots dans les commentaires de certains articles du Figaro.

Chaque produit s’accompagne d’une fiche descriptive qui contient la page de présentation (comme celle que nous avons détaillée), le prix du produit, et la commission du vendeur qui parviendra à réaliser une vente. Par exemple, la liste Covid-19 coûte 39,04 euros, dont 50 % iront dans la poche du vendeur.

Image d'erreur

1tpe.com est spécialisé dans la vente peu scrupuleuse de méthodes miracles. // Source : Capture d’écran Numerama

Pour devenir vendeur, il suffit de s’inscrire sur la plateforme. Ensuite, 1tpe envoie un code d’affiliation, qui permettra de savoir qui a réalisé la vente. Vraisemblablement, l’auteur de l’email d’origine, Jérôme Fraîche de Corpostuff, est un de ces vendeurs.

Mais ni Corpostuff, ni 1tpe n’ont rédigé la page d’hameçonnage et « la liste secrète ». La page de présentation appartient à « Éditions B2P », une société basée à Newark, aux États-Unis. Dans ses mentions légales, elle renvoie vers le site investisseurmalin.com, qui renvoie lui-même vers clickfunnels.com. Ce site américain met à disposition des outils pour créer des « tunnels de vente », une autre obscure technique marketing tout droit issue du marketing porte à porte d’antan, transposée au web. Le contenu que nous avons disséqué est donc vraisemblablement traduit depuis l’anglais et répandu à l’échelle mondiale.

Même si le schéma de vente de « la liste Covid-19 » répond à tous les codes de l’hameçonnage, elle aboutit au final à une transaction financière légale, vers une société déclarée, et non à un vol d’informations. Mais les maillons de la chaîne multiplient les mensonges pour vendre leur solution miracle bâtie sur de fausses informations. Parfois, le phishing n’a pas besoin des données personnelles de ses cibles pour fonctionner : un temps de crise sanitaire et une mauvaise préparation aux dangers du web suffisent pour engranger de l’argent.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !