Concerts et festivals de l’été : attention aux arnaques 2.0, ça pique !

ZATAZ débusque une bande organisée qui envahit les réseaux sociaux en affichant des ventes de billets de concerts ou de football. Mission des pirates : faire main basse sur vos données personnelles et financières.

Tout débute assez simplement, vous visitez votre espace communautaire préféré (Facebook, Instagram, …) et vous y apercevez des informations sur un spectacle, un concert, un festival qui vous attirent. Dans les messages des participants, des avis, des conseils et un post qui annonce « Bonjour j’ai deux places à vendre, contactez moi en mp👍« . La prise de contact est rapide, chaleureuse.

ZATAZ – « Il vous reste combien de place et combien coûtent-elles ? »
L’escroc – « Je peux transférer les billets sur votre e-mail maintenant« 

La discussion tourne rapidement sur : combien et comment payer ?

L’escroc – « Combien êtes-vous prêt à payer pour eux ? »

Je propose quelques dizaines d’euros, histoire de voir jusqu’où il est capable d’aller.

L’escroc – « Damien ! C’est bon mais pouvez-vous m’offrir 80 s’il vous plaît […] Avez-vous PayPal pour le paiement ? »

Il me fournira son adresse mail avec une recommandation simple, mais efficace. Elle permet de ne pas éveiller les soupçons de la plateforme Paypal, du moins rapidement, et d’empêcher un remboursement en cas de litige. « Tu dois sélectionner : envoyer de l’argent à un proche« .

Carte sur table

Rapidement, je découvre que mon interlocuteur ne parle pas français. Ses phrases sont identiques, répétitives. Je lui parle en Espagnol, en Portugais, un Russe et en Anglais. Cette dernière va matcher avec le pirate.

Je lui dévoile certaines informations sur son identité, ses numéros de téléphone [+25* […] 504/521], ses adresses mails. Une jeune femme, basée en Tanzanie. Elle ne travaille pas seule, loin de là. Mais elle travaille en famille. « J’ai beaucoup de raisons pour lesquelles je fais de l’arnaque. » m’explique-t-elle.

Âgée de 22 ans, elle est étudiante, un moyen de subvenir « à mon existence« . Elle ne piégerait pas beaucoup d’internautes par mois, mais ne me donnera pas le nombre. Une cinquantaine d’euros par victime. Le « client » se fait piéger, il reçoit de faux billets. Concert, spectacle, parc d’attraction, football, … toutes les activités y passent.

Avec sa « famille » elles repèrent les messages Facebook qui citent des activités concernant l’achat de billets d’entrée. La technique n’est cependant par efficace à 100%. La barrière de la langue fait que Margaret diffuse beaucoup de petites annonces sur des posts de festivités gratuites, comme le 14 juillet.

Lors d’une question qui pourrait presque sembler banale « Pourquoi faîtes vous cela ?« , la jeune femme va répondre « pour de nombreuses raisons« . L’une d’elle semble être la menace familiale. Elle ne confirmera pas, totalement. Une raison qu’elle ne souhaitera plus évoquer. Elle va me répondre plusieurs fois « Amen » leurre ou personne vraiment croyante ? En Tanzanie, 45% des habitants sont chrétiens, 35% musulmans, majoritairement à Zanzibar. Les 20% restant sont animistes : hindouiste et sikh.

Dernier point, cette jeune femme semble aussi travailler comme femme de chambre dans des hôtels à touristes. Je ne sais pas si la rancœur à l’encontre de « ces gens impolis aux très rares tips » [pourboire] ont transformé cette personne, ni si ses propos sont vrais.

Comment se protéger ?

Margaret n’est pas une pirate chevronnée. Escroquer pour survivre, comme des milliers d’autres pirates. Derrière l’arnaque, cependant, une machine de guerre loin d’être négligeable qui semble enrichir le « chef de famille« . D’ailleurs s’agit-il du père, du mari, du petit ami, d’un mafieux local, d’un vendeur de solution de piratage ? Le mystère reste complet.

D’abord, infiltrer des comptes Facebook [Ils sont achetés par des fournisseur qui les proposent 10 $ pièce]. Il suffit de mettre la double authentification pour ne plus risque de voir passer un pirate possédant votre identifiants de connexion  [Le service veille ZATAZ peut retrouver ce type de potentiel fuite et vous en protéger] ;

Ou encore, créer des comptes Facebook [Facebook a détruit plus de 15 milliards de faux compte depuis 2019] ;

Posséder une certain nombre de numéros de téléphones et les téléphones qui vont avec ;

Ensuite, tenir un service après-vente ; posséder des comptes Paypal [dans le cas de Margaret, un compte centralisateur]. Dans ce dernier cas, l’arnaque est bien montée. La première adresse électronique proposée par Margaret permet de découvrir si le « pigeon » a tenté le versement de la somme demandée. Le paiement provoque une erreur en raison de cette adresse étonnée. Margaret, en confiance, fournira la bonne adresse de courriel.

Bref, pour se protéger, demander d’abord une preuve de possession de billets [un scan par exemple, en noir et blanc, barré] ; confirmer l’adresse et/ou le téléphone portable de votre interlocuteur [se parler, c’est quand même mieux] ; préférez une récupération main-à-la-main et dans un lieu public [même si cela ne changera pas la donne face à de faux billets reproduits physiquement] ; passez par des sites connus et reconnus ; renseignez vous à savoir si les billets sont nominatifs, et donc avec une transmission à un tiers autorisée.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.