« Depuis deux ans, nous suivons et relatons des arnaques CryptoRom, une sous-catégorie des escroqueries de type pig butchering consistant à contacter les victimes potentielles sur des sites de rencontre pour les inciter à investir dans des applications frauduleuses de trading de cryptomonnaies. Or CryptoRom n’est en fait que la partie visible de l’iceberg. Depuis le début de la pandémie, ce modèle de cyberfraude s’est développé massivement. Ces escrocs ciblent désormais leurs victimes sur tous les principaux réseaux sociaux voire par des messages directs. Ils ne se cantonnent pas à l’exploitation des cryptomonnaies mais s’attaquent aussi à l’or et à d’autres formes de monnaie ou de trading. Ils ratissent littéralement tous azimuts », commente Sean Gallagher, chercheur principal en menaces chez Sophos.

Dans le cas de la première escroquerie qu’il a étudiée, Sean Gallagher a passé trois mois à échanger des messages avec l’un des arnaqueurs qui l’avaient directement abordé sur Twitter. Celui-ci se faisait passer pour une Hongkongaise de 40 ans qui a rapidement tenté d’amener la conversation sur WhatsApp. De là, cette personne a essayé de convaincre le chercheur d’investir dans une fausse plateforme de trading d’or, vantant ses liens avec son « oncle Martin », prétendument ancien analyste chez Goldman Sachs. Elle l’a ensuite aiguillé vers un site imitant celui de la banque japonaise Mebuki Financial, où devaient s’exercer des services de trading de devises et de matières premières.

Si la technique d’ingénierie sociale employée dans cette escroquerie est moins élaborée que dans d’autres cas étudiés par Sophos, elle révèle une hausse marquée de la technicité de ces groupes. Les escrocs font appel à la fois à un référencement (SEO) très efficace, à des pages web soignées pour l’« inscription » des nouveaux clients sur leur faux site Mebuki et une version piratée d’une application légitime destinée aux traders (MetaTrader 4), à laquelle ils ont ajouté du code malveillant afin de dérober les fonds de leurs victimes. Ils mettent aussi régulièrement à jour l’infrastructure de leur opération de façon à éviter sa fermeture par les autorités.

« Les deux escroqueries sont toujours actives et seront difficiles à neutraliser. Alors que nous avons marqué comme malveillants les domaines et adresses IP utilisés par les escrocs hongkongais, ceux-ci ont déjà déménagé vers de nouveaux domaines. Ils ont dès à présent mis en place une nouvelle infrastructure de téléchargement pour leur version pirate de l’application MetaTrader, de sorte qu’en ce moment nous jouons essentiellement au chat et à la souris. C’est malheureusement de plus en plus le cas à mesure que ces opérations étendent leur périmètre, ciblant un nombre croissant de régions du monde et différentes plateformes. La transition des cryptomonnaies vers l’or reflète également la facilité avec laquelle ces groupes peuvent trouver un nouveau créneau à exploiter. C’est pourquoi la meilleure défense est la sensibilisation du public à ces types d’escroqueries. Les utilisateurs doivent se méfier de tout message direct reçu par SMS, via une application de rencontre ou sur un réseau social et provenant d’un inconnu qui entame une conversation puis propose de passer sur WhatsApp ou Telegram, en particulier s’il prétend faire votre fortune grâce au trading de cryptomonnaies ou autres », ajoute Sean Gallagher.