Deux articles web récents en français similaires, usurpant l'identité de 2 personnalités ainsi que celle du média « lematin.ch », sont intéressants. L'un concerne Elon Musk, dont le nom est très utilisé dans les arnaques aux cryptomonnaies. Mais le 2e est plus étonnant il s'agit de Roger Federer. Le sujet n'est pas nouveau puisqu'il a été averti par le journal Le Matin, par le Centre National pour la Cybersécurité, ainsi que par la Fédération Romande des Consommateurs. Mais aucun d'eux semble n'avoir fait une analyse un peu plus poussée.
L'analyse des deux scams
Les lieux web d'où viennent ces redirections de scams ne sont pas évidentes à débusquer. Souvent dans des sites légitimes de gaming, téléchargements d'applications même légaux, érotiques etc, mais certainement via des publicités tierces détournées. En effet dans ces sites quand on clique sur une action, qui n'est souvent même pas un lien mais une action JavaScript locale (déroulement d'un onglet, d'une portion de page ou autre) on se retrouve avec une redirection vers un des articles de fraude. Mais lorsque l'on rafraîchît le site en question (et donc que les publicités changent), la redirection frauduleuse n'est parfois plus présente (les publicités ont changées). Certaines analyses de sécurité montrent que la publicité devient un danger comme source d'infections de plus en plus réel, et les blocages de phishing/spam de logiciels de sécurité sont toujours dérisoires, car identifiant le problème souvent que c'est trop tard où qu'il est trop disséminé.
Les noms de domaine internet où on trouve les 2 articles sont différents (« traducingly.info » et « lavacrea.com », mais certainement beaucoup plus nombreux). La myriade de noms de sites temporaires dans la fraude ou le piratage n'est pas une nouveauté. Mais on voit via la construction de ces deux articles de scams, qu'il s'agit bien du même groupe. La séparation de la fraude en 2 ou 3 étapes dans les analyses de sécurité n'est pas nouvelle non plus (la redirection de pub, l'article de scam, puis la nouvelle redirection après le click avec le site final de fraude, parfois même avec des « redirect chains »). Tout ceci rendant les analyses plus complexes, et toute démarche juridique de blocage quasi impossible sur le long terme.
Le contenu des deux articles de scams semblent être similaires. On voit l'en-tête du lematin.ch, bien que sur celui de Federer le nom « lematin.ch » ait disparu (sans doute après les articles sur l'usurpation du journal concernant Fédérer ?), mais ça n'a pas empêché le groupe de garder la même usurpation concernent Elon Musk.
Dans les 2 articles, plusieurs photos, vidéo, avec graphiques des soi-disant gains. Dans celui d'Elon Musk, le personnage est même utilisé comme sauveur des ménages modestes. Dans celui de Roger Federer on voit même dans le titre une traduction approximative sans doute d'un dictionnaire automatique.
Le lien final de site de fraude, n'est plus fonctionnel sur l'arnaque de Elon Musk (lien de redirection sur « roto-offers.com », domaine plus existant), mais fonctionne toujours sur celui de Federer (domaine « dianches-inchor.com »). Pour le 2e, l'analyse via Urlscan donne une erreur, alors que manuellement dans un navigateur le lien fonctionne très bien. Donc les fraudeurs ont des mécanismes poussés de détections des sites de sécurité, pour ne pas afficher ces contenus dans ceux-ci, mais que lorsqu'il s'agit de «pigeons» bien humains … ?
analyse urlscan lien scam
https://urlscan.io/result/78b8955e-452d-41db-9732-aa06cc748ec8/
Voici en impression les 2 articles pour comparaison :
Voici aussi l'impression du site final de la fraude :
Le site du scam Elon Musk n'est même pas indexé par Google :
https://www.google.ch/search?q=site:traducingly.info
Le site du scam de Roger Federer lui est indexé. On peut y voir d'ailleurs d'autres articles de scams similaires :
https://www.google.ch/search?q=site:lavacrea.com
Nombreux scams similaires
Pour le scam de Roger Federer, on peut voir toute une série d'articles sur le même nom de domaine analysés par Urlscan par différentes personnes. On peut voir que toute une série de personnes politiques ou médiatiques sont utilisés pour le même genre de textes et ceci dans les différentes langues, avec d'autres détournement de médias connus des pays en questions. La mécanique est donc une mécanique systématique et bien huilée.
Philippe Geubels, comédien flamant (faux média hollandais)
https://urlscan.io/result/8c008f89-10ce-42c7-a6e0-3be32f165493/
Stefan Persson. homme d'affaire suédois (faux média suédois)
https://urlscan.io/result/55cb6f95-aa95-475b-b7fc-e6ed87dec55f/
on Retrouve Elon Musk, patron de Teslam mais avec un autre média (faux média suédois)
https://urlscan.io/result/808c8319-56d7-4e4a-bf63-10b643f918d3/
Lukas Dhont, réalisateur belge vivant dans la partie néerlandophone, (faux média hollandais)
https://urlscan.io/result/45f9b173-fd14-4ab2-a7cf-981468066965/
autre article dérivé covid (faux Bild, en allemand)
https://urlscan.io/result/3b67d6b2-7f1c-4727-8e9e-6ceff9151977/
Justin Trudeau, 1er ministre Canada (faux Toronto Star, en anglais)
https://urlscan.io/result/6901aa97-86cd-48b7-bf24-63e6e1a47f34/
Certains ont les noms des médias usurpés présents, et d'autres pas.
L'usurpation du « lematin.ch »
Pour l'article de scam d'Elon Musk, le titre « lematin.ch » est une image et non pas un texte, sans doute volontairement. Si on récupère l'en-tête et qu'on l'analyse avec des moteurs de recherches mais via images (Google image, TinEye, Bing) on ne trouve strictement rien. Et c'est sans doute volontaire que les images contenant des noms avec noms de marques usurpées, soient bloqués pour les indexations des moteurs. De cette manière il n'est pas facile de retrouver tous les endroits où il y a eu des usurpations d'identités similaires. Et on le voit avec la différence entre l'article d'Elon Musk et celui de Roger Federer, réussir éventuellement à faire bloquer une usurpation pour un article, ne bloque évidemment pas les autres.
Dans cette image d'en-tête, on trouve encore des tags de meta-données, dont certains intéressants. Notamment le logiciel utilisé pour la création et la date de création avec la zone géographique d'heure (Afrique de l'est et heure de Moscou). Donc cela pourrait indiquer que l'usurpation d'identité du « lematin.ch » date au moins de 2020 … ?
CreateDate : 2020:07:28 11:45:31+03:00
ModifyDate : 2020:08:19 14:40:37
Software : Adobe Photoshop CC 2019 (Windows)
Conclusion
Dans un monde ou l'arnaque devient plus populaire que la publicité, presque plus personne ne prend la peine d'analyser plus à fond ces sujets (à part quelques chercheurs en sécurité). Et pourtant les victimes et les sommes perdues sont sans doute bien réelles.
La fraude d'Elon Musk et de Roger Federer sont de petites anecdotes spécifiques ? Pas autant que cela. On voit quand on creuse le sujet qu'il s'agit d'un système vaste et bien huilé. Les groupes créant ces fraudes (parfois étatiques … ?, voir les articles de médias sur les détournements par la Corée du Nord via des vols de cryptomonnaies), connaissent très bien comment détourner tout le système mondial d'une manière globale : détournement de la publicité pour injecter du JavaScript de redirection (?), détournement des notoriétés des personnes médiatiques et politiques, détournement des cultures linguistiques locales et de leurs médias de prédilection les plus populaires via leurs marques et « codes couleurs », détournement du marché des cryptomonnaies pour en faire un système fructueux de gains financiers qu'on peut efficacement blanchir par de nombreux moyens.
Pour stopper ces fraudes, il faudrait revoir tous les mécanismes impliqués au cœur même de nos économies (sécurité dans la publicité en ligne) et des comportements humains socio-médiatiques (non contrôle des légitimités des identités des personnes populaires). Une bonne partie du public ne fait même plus confiance à la sphère médiatique légitime (i.e. mouvements QAnon, complotismes etc). Ce genre de fraude détournant les médias populaires est sans doute aussi pour beaucoup dans le mouvement global de décrédibilisations de la parole médiatique classique. Donc en ne faisant pas grand-chose, parce que considérant, à tort, l'aspect anecdotique de « scams », les médias classiques et leurs gouvernements contribuent à laisser se détériorer un peu plus l'écosystème à chaque fois. Et toute la confiance en l'économie numérique qui s'érode avec elle aussi un peu plus. La banalisation de la fraude, des usurpations d'identités, de la multiplication de ces « anecdotes », est ce qui peut détruire toute confiance économique et sociale le plus efficacement sur le long terme. Et nos porte-paroles médiatiques locaux, comme Roger Federer, deviennent alors à leur dépend des portes paroles de la fraude … ?