Bitdefender détecte les nouvelles tendances de spam en lien avec les dons caritatifs pour l’Ukraine

Les chercheurs de Bitdefender surveillent de près les campagnes de spam qui ces dernières semaines tirent parti de la guerre en Ukraine. Depuis le début de l’invasion du pays par les forces russes, nos filtres antispam ont détecté des dizaines de milliers de faux e-mails d’appels aux dons et de campagnes de phishing malveillantes ciblant les cybercitoyens du monde entier dans le but de leur dérober de l’argent et de compromettre leurs appareils.

La dernière analyse de Bitdefender portant sur les tendances de spam en lien avec l’Ukraine montre que les cyberescrocs continuent d’exploiter la crise sans mollir, affinant leurs stratagèmes afin de maximiser l’impact qu’ils auront sur leurs cibles.

Campagne no 1 : des plagiaires ne manquant pas de délicatesse

C’est officiel : les escrocs lisent l’actualité ! La dernière campagne d’arnaque aux dons pour l’Ukraine aurait pu passer pour légitime si les fraudeurs avaient été plus attentifs aux détails.

Le 18 mars, le laboratoire antispam de Bitdefender a détecté une nouvelle escroquerie aux dons caritatifs basée sur des e-mails demandant aux destinataires de contribuer à limiter la crise humanitaire en envoyant des dons vers un portefeuille Bitcoin.

86 % des messages frauduleux ont été envoyés depuis des adresses IP basées en Lituanie vers des boîtes de messagerie se trouvant en Corée du Sud (40 %), en République tchèque (16 %), en Allemagne (7 %), aux États-Unis et au Royaume-Uni (5 % dans les deux cas), en Inde (4 %) ainsi qu’en Roumanie et en Italie (2 % dans les deux cas).

Cette récente tentative d’escroquerie visant des internautes au grand cœur se distingue notamment par sa forme. Les escrocs introduisent en effet leur demande d’aide par deux paragraphes parfaitement rédigés et totalement exempts de fautes de grammaire, dans lesquels ils expliquent l’invasion de l’Ukraine par la Russie. Cette rigueur a attiré notre attention, nous avons donc un peu creusé. Il semblerait qu’en vue de donner une apparence légitime à leurs basses œuvres, les escrocs aient commencé à plagier le travail des journalistes. Les passages ci-dessous ont ainsi été copiés puis collés depuis un article publié le 25 février par un journaliste du site Fortune.com.

Depuis le début de l’invasion de l’Ukraine par la Russie le 24 février, les troupes russes sont entrées à Kiev, des milliers de résidents ukrainiens ont fui leurs foyers et des responsables ukrainiens ont demandé aux citoyens de rester à Kiev pour préparer des cocktails Molotov en vue de défendre leur capitale. De leur côté, de nombreux pays du monde ont commencé à imposer des sanctions économiques à la Russie.

À mesure que la crise s’aggrave et que les gens du monde entier assistent en temps réel à l’intensification de la guerre, de nombreuses personnes se demandent comment aider. Dans ce contexte, faire un don peut sembler une goutte d’eau dans l’océan, mais c’est un bon début (et c’est bien plus efficace que de passer son temps à consulter Twitter). Jeudi, lorsque la Russie a lancé l’invasion de l’Ukraine, 317 personnes ont levé 400 000 dollars de dons en cryptomonnaies afin d’aider les forces ukrainiennes.

Là où les choses se gâtent :

La première moitié du message frauduleux n’incite pas nécessairement à la méfiance, mais les deux dernières phrases de l’e-mail sont de nature à nous mettre la puce à l’oreille. Les escrocs, qui n’ont pas l’anglais pour langue maternelle, poursuivent en présentant les crypto-portefeuilles comme leur principale méthode pour réceptionner les dons. Outre la piètre formulation de leur demande de monnaies numériques, les escrocs ajoutent un détail intéressant : ils vous promettent un dédommagement « dès que la crise sera terminée ».

Campagne n^o 2 : changement de tactique

La couverture médiatique des escroqueries aux dons caritatifs pour l’Ukraine a pris de l’ampleur depuis le début du mois de mars et la sensibilisation accrue des internautes en la matière a vraisemblablement influé sur les stratégies des spammeurs.

Les fraudeurs à l’origine de l’arnaque présentée ci-après prennent l’apparence du Courage Fund, une fondation caritative basée à Singapour établie en 2003 lorsque le pays a été frappé par une épidémie de SARS. Contrairement à d’autres campagnes précédemment signalées, dans lesquelles les escrocs juxtaposaient des images du drapeau ukrainien et des adresses de crypto-portefeuilles frauduleux, les spammeurs à l’origine de cette campagne empruntent une autre voie, demandant aux destinataires de contacter une adresse GMAIL.

La moitié des e-mails frauduleux proviennent d’adresses IP basées en Afrique du Sud ; ils visent principalement des utilisateurs se trouvant aux États-Unis (33 %), au Royaume-Uni (33 %) et en Allemagne (24 %).

Une fois de plus, les escrocs utilisent des données officielles concernant les victimes et réfugiés ukrainiens et citent deux ou trois organisations ayant publiquement annoncé des aides humanitaires et des dons en faveur des victimes de la guerre.

On ne sait pas bien comment les cybervoleurs comptent dérober l’argent des utilisateurs qui tomberont dans le piège. Ils pourraient demander aux destinataires de transférer de l’argent, d’envoyer des cartes-cadeaux ou d’envoyer des cryptomonnaies. Quant à nous, nous recommandons aux utilisateurs de ne jamais interagir avec ce type de correspondants, même lorsqu’ils savent que les e-mails sont frauduleux.

Campagne n^o 3 : un escroc développe une version clonée du site Internet de l’organisation United Help Ukraine

Une nouvelle approche visant à arnaquer les bons samaritains a été repérée par les chercheurs de Bitdefender le 22 mars. La fraude mise en œuvre par les escrocs à l’origine de cette campagne surpasse de très loin toutes les précédentes tentatives un peu grossières d’usurpation d’identité ayant visé l’organisation United Help Ukraine. Ici, les spammeurs utilisent des adresses IP basées aux États-Unis pour diffuser cette campagne en Europe et en Amérique du Nord.

Le bouton DONNER MAINTENANT dirige les destinataires vers une version clonée du site Internet officiel de l’organisation United Help Ukraine.

Le faux site Internet, qui propose aux utilisateurs une méthode de paiement unique sous la forme d’une adresse de crypto-portefeuille, ressemble énormément à la page de don officielle de l’organisation caritative à but non lucratif.

Campagne n^o 4 : un faux financement participatif pour l’Ukraine

Des escrocs ont également prétendu lever des dons pour l’Ukraine par le biais d’une fausse page de financement participatif. Les e-mails associés à cette campagne ont été envoyés depuis des adresses IP basées aux États-Unis et au Japon. Même s’ils comportent quatre messages distincts rédigés en anglais, en allemand, en français et en espagnol, 40 % des e-mails fallacieux ont atterri dans des boîtes de messagerie appartenant à des citoyens biélorusses. Parmi les autres utilisateurs ciblés, 19 % se trouvaient au Japon, 15 % en Corée du Sud, 5 % aux États-Unis, 4 % en Autriche, 3 % en Allemagne et 2 % au Royaume-Uni.

Le site Internet de financement participatif est d’ores et déjà bloqué par les filtres anti-phishing et anti-fraude de Bitdefender. Bien conçu, il est susceptible de tromper facilement des utilisateurs peu méfiants.

Le site Internet de phishing dispose d’une section dédiée aux dons sur laquelle figurent deux adresses de crypto-portefeuilles (Bitcoin et Ethereum). Les utilisateurs peuvent également remplir un formulaire comportant leur nom, leur adresse e-mail et le montant de leur don, donnant ainsi aux escrocs de nouveaux leviers pour de futures attaques.

Nous encourageons toute personne qui souhaiterait aider des gens dans le besoin à examiner attentivement toutes les communications associées à des organisations caritatives avant de faire un don. Pour vous informer sur les arnaques et découvrir comment les repérer et vous en prémunir, n’hésitez pas à consulter notre guide dédié.

Restez prudents !