Les arnaques aux dons sont exploitées par de nombreux pirates depuis le séisme qui a frappé la Turquie le 6 février 2023. Ces derniers ont fait de Twitter leur terrain de jeu favori.
Près de 10 jours après le dramatique séisme survenu en Turquie et en Syrie et qui a fait 40 000 victimes, selon un dernier bilan provisoire, un autre triste constat est fait. Celui-ci concerne cette fois les activités en ligne autour des mouvements et initiatives solidaires qui s'organisent pour apporter du soutien aux secours, aidants et populations privées de domicile. Des escroqueries liées au tremblement de terre ont déjà été identifiées, mais des arnaques aux dons ont aussi lieu sur Twitter, où les âmes généreuses sont redirigées vers PayPal pour récolter des fonds.
Twitter comme plateforme de « recrutement » des victimes…
L'information a été révélée par nos confrères de BleepingComputer il y a quelques jours, et elle a depuis été confirmée par certains acteurs de la communauté cyber. Les pirates et escrocs du Web se servent de la crise humanitaire qui frappe la Turquie et la Syrie pour détourner l'argent de donateurs trop peu méfiants.
Sur Twitter, ils sont nombreux à utiliser des plateformes légitimes comme PayPal pour mettre sur pied des pages suffisamment convaincantes pour attirer de potentielles victimes, les appâter avec l'aspect catastrophique de la situation, et ainsi récupérer des dons qui auraient dû profiter aux œuvres caritatives. Sauf qu'ici, tout était authentique ou presque.
« Les escroqueries aux dons d'aide humanitaire s'appuient sur la sensibilité des gens et les incitent à donner leur argent sans qu’ils aient pu vérifier la véracité du site. Les images et les histoires très émouvantes incitent les gens à oublier les moyens habituels qu'ils utilisent pour repérer un site frauduleux », déplore Benoit Grunemwald, expert cyber chez ESET France.
… et PayPal comme outil peu sécurisé de détournement des dons
Les pages de collecte de dons, que l'on peut trouver notamment sur PayPal, déjà faciles d'accès, sont en général créées rapidement, et elles sont aussi plus aisément imitées ou, dans le cas présent, détournées. L'un des comptes Twitter qui a servi à des escroqueries, nommé « Turkey Earthquake Relief », essayait même de se donner une certaine crédibilité en allant jusqu'à partager les publications de médias fiables et responsables gouvernementaux. Il hébergeait, directement dans sa description, le lien vers une page PayPal authentique. La page de collecte est restée un moment en ligne. Le faux compte Twitter, lui, a été suspendu.
Ce qui était donc d'autant plus convaincant, c'est que les individus malveillants ont ici utilisé un domaine de paiement fiable et reconnu. PayPal laisse encore passer, à son grand regret (un porte-parole de l'entreprise s'est excusé au nom de l'entreprise), certaines escroqueries parfois difficiles à détecter. D'autant que toute personne peut très bien mettre en place une collecte de fonds sur la plateforme. Alors, comment faire confiance ?
Difficile de démêler le vrai du faux. Certains internautes attentifs ont pu faire tomber le masque des pirates en remarquant plusieurs liens PayPal rattachés à des utilisateurs de Twitter et prétendant être situés en Turquie. Or, la plateforme de paiement n'est plus active dans ce pays depuis plusieurs années. Ce n'est hélas pas toujours aussi « facile. » Méfiance donc si vous passez par PayPal pour envoyer des dons. Mieux vaut toujours s'orienter vers des organisations caritatives connues du grand public, en se dirigeant vers elles à l'aide d'une petite requête sur votre moteur de recherche.
Sources : Clubic, BleepingComputeur, ESET