Outils

Les arnaques immobilières : démonstration d’une méthode de social engineering

Si vous avez déjà essayé de chercher un appartement sur Paris ou en région parisienne en dehors du circuit habituel des agences, vous être sûrement déjà tombé sur des annonces vous proposant des quatre pièces, bien situé, bien aménagé, pour un loyer dérisoire. 

Déroulé de l’opération : l’escroc place son annonce sur divers sites de petites annonces immobilières, qui ne sont pas spécialement à cheval sur la véracité des contenus, la victime entre en contact avec l’escroc, ce dernier lui déroule une histoire longue comme un jour sans pain, souvent à base de travail à l’étranger, pour finalement lui demander d’envoyer un mandat via Western Union avant la visite des lieux. C’est une escroquerie à but purement financier. Généralement, les escrocs utilisent des adresses Hotmail et disent vivre au Royaume-Uni. 

Un petit tour dans le code source de l’email reçu par l’escroc suffit généralement pour découvrir le pot aux roses, code source qui vous fournit certaines informations comme l’IP d’envoi et vous permet de découvrir que contrairement aux propos tenus dans le message, l’escroc n’est pas du tout au Royaume-Uni mais dans un pays d’Afrique et que l’email a été envoyé d’un bureau de poste ou d’un cyber-café. 

D’autres indices peuvent mettre la puce à l’oreille : les trop nombreuses fautes de Français, la longueur du message et la foule de détails fournis qui n’ont aucun intérêt, les photos qui sont souvent issues d’autres sites, avec une absence notable de méta-données et l’adresse qui n’existe pas ou dont on sait qu’à cet endroit précis, il n’y a absolument aucune habitation. 

Parfois on peut aussi tomber sur un apprenti escroc qui veut tellement mettre en confiance qu’il ajoute artificiellement une signature du type « envoyé avec mon iPhone ».

Les arnaques immobilières avaient un but purement financier mais il semblerait qu’elles se soient enrichies d’une seconde visée : la collecte d’informations personnelles. Certains n’hésitent pas à demander si la victime a un compte sur Facebook, afin de créer un lien de confiance. Mais cela sert surtout à envoyer des phishing aux personnes afin de collecter les identifiants. Dans la mesure où une part importante des internautes utilisent les mêmes login et mots de passe sur les différents sites qu’ils visitent, cela permet d’avoir accès à l’ensemble des informations personnelles et aussi bancaires d’une personne. 

Dans cette escroquerie, il est clairement établi que la méthode relève de la social engineering : l’escroc mise sur la situation de faiblesse de la personne pour lui soutirer des informations essentielles. Il essaie de créer une situation de confiance en donnant des informations qui semblent personnelles, en lui proposant de devenir ami sur Facebook, de créer un sentiment d’empathie, pour au final lui soustraire un maximum d’informations.

Ce type de piège est un bon exemple de ce qu’est l’ingénierie sociale ou social engineering : ​l’exploitation d’une faille humaine pour obtenir des informations.

La difficulté principale, une fois que l’on a découvert l’arnaque, est de savoir quoi faire. En effet, les adresses email utilisées peuvent très vite disparaître et dans la mesure où les personnes pratiquant ce type d’escroquerie sont très souvent localisées en Afrique, il est difficile pour les services de police d’intervenir car cela suppose une coopération policière entre Etats qui n’existe pas toujours. A vous de trouver la solution qui vous paraît alors la plus adaptée pour stopper l’individu malhonnête.