Fausses offres d'emploi sur WhatsApp : cette escroquerie serait liée à la Chine et à des réseaux de cyber-esclavage
"Vous pensez que je vous arnaque de 30 $ [28 €] pour le temps que j'ai passé à vous former pour ce travail ?" a demandé "Stella", une arnaqueuse WhatsApp avec laquelle Euronews Next a pris contact.
Se faisant passer pour un nouvel "employé", Euronews Next a "travaillé" avec Stella, qui serait une recruteuse basée à Londres pour une plateforme de commerce appelée "Digital Logic", dans le cadre d'une enquête sur une arnaque mondiale de recrutement.
Stella a essayé de nous convaincre de convertir des dollars américains en Tether (USDT), une crypto-monnaie liée à la valeur du dollar, et de transférer le montant à Digital Logic, une plateforme sur laquelle nous étions censés gagner de l'argent.
Au cours de notre première semaine d'"emploi", nous avons pris une commission de 0,6 % et gagné 800 USDT, soit 752 euros, selon la plateforme, mais nous devions "réinitialiser" notre compte et ajouter 30 USDT, soit 28,2 euros, si nous voulions continuer à travailler.
Lorsqu'Euronews Next a demandé à plusieurs reprises à Stella pourquoi cela était nécessaire et s'il s'agissait d'une arnaque, elle s'est mise sur la défensive et a souligné le fait qu'elle ne nous demandait qu'une petite somme.
Cependant, Euronews Next avait déjà parlé à des experts en fraude qui connaissent l'escroquerie et expliqué que les montants requis pour "réinitialiser" étaient doublés chaque semaine.
Alors que les experts nous avaient déjà confirmé que Digital Logic faisait partie d'un réseau d'escroqueries plus large, selon un document sur le site web de la société, l'entreprise a été constitué, au Texas aux Etats-Unis, le 14 juillet 2008.
Euronews Next a contacté le porte-parole du secrétaire d'Etat texan qui n'est pas d'accord : il existe bien une société du même nom dans l'Etat, mais elle a été créée bien avant 2008 et ce document a été falsifié.
Digital Logic est loin d'être la seule entreprise à avoir une fausse présence en ligne, selon un nouveau rapport de la société de cybersécurité CloudSEK. Ses auteurs ont découvert que plus de 1 000 entreprises sont ciblées par cette escroquerie.
"Nous effectuions une surveillance de marque par IA pour un grand client, lorsque nous avons détecté un grand nombre de faux domaines pour lui", confie Koushik Sivaraman, vice-président de CloudSEK.
"Ce que nous avons découvert, c'est à quel point les escrocs sont bien organisés, répandus et fluides en termes de sécurité opérationnelle", affirme-t-il, à Euronews Next.
Lui et son équipe ont baptisé l'escroquerie WebWyrm, en référence à un dragon mythologique, et pensent qu'elle a déjà soutiré plus de 100 millions d'euros à plus de 100 000 victimes, selon leurs prévisions.
D'où les escrocs tirent-ils nos numéros ?
CloudSEK cherche toujours à savoir comment les escrocs se sont emparés de centaines de milliers de numéros de téléphone, mais il pense que certains d'entre eux proviennent de fuites de sites d'offres d'emploi, car certains messages font référence à des candidatures que les candidats ont déposées sur ces sites.
Les sociétés de recrutement utilisées comme alias par les escrocs affirment toutefois qu'elles n'ont pas été piratées.
Selon les experts de l'organisation à but non lucratif, JobsAware, à qui Euronews Next a parlé pour la première partie de cette enquête, les numéros de téléphone ciblés par cette escroquerie ne correspondent pas nécessairement à des clients de grandes entreprises comme Adecco ou Hays and Reed, dont l'identité est usurpée par les escrocs.
"Votre numéro de téléphone ne fait pas partie d'une violation de données chez Totaljobs et vos données continuent d'être en sécurité chez nous", indique un courriel envoyé début octobre par le recruteur à ses clients, auquel Euronews Next a eu accès.
D'autres ont soupçonné une violation de WhatsApp, qui a été accusé d'avoir divulgué 500 millions de numéros en mai et dont la majeure partie a été la cible de cette escroquerie.
Un porte-parole de WhatsApp appartenant à Meta a toutefois déclaré à Euronews Next que l'entreprise n'avait pas été la cible d'un piratage et que ces allégations étaient sans fondement.
Des rapports sur des messages frauduleux reçus sur iMessage ont également commencé à émerger, compliquant encore les recherches.
Tout le monde dit "nous avons déjà vu ce genre d'escroquerie", mais je pense que les gens ne sont pas conscients de l'ampleur de cette escroquerie", affirme Koushik Sivarman de CloudSEK.
L'entreprise est en contact avec les autorités policières internationales, qui "n'étaient pas surprises au départ", mais qui ont changé d'avis lorsqu'elles ont pris conscience de l'ampleur de la fraude.
Euronews Next a contacté Europol, Interpol et le FBI dans le cadre de cette enquête. Alors que la première organisation a déclaré ne pas pouvoir confirmer ou infirmer qu'elle travaillait sur WebWyrm, Interpol a répondu à nos questions en disant qu'elle n'avait pas d'informations à "partager à ce stade".
Le FBI n'a pas fourni beaucoup plus d'éclaircissements sur l'origine des données des victimes, se contentant d'indiquer que sa division Internet Crime Complaint Center avait reçu "plus de 500 plaintes pour escroquerie à l'emploi faisant état de l'utilisation de WhatsApp, déposées par des plaignants originaires de plus de 60 pays".
La Chine est-elle derrière WebWyrm ?
CloudSEK a passé six mois à infiltrer le réseau WebWyrm et, bien que son travail se poursuive, il affirme avoir déjà trouvé plus de 6 000 sites web liés à l'escroquerie.
"Lorsque des abus sont signalés, les escrocs passent rapidement à une nouvelle infrastructure, garantissant ainsi un anonymat durable et une continuité opérationnelle", peut-on lire dans le nouveau rapport de l'entreprise.
Selon les chercheurs, les auteurs échappent à la détection en changeant régulièrement les adresses IP de leurs plateformes.
CloudSEK met en évidence des schémas similaires parmi ces sites web, notamment le fait d'être mobile-first, d'être nommé d'après un ensemble de mots-clés (comme c'est le cas du nom de Digital Logic avec qui Euronews Next est entré en contact), et d'exiger une page de connexion pour obtenir un accès complet à la plateforme.
Anuj Sharma, chercheur en sécurité chez CloudSEK et auteur du rapport WebWyrm, a constaté que les sites web correspondent à 119 adresses IP regroupées sur 12 numéros de systèmes autonomes (ASN), un réseau permettant d'héberger des IP.
"Les responsables sont, bien sûr, un seul et même groupe", affirme Anuj Sharma à Euronews Next. Deux des 12 ASN qu'il a identifiés sont basés en Chine et "ont déjà été impliqués dans des fraudes telles que des escroqueries à la crypto-monnaie", selon le chercheur.
Tous les sites web contiennent "du langage ou des références chinoises dans le code source" et Anuj Sharma a également identifié que 800 sites web ont été construits sur ThinkAdmin, un framework backend chinois.
CloudSEK ne peut pas attribuer WebWyrm à un groupe en particulier, mais a indiqué à Euronews Next qu'il pensait que l'escroquerie pourrait être orchestrée par des groupes d'origine chinoise.
Pendant que les enquêtes se poursuivent et que les auteurs sont examinés de près, des copies d'escroqueries apparaissent et les initiateurs changent de techniques, avec un nombre croissant de sites web hébergés par la société informatique américaine CloudFlare, qui peut cacher les adresses IP, explique Anuj Sharma.
Cette escroquerie est-elle basée sur le cyber-esclavage ?
"Nous avons été très surpris par l'ampleur de cette escroquerie et par l'adaptation régionale de ses auteurs", confie Koushik Sivarman, vice-président de CloudSEK.
Son équipe a trouvé des références à plus de 600 numéros WhatsApp du monde entier dans le code des sites web d'escroquerie.
Selon CloudSEK, les escrocs ont très probablement des exploitations avec des rangées interminables de téléphones, ou utilisent des boîtes SIM, des passerelles à partir desquelles ils manipulent plusieurs cartes SIM.
Ils pensent également que les fraudeurs créent des numéros internationaux virtuels par le biais de services facilement disponibles. Mais ils ne s'arrêtent pas là.
"Lorsque vous êtes aux États-Unis, vous recevez un message indiquant que vous pouvez gagner de l'argent en dollars, mais en Inde, vous recevez un message indiquant qu'il s'agit de roupies. Les escrocs s'adaptent donc à la monnaie, à la conscience locale, et les faux domaines qu'ils créent ont même des préfixes ou des suffixes pour les aider à les adapter aux différentes régions", précise Koushik Sivarman.
Alors que l'escroquerie visait principalement les numéros britanniques et australiens au début, des personnes d'Italie, de France et de Suisse la signalent désormais également, d'après la propre enquête menée par Euronews Next.
La personnalisation et l'ampleur des interactions humaines ont incité l'équipe de Koushik Sivarman à se pencher sur la manière dont une telle opération pouvait être menée.
"C'est alors que nous avons fait le lien avec le cyber-esclavage", explique Koushik Sivarman.
Selon l'entreprise sociale Humanity Research Consultancy (HRC), le cyber-esclavage a atteint des niveaux jamais vus auparavant.
"Si se faire spammer par des messages frauduleux fait désormais partie du quotidien, ce désagrément pourrait en réalité trouver son origine dans une nouvelle forme d'esclavage moderne", peut-on lire dans leur rapport sur le sujet.
Le HRC a recensé des structures mises en place par des trafiquants en Asie du Sud-Est et à Dubaï, et qui se développent désormais également en Amérique latine.
Au Myanmar, une vingtaine de complexes sont installés à Myawaddi, près de la frontière thaïlandaise - le KK Park étant le plus connu - tandis qu'au Cambodge, Sihanoukville, qui est un développement de l'initiative chinoise One Belt One Road, a été identifiée comme l'une des principales plaques tournantes du cyber-esclavage.
Selon le gouvernement cambodgien, la zone économique spéciale de Sihanoukville - située à la périphérie de la ville - est "construite par des entreprises chinoises et cambodgiennes" et "vise à créer une plateforme d'investissement idéale pour les entreprises".
Bien que cela ait pu être le cas au départ, le HRC estime que l'interdiction des jeux d'argent au Cambodge en 2019 et la pandémie de COVID-19 ont entraîné le départ de nombreux investisseurs, qui ont laissé la place aux groupes criminels organisés chinois.
Aujourd'hui, dans la "ville à prédominance chinoise", les casinos sont transformés en complexes.
Les auteurs attirent des victimes de tout le continent, y compris de Chine, du Viêt Nam et du Bangladesh, en annonçant sur des portails d'emploi ou sur les réseaux sociaux des postes à pourvoir dans les domaines du service à la clientèle, du service après-vente et des jeux en ligne.
Selon le HRC, les victimes ont généralement entre 18 et 30 ans et, si elles peuvent d'abord entrer dans l'enceinte de leur plein gré, une fois qu'elles commencent à travailler, elles ne peuvent généralement plus partir, leur passeport est confisqué et elles risquent d'être torturées, si elles ne se plient pas à leurs exigences.
Les victimes sont également "ouvertement vendues entre employeurs/esclavagistes", selon le rapport du HRC.
Les personnes détenues sont forcées d'escroquer d'autres personnes via les réseaux sociaux ou des services de messagerie tels que WhatsApp, et des compétences spécifiques, telles que la maîtrise de l'anglais, sont requises, en fonction de la nature de la fraude.
Valentina Casulli, responsable des opérations au HRC, s'intéresse à l'organisation de WebWyrm, depuis février 2023.
Alors qu'elle soupçonnait que l'escroquerie était alimentée par le cyber-esclavage, elle n'en a eu la confirmation qu'il y a deux semaines.
"Nous avons reçu des informations d'une victime qui se trouvait dans un complexe à Dubaï. Elle a été victime de la traite des êtres humains et a dû escroquer des gens pour qu'ils effectuent un certain nombre de tâches sur un site web", confie-t-elle à Euronews Next, faisant référence au modus operandi de WebWyrm.
Une deuxième victime du Myanmar a également décrit la même escroquerie.
Stella, de Digital Logic, a affirmé qu'elle se trouvait à Londres, mais Euronews Next n'a pas été en mesure d'obtenir une photo sur demande pour confirmer son identité ou sa localisation.
Lorsque nous lui avons suggéré de contacter des ONG travaillant sur la traite des êtres humains, si elle n'était pas en sécurité, Stella a répondu : "je ne comprends pas de quoi vous parlez".
Un crime transnational nécessite une réponse transnationale
Selon Valentina Casulli, près d'un million de personnes sont actuellement détenues dans des camps. Bien qu'elles puissent être contraintes de mener des opérations pour WebWyrm, l'expert estime qu'elles réalisent très probablement d'autres types de fraudes, telles que les escroqueries connues sous le nom de "pig butchering" (dépeçage de cochons), qui consiste à attirer la victime en créant une relation souvent romantique avec elle, pour ensuite lui voler son argent en l'incitant à réaliser de prétendus investissements, en cryptomonnaies.
Les complexes appartiennent généralement à une personne qui les loue à des entreprises s'occupant des cyber-esclaves et les propriétaires versent parfois des pots-de-vin aux autorités locales, selon le HRC. Ce dernier publiera une note d'information sur le lien entre le WebWyrm et le cyber-esclavage dans les semaines à venir.
"Il s'agit d'un maillon d'une chaîne d'opérations criminelles de grande envergure", affirme Valentina Casulli, expliquant que l'argent gagné grâce à des escroqueries telles que WebWyrm pouvait financer des jeux illégaux, le trafic de drogue et l'exploitation sexuelle.
"L'argent est blanchi et disparaît. Il est intraçable", ajoute-t-elle.
Le fait que les gains soient réalisés en crypto-monnaie complique encore la recherche des fonds, et le financement d'activités terroristes à l'aide de Tether a récemment fait surface.
Avec le film chinois "No More Bets" en tête du box-office cet été et le signalement par Interpol d'une notice orange en juin, la chercheuse affirme qu'il faut faire davantage pour mettre fin à cette "menace pour la sécurité mondiale".
Dans un rapport récemment publié, le Bureau des Nations unies contre la drogue et le crime (ONUDC) souligne de nombreuses lacunes des autorités locales, telles que la corruption et le manque de moyens, mais mentionne que l'Association des pays d'Asie de l'Est (ANASE) et la Chine ont élaboré un "plan d'action complet et détaillé", qui sera présenté prochainement.
Selon Valentina Casulli, la responsabilité incombe également aux États occidentaux.
"Il s'agit d'un crime transnational, qui nécessite une réponse transnationale", déclare-t-elle, avant d'ajouter : "cela montre également le rôle que doivent jouer l'industrie financière, les banques et l'industrie technologique. Il ne suffit pas d'être un expert en contre-trafic, il faut aussi des cyber-experts, des experts en finance et en crypto-monnaie, et des forces de l'ordre".
Selon le rapport de CloudSEK, les entreprises et les citoyens britanniques sont les plus touchés par cette escroquerie, et bien que le gouvernement ait pris des mesures pour lutter contre les escroqueries, Valentina Casulli estime qu'il n'en fait pas encore assez.
"Le fait que nous ayons réussi à établir un lien entre cette escroquerie et les complexes montre que le Royaume-Uni doit également faire quelque chose pour lutter contre la traite des êtres humains, car celle-ci est touchée", soutient-elle.
Au-delà des pertes financières, les experts soulignent également la détresse émotionnelle liée à ce type d'escroquerie. "Il s'est suicidé un mois après que je lui ai parlé", confie Troy Gochenour, de la Global Anti Scam Organisation (GASO), à propos d'un Britannique qui avait été victime d'une escroquerie de plus de 100 000 euros.
"Les forces de l'ordre ont du mal à lutter contre les arnaques de "pig butchering" et c'est peut-être la raison pour laquelle nous n'entendons pas autant parler de cette arnaque à l'emploi", affirme Troy Gochenour à Euronews Next. Le bénévole, qui a lui-même été victime d'une escroquerie, espère que des mesures seront prises pour protéger les gens.
"Avant que cela n'arrive, il y aura encore beaucoup d'argent qui sera volé et qui ne sera probablement pas restitué", conclut-il.
Cet article est le deuxième d'une série d'enquêtes en deux parties. Dans la première partie, vous découvrirez comment Euronews Next a démasqué cette escroquerie qui a déjà détourné environ 100 millions d'euros aux dépens des victimes.