TEXTE : NICHOLAS DE ROSA ET JEFF YATESILLUSTRATIONS : EMILIE ROBERT
Incursion dans les bazars virtuels où des fraudeurs montréalais se rassemblent par milliers pour échanger des astuces, vendre des comptes bancaires volés et vanter leur mode de vie.
Une connexion suspecte a été détectée sur votre compte Amazon. Cliquez ici pour valider les données de votre compte.
C’est ce qu’on peut lire dans un texto d’hameçonnage parmi des centaines d’autres envoyés quotidiennement aux Québécois. Les exemples ne manquent pas.
Lorsque le gouvernement du Québec a annoncé en mars qu’il verserait une aide d’environ 500 $ à chaque Québécois pour atténuer l’impact de l’inflation, de nombreux Québécois ont rapidement reçu des textos frauduleux au nom de la Coalition avenir Québec (CAQ) les invitant à encaisser le chèque en cliquant sur un lien. D’autres textos du genre incluent de faux remboursements de la part de la Société de l’assurance automobile du Québec (SAAQ) ou de la Ville de Montréal.
Si ces messages sont taillés sur mesure pour appâter les Québécois, c’est qu’ils proviennent très souvent d’ici. Peu suspectent que ces textos forment le fer de lance d’une véritable industrie de la fraude, basée en grande partie à Montréal.
Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) constate une augmentation significative
du nombre de Canadiens qui évoluent dans cet univers de la fraude depuis quelques années.
Hormis quelques coups de filet ces dernières années, pour ces fraudeurs, les conséquences se font rares.
Une enquête des Décrypteurs plonge au cœur de cette vaste économie clandestine, bâtie à coup de numéros de cartes de crédit volés, et propulsée par une communauté de milliers de jeunes qui s’organise de façon décomplexée et à peine voilée sur le web. Une importante source de revenu pour certains, un mode de vie pour d’autres.
« Je pensais que c’était vrai »
Simone (nom fictif) a reçu, il y a quelques mois, un texto qu’elle croyait provenir de Netflix. Celui-ci contenait un lien vers une page web, identique à celle du géant de la diffusion en continu, où on lui a demandé d’entrer ses informations personnelles, ce qu’elle a fait.
Ils disaient que mon compte avait été désactivé et que je devais entrer ma carte de crédit. Et c’est après ça que j’ai eu des problèmes
, nous a-t-elle confié. Jointe à la mi-novembre, Simone a confirmé avoir aperçu des transactions non désirées sur sa carte de crédit au cours des derniers mois.
Nous avons trouvé Simone parce que les informations personnelles qu’elle a entrées dans le faux site de Netflix, allant jusqu’au mot de passe qu’elle utilise pour accéder au site web de sa banque, circulent librement dans les salles de clavardage des arnaqueurs montréalais.
Comme d’autres victimes à qui nous avons parlé et que nous avons trouvées de la même manière, Simone ignorait qu’elle faisait partie de milliers de Canadiens dont les données sensibles volées par ces textos sont en vente. Elle a préféré ne pas être identifiée pour cette raison.
Je vous dirais que je me sens un peu bouleversée, parce que je me dis : “Là, ils ont mes informations, qu’est-ce qu’ils peuvent faire avec ça?”
, regrette-t-elle.
Si les arnaqueurs ont réussi à frauder Simone, c’est qu’ils disposent d’outils leur permettant de recréer des copies parfaites de la page d’accueil de Netflix. Et des principaux fournisseurs de téléphonie mobile. Et des grandes banques. Ou encore du service de virement bancaire Interac, comme indiqué ci-dessous.
Un immense bluff qui sert à mettre la victime en confiance et à la convaincre de dévoiler ses données les plus sensibles, porté par des centaines de milliers de textos automatisés qui agissent comme autant de chevaux de Troie.
Ruée vers l’or sur Telegram
Jusqu’à récemment, la revente d’informations bancaires volées par hameçonnage se faisait surtout sur des marchés illicites sur le darknet. Aujourd’hui, les fraudeurs se rassemblent en majeure partie dans des salles de clavardage sur des plateformes de messagerie librement accessibles sur des ordinateurs ou des téléphones intelligents, comme ICQ et Discord, mais surtout Telegram.
Cette application d’origine russe est notoire, puisque la modération y est presque inexistante, comme en témoignent ces messages publiés en l’espace de quelques minutes dans l’une des quelque 30 salles de clavardage Telegram que nous avons infiltrées.
J’ai de nouveaux profils en stock. Ça inclut les numéros d’assurance sociale. Le prix est 45 $ US pour un profil avec une cote de crédit de plus de 700, 30 $ US pour moins de 700
, écrit un utilisateur.
Compte CIBC à vendre. 63 800 $ dans le compte chèques, balance de 2500 $ sur la carte de crédit. Ça vient avec le numéro de téléphone, le NIP de la carte et la date de naissance de l’utilisateur
, écrit un autre.
Si vous voulez apprendre comment faire entre 1000 $ et 3000 $ par jour, je vais vous montrer ma méthode. C’est gratuit. Mais je vais vous demander 20 % de vos profits. Envoyez-moi un message privé
, écrit un troisième.
Bienvenue dans l’univers parallèle de la fraude bancaire à Montréal, où les données personnelles de milliers de Canadiens sont en vente libre, 24 heures sur 24.
Bazars pour fraudeurs
Les salles de clavardage que nous avons infiltrées rassemblent de quelques centaines à une dizaine de milliers d’abonnés chacune. Les infiltrations ont pu se faire sans embûches : il n’y a pas de processus de vérification ou d’approbation de nouveaux membres dans les salles. Il suffit de savoir comment les trouver.
Ces salles sont de véritables encans virtuels, où tout ce qui est lié de près ou de loin à des comptes bancaires volés est à vendre. On peut aussi y acheter des documents falsifiés, comme des pièces d’identité ou des factures, ainsi que de la drogue, ou encore effectuer des paris sportifs.
Les participants y échangent des astuces pour mieux frauder, font la promotion de leurs services, vantent leurs habilités et, ironiquement, avertissent leur communauté de la présence d’escrocs qui tenteraient de les frauder.
Certaines salles sont organisées en mode bazar, où tout le monde peut publier des offres de vente ou d’achat. D’autres appartiennent à des vendeurs ou à des regroupements de vendeurs, et constituent en quelque sorte des boutiques.
Dans les dernières années, c’était quand même la fête. On a vu à quel point les programmes gouvernementaux liés à la COVID ont été une manne pour les fraudeurs
, témoigne le professeur de criminologie à l’Université de Montréal David Décary-Hétu, qui traque depuis des années l’activité dans ces forums. Mais on voit aussi qu’il y a un côté de compétition, de sérieux; que les gens sont là pour faire de l’argent, pour travailler. Les messages se répètent : on n’est pas là pour perdre notre temps. Si tu m’écris, c’est pour faire des affaires.
C’est d’ailleurs l’aspect communautaire de ces salles de clavardage qui fait leur force, selon David Décary-Hétu.
La fraude a toujours été là, mais ce qui a changé avec Telegram est la facilité avec laquelle les communautés ont pu se créer et communiquer entre elles
, observe l’expert en marchés illicites. Les fraudeurs sont ouverts à discuter et à apprendre. Plusieurs d’entre eux vont même dire si tu veux que je t’apprenne ce que je sais, je peux te faire un cours privé pour quelques centaines de dollars.
Plusieurs membres des salles de clavardage vendent leurs méthodes de fraude ou de blanchiment d’argent, mais différents outils clés en main peuvent aussi donner un coup de pouce aux fraudeurs en herbe en quelques clics : création de pages d’hameçonnage, envoi massif et automatisé de textos, vérificateurs de cartes de crédit, générateur de faux documents pour créer des comptes… Des solutions de contournement de systèmes d’authentification à deux facteurs, qui consistent généralement à recevoir un code secret par texto pour valider son identité après s’être connecté à un compte, sont également offertes.
Tout y est, tant qu’on est prêt à débourser de l’argent pour y accéder.
Une industrie et un style de vie
Les membres de ces communautés ont chacun des rôles différents, et la personne qui envoie les textos et hameçonne les victimes ne sera généralement pas celle qui videra leur compte bancaire.
C’est une chaîne d’approvisionnement, comme on le voit dans le monde légitime. Les tâches sont divisées, chacune des personnes a son expertise, et elles ont toutes une forme de rétribution en fonction de leurs tâches
, illustre Pierre-Luc Pomerleau, associé à la firme de renseignement criminel et financier VIDOCQ.
Par exemple, ceux qui envoient les textos d’hameçonnage et volent les informations bancaires des victimes vont généralement les vendre à d’autres, explique-t-il. Ces derniers les utiliseront à leur tour dans toutes sortes d’activités frauduleuses. Celles-ci vont de l’utilisation de données volées pour effectuer des achats en ligne à la création de cartes clonées pour vider des guichets automatiques.
Nul besoin d’avoir soi-même volé des données pour en tirer bénéfice. Certains fraudeurs s’offrent ainsi comme intermédiaires et utilisent des cartes de crédit volées pour acheter, contre rémunération, des biens et services à qui en fait la demande.
Quelques exemples d’offres disponibles dans ces forums, à la mi-novembre : des livraisons Uber Eats à 55 % de rabais; des abonnements aux services de diffusion en continu Disney+ ou Paramount+ à 1 $; 50 % de rabais sur des livraisons d’épicerie Metro; et même des vols et des réservations Airbnb à 40 % de rabais. Il suffit d’envoyer un versement en cryptomonnaie au vendeur et le tour est joué.
Dans les salles de clavardage, on peut apercevoir des gens publier des photos de leurs repas Uber Eats obtenus au rabais, parfois pour se marrer, parfois pour témoigner du professionnalisme des services frauduleux auxquels ils ont fait appel. La réputation des vendeurs est la clé de leur succès dans cet univers parallèle, et ceux qui tentent de jouer de mauvais tours à leurs confrères se font rapidement identifier, réprimander et bannir.
Car dans ces communautés, la réputation, c’est tout. Les fraudeurs les plus prolifiques en mènent large. Certains se font créer des avatars sur mesure à l’image de leur pseudonyme sur Telegram, en quelque sorte une marque de commerce à laquelle les autres fraudeurs peuvent se fier.
Billy (nom fictif), un fraudeur montréalais chevronné qui se dit pas mal retraité du domaine
, a accepté de répondre à certaines de nos questions par écrit, sous le couvert de l’anonymat. Il dit avoir empoché environ 5000 $ par semaine lorsqu’il était très actif dans le milieu.
VIDOCQ a publié un rapport sur ces salles de clavardage en début d’année. Elle a traqué les activités de trois vendeurs prolifiques, présumément montréalais, pour deux périodes de trois semaines. Leurs revenus individuels oscillaient entre 2500 $ et 54 000 $ pour les périodes observées.
L’un des vendeurs les plus prolifiques que nous avons repérés offrait, en l’espace d’une semaine, quelque 450 cartes de crédit canadiennes volées à 30 $ l’unité. Sur son site web, qui a toute l’allure d’un eBay avec remboursements et service à la clientèle, le client pointilleux peut trier les cartes selon la banque émettrice ou la province et la ville de la victime.
On a vu qu’ils travaillent plus la semaine que la fin de semaine, comme le font les gens avec un emploi normal
, rapporte Pierre-Luc Pomerleau. C’est dur de dire quel est le profil type, mais avec le langage qui est utilisé, on peut présumer que ce sont surtout des jeunes.
On voit même que certains d’entre eux habitent dans le sous-sol de leurs parents
, observe de son côté David Décary-Hétu.
Billy affirme avoir déjà rencontré des jeunes âgés de 13 à 14 ans dans le milieu. La plupart des fraudes sont faciles et accessibles à tout le monde
, estime-t-il. Beaucoup de jeunes de 16 ans sont maintenant dans le domaine et n’ont pas la mentalité de garder des secrets, donc ça se répand très rapidement.
Sans pouvoir chiffrer l’ampleur du phénomène, les deux spécialistes s’entendent pour dire que Montréal est une importante plaque tournante de la fraude bancaire.
Plusieurs des acteurs du milieu sont francophones ou bilingues. Les noms de plusieurs des forums font référence à Montréal, et on voit une utilisation du franglais et d’autres expressions propres à la ville
, dit Pierre-Luc Pomerleau.
D’ailleurs, les fraudeurs de cartes de crédit sont, à Montréal, un phénomène généralisé, à un tel point que bon nombre de jeunes ironisent à leur sujet sur les réseaux sociaux, notamment sur TikTok.
L’une de ces vidéos parodiques montre de quoi a l’air, selon le créateur, le jeune homme montréalais typique : il vend des iPhone à 50 % de rabais, ainsi que des comptes en banque volés. Une autre met en scène un jeune homme dont l’ami, qui gagne 5000 $ par jour en fraudant, lui demande un remboursement de 5 $ pour un achat chez McDonald’s.
Un mot-clic associé à ce type de fraude mène à des centaines de vidéos où des jeunes s’affichent ouvertement, liasses d’argent à la main. Ils se filment au guichet automatique alors qu’ils retirent des billets à l’aide d’une carte de débit clonée, le visage à peine dissimulé. Certains en profitent pour faire la promotion de leurs services ou pour vanter leurs habiletés de fraudeur.
Le CRTC se dit au courant qu’il s’est créé une culture de la fraude bancaire au pays depuis quelques années et que celle-ci est particulièrement attirante pour les adolescents.
Ces derniers trouvent plus qu’attirante l’idée de faire fortune par le biais de la fraude et, pour eux, frauder, “c’est cool”. Sur le plan technique, les nouvelles technologies facilement accessibles par le biais du commerce en ligne permettent aux néophytes de l’hameçonnage de débuter leur carrière assez facilement
, a fait savoir la porte-parole du CRTC, Patricia Valladao.
Comme un jeu d’enfant
Les pages d’hameçonnage vers lesquelles les fraudeurs tentent de vous diriger depuis des mois dupliquent, comme deux gouttes d’eau, les interfaces de Netflix, des grandes banques et des fournisseurs de téléphonie mobile. Ces leurres sont décidément bien faits, mais ce n’est pas parce que les fraudeurs sont des experts en conception de site web. Les gabarits peuvent être achetés, ou encore faire partie d’un service clés en main qui permet de personnaliser ces pages d’hameçonnage et de colliger les données des victimes.
Nous avons eu accès à l’un de ces outils, qui coûte environ 240 $ par mois, ou 2200 $ pour un forfait annuel, payable en cryptomonnaie.
Sans avoir de grandes connaissances en informatique, il n’a fallu qu’une vingtaine de minutes pour que nous puissions créer notre propre page d’hameçonnage, une copie identique de la page d’accueil d’Interac. Les informations entrées par notre victime
dans les champs de saisie étaient automatiquement enregistrées dans une banque de données, exportable en format Excel.
Un déboursement supplémentaire d’une dizaine de dollars nous a permis d’associer cette fausse page de transfert Interac à une adresse web. Au total, en à peine une heure et sans expérience de fraude, nous disposions d’une page d’hameçonnage que nous aurions pu envoyer par textos à des dizaines de milliers de potentielles victimes.
Le service auquel nous avons eu recours est populaire. Nous avons pu traquer les portefeuilles de cryptomonnaie associés à ceux qui le gèrent. En cinq semaines entre les mois de juin et de juillet, le site a généré pas moins de 24 000 $ en bitcoins. Plus récemment, en deux semaines entre les mois d’octobre et de novembre, ce sont plus de 43 000 $ en bitcoins qui ont été envoyés au site. Ces figures pourraient ne représenter qu’une partie des recettes totales.
Des plateformes clés en main comme celle-ci inquiètent le CRTC. Ces nouveaux services de plus en plus populaires sont sur le radar de plusieurs agences d’application de la loi à travers le monde, incluant ici au Canada, puisqu’elles victimisent un très grand nombre de Canadiens chaque jour
, explique Mme Valladao.
Même si ces outils sont intuitifs et simples d’approche, y avoir accès ne veut pas nécessairement dire qu’on peut empocher frauduleusement des dizaines de milliers de dollars du jour au lendemain.
Si on veut être bon, il faut avoir des outils, il faut apprendre des techniques, il faut parler aux gens
, souligne David Décary-Hétu. Et c’est sûr que ça se passe mieux quand on le fait avec des gens avec qui on a grandi, des gens qui parlent notre langue, des gens qui ne sont pas loin de nous.
Les autorités débordées
Les arrestations liées à ces communautés de fraude bancaire sont rarissimes au Canada.
À l’automne 2020, le CRTC a réussi à faire fermer le plus gros marché canadien du web clandestin, Canadian Headquarters, où étaient menées des activités semblables avant que les fraudeurs ne migrent en bonne partie vers les plateformes cryptées.
Le fondateur de Canadian Headquarters, Chris Tyrone Dracos, a été condamné à payer une amende de 150 000 $, et trois importants vendeurs ont reçu des amendes de 50 000 $. Trois des accusés ont collaboré avec les autorités et un seul a eu à payer la totalité de son amende.
Les quatre hommes ont été accusés d’avoir enfreint la Loi canadienne anti-pourriel, pour avoir envoyé des courriels d’hameçonnage sans le consentement des destinataires et sans inclure une option de désabonnement.
À la suite de l’enquête du CRTC, la Gendarmerie royale du Canada (GRC) a accusé M. Dracos d’utilisation non autorisée d’ordinateur et de possession d’un dispositif permettant une telle utilisation. Il aurait créé des outils et des formations qui ont permis aux trois autres de mener leurs activités.
Le CRTC s’attaque à peu de personnes parce qu’il n’[a] pas assez de ressources pour mener des enquêtes
, explique David Décary-Hétu. Dès que le mot cyber entre dans la conversation, on pense à cyberpédophile. C’est un problème important, et il manque aussi de ressources pour ça, donc quand on a des ressources à mettre, c’est entre protéger les comptes bancaires des gens ou protéger la sécurité et le développement des enfants
, explique-t-il.
Dans la dernière année, le CRTC dit avoir remis au total 450 000 $ de pénalités à six individus qui menaient des campagnes d’hameçonnage qui se servaient de l’image de marque de compagnies ou d’entités gouvernementales canadiennes.
Le CRTC étudie présentement les options réglementaires pour mener la vie plus dure aux fraudeurs. Par exemple, sans enregistrement de domaines d’hameçonnage, il n’y a plus de campagne ou, du moins, il est plus difficile pour les fraudeurs de créer des campagnes d’hameçonnage crédibles
, explique la porte-parole Patricia Valladao.
Mme Valladao affirme d’ailleurs que les systèmes de sécurité des fournisseurs de services téléphoniques bloquent une vaste proportion des messages d’hameçonnage
.
Sentiment d’impunité
Lorsqu’on lui demande s’il a peur de se faire épingler par les autorités, Billy nous répond oui et non
.
Oui, car tout se sait toujours un jour. Non, car il y a tellement de monde qui en [fait] que c’est impossible pour les autorités de réussir à prendre tout le monde
, pense-t-il. Selon lui, les fraudeurs qui se cachent derrière des écrans risquent moins de se faire arrêter que ceux qui agissent en personne en ouvrant de faux comptes de banque, par exemple.
Selon les experts consultés, l’inaction des forces de l’ordre face à la fraude bancaire fait en sorte que les acteurs du milieu ne se sentent pas menacés dans leurs activités.
Il faudrait que les autorités agissent auprès des fraudeurs pour qu’il y ait au moins un effet de dissuasion
, opine Pierre-Luc Pomerleau. En ce moment, on n’en voit pas du tout.
Les gens n’ont absolument pas peur, et on le voit en regardant comment ils se vantent de leurs crimes et mettent en ligne des messages vidéo, des messages audio, ou même des photos de nourriture livrée à leur adresse et commandée avec une carte de crédit volée. Les gens partagent énormément d’informations qui les identifient, et ils n’ont pas l’air très inquiets
, affirme David Décary-Hétu.
Nous avons pu identifier deux jeunes Montréalais à l’origine de nombreuses campagnes de textos d’hameçonnage de la dernière année, simplement en regardant les informations d’enregistrement de leurs sites web frauduleux. Leurs noms complets et leurs adresses courriel y figuraient, à la vue de tous.
Ils laissent énormément de preuves en ligne. Ce n’est pas nécessairement suffisant pour condamner quelqu’un, mais ça pourrait au moins servir pour aller faire des perquisitions, aller chercher plus de preuves
, estime David Décary-Hétu.
Un policier de la grande région de Montréal qui traite de nombreux cas de fraudes a récemment affirmé à Radio-Canada, sous le couvert de l’anonymat, qu’il trouvait régulièrement des identités volées dans les appareils électroniques saisis aux fraudeurs arrêtés. La SQ et la GRC ne font rien. Je ne leur transmets même plus d’informations tellement ils sont dépassés par les événements
, a-t-il dit.
Les banques au dépourvu
Si les autorités agissent peu pour prévenir la fraude bancaire, les institutions financières ont elles aussi leur rôle à jouer, estime Pierre-Luc Pomerleau, qui a occupé d’importants postes liés à la criminalité financière dans de grandes banques canadiennes pendant une quinzaine d’années.
Dans les conversations en ligne que nous avons observées, les fraudeurs parlent ouvertement des outils qu’ils utilisent et des techniques qu’ils emploient. Les institutions financières auraient tout intérêt à comprendre leur mode opératoire et devraient y porter plus attention. Ils sont essentiellement en train de leur dire quelles sont les failles
, soutient M. Pomerleau.
L’associé chez VIDOCQ fait également valoir que les banques pourraient insister davantage auprès de leurs clients afin qu’ils protègent leurs comptes par une authentification à deux facteurs. Les fraudeurs veulent trouver les maillons les plus faibles, donc ils évitent les banques qui ont les contrôles les plus efficaces. Les identifiants, les mots de passe et les questions de sécurité peuvent être facilement obtenus sur les marchés clandestins, donc les méthodes pour authentifier le client ne doivent plus se limiter à ces informations-là
, observe-t-il.
Pourquoi ne pas rendre cette double vérification obligatoire? C’est difficile d’obliger tout le monde à le faire. Par exemple, une personne âgée sans téléphone intelligent ne pourrait peut-être pas s’en servir. Le problème, c’est de trouver le juste milieu entre l’ajout de friction dans l’expérience client et la gestion du flot de demandes frauduleuses qui rentrent
, analyse Pierre-Luc Pomerleau.
Joint par courriel, le porte-parole de l’Association des banquiers canadiens, Mathieu Labrèche, assure que les banques du Canada tiennent absolument à protéger leurs clients contre la fraude financière
et qu’elles emploient des équipes informatiques hautement qualifiées, qui utilisent des technologies de pointe et des systèmes de détection de la fraude multicouches afin de protéger l’argent et les renseignements personnels de leurs clients
.
La réalité d’un monde interconnecté veut que les cybermenaces ne soient pas restreintes aux systèmes et technologies d’une seule institution financière. La sécurité est une responsabilité partagée dans laquelle chaque personne a un rôle à jouer. Les clients doivent rester vigilants, adopter de saines pratiques de sécurité en ligne et pouvoir différencier entre les demandes légitimes et les tentatives de fraude
, ajoute-t-il.
L’épisode avec le faux texto de Netflix n’a pas coûté très cher à Simone pour le moment. Les transactions illégales effectuées par les fraudeurs sur sa carte de crédit ont été rapidement remboursées.
J’ai remarqué que c’était des facturations à Vancouver, des choses comme ça. J’ai appelé [mon institution financière], ils ont fait des petites recherches et ça n’a pas été long. Ils m’ont remboursé tout de suite et ils ont changé ma carte
, nous a-t-elle dit.
Il est vrai que les institutions financières remboursent généralement assez rapidement les transactions frauduleuses. Le Centre antifraude du Canada ne comptabilise d’ailleurs pas les montants perdus dans ce type de fraude au pays, car les victimes ne sont généralement pas responsables de la perte
.
Mais cela ne veut pas dire que ces crimes sont sans conséquence.
Les banques ont normalisé la fraude en disant que ça fait partie des coûts d’affaires, on s’attend à un certain niveau de fraude. Mais ce n’est pas un crime sans victime, parce que ces coûts-là sont refilés aux consommateurs
, fait valoir David Décary-Hétu. Cela se traduit notamment par des frais de transaction et des taux d’intérêt plus élevés.
Ces fraudes-là peuvent aussi financer d’autres activités criminelles
, rappelle Pierre-Luc Pomerleau.
Quant aux multiples dénonciations de ces textos frauduleux qui sont apparues au fil des mois dans les médias et sur les comptes officiels de diverses agences gouvernementales, elles semblent ne pas trop inquiéter les fraudeurs.
Alors que nous mettions les touches finales sur ce reportage, nous avons reçu un texto contenant un lien vers un site web d’arnaque :
Banque de Montréal : Votre compte a été temporairement suspendu pour des raisons de prévention contre la fraude.