Des e-mails signés par la présidente d’Europol, Catherine De Bolle, vous invitant à vous dénoncer pour des faits de de cyberpornographie sont envoyés massivement sur des boîtes mails de nombreux utilisateurs belges. Ces courriels sont des tentatives d’hameçonnage. Elles visent à récolter frauduleusement des informations personnelles qui permettent ensuite aux usurpateurs d’accéder à des comptes en ligne pour en retirer de l’argent. Europol ne contacte jamais directement de particuliers, ne demande jamais d’argent à personne et n’invite en aucun cas à lui transmettre vos informations bancaires ou à effectuer un virement.
“Je suis Catherine De Bolle, commissaire générale de la police fédérale, élue au poste de directrice d’Europol“, c’est par ces mots ou une introduction quasi similaire que commencent des messages envoyés sur des boîtes e-mails de nombreux internautes belges et français. Plusieurs utilisateurs nous ont sollicités via le formulaire de contact de notre plateforme Faky afin de nous interroger suite à la réception de courriels douteux dans leurs boîtes mails privées ou professionnelles.
Selon les versions, les auteurs prétendent représenter (ou parfois même être) la patronne d’Europol, l’agence européenne de police criminelle qui facilite l’échange de renseignements entre polices nationales en matière de stupéfiants, de terrorisme, de criminalité internationale et de pédophilie au sein de l’Union européenne. Dans le titre du mail ou dans la pièce jointe envoyée, le mot “convocation” est habituellement repris.
Plus loin, le message suggère d’une manière ou d’une autre que l’internaute fait l’objet d’une enquête “en matière de pédopornographie, pédophilie, cyberpornographie, exhibitionniste, trafic sexuel” et qu’il a été pris sur le fait par une brigade de lutte contre la criminalité sur le Web.
Le message invite ensuite l’utilisateur à se “faire entendre par mail en nous écrivant vos justifications pour qu’elles soient mises en examen et vérifiées afin d’évaluer les sanctions, cela dans un strict délai de 24 heures“.
Plusieurs versions de ce message circulent sur le Net. En français ou en néerlandais, avec les noms d’autres personnalités du monde de la police ou de la justice comme Jean-Marc Meilleur, ancien Procureur du Roi de Bruxelles ou Marc De Mesmaeker, l’actuel commissaire général de la Police Fédérale.
Ces messages qui usurpent les identités et les logos et prétendent vous informer que vous auriez commis des infractions diverses, comme des envois de photos à caractère sexuel à des mineurs, sont des montages.
En effet, il est relativement aisé de créer une fausse adresse reprenant le nom d’une personnalité et de faire en sorte qu’il apparaisse comme étant l’auteur, comme c’est le cas ici avec Catherine De Bolle.
À l’aide de logiciels gratuits de retouche d’images, il est également très facile de reprendre des logos d’institutions comme celles de la police fédérale belge ou d’Europol et d’ensuite créer un visuel qui donnera l’impression d’un document officiel.
Une technique de “phishing” pour subtiliser de l’argent
Avec un message fort, les auteurs de ces arnaques tentent d’abord de culpabiliser les utilisateurs afin qu’ils se dénoncent en se justifiant par e-mail. Ayant recueilli des “preuves”, les faussaires ont alors un levier pour demander aux victimes de faire un virement bancaire, présenté comme une amende, afin de “classer l’affaire”.
Ils peuvent aussi récolter des informations personnelles sensibles en vue de hacker des moyens de paiements en ligne ou recueillir des informations sur l’utilisateur en vue d’accéder à des applications ou des moyens de paiement sur Internet comme “Paypal”.
Les sommes demandées oscillent entre 2000 et 7000 euros, selon des chiffres publiés par Le Parisien qui se base sur de nombreux témoignages recueillis par Cybermalveillance, le dispositif national français d’assistance aux victimes d’actes de “cybermalveillance”.
Dans ces témoignages, des victimes reconnaissent avoir consulté des sites interdits aux moins de 18 ans, indique Jean-Jacques Latour, expert du service mis en place pour lutter contre ces phénomènes : “Elles culpabilisent et craignent d’avoir regardé des films avec des actrices mineures sans le savoir. Et même si elles n’ont jamais été sur ces sites, elles préfèrent payer par peur que cela ne soit rendu public, même si cela venait à être une erreur policière“.
Un phénomène difficile à contenir
Contactée par Faky, Europol détaille ce procédé du “phishing” qui se base sur deux leviers :
– Susciter l’appât du gain (par exemple, “vous avez gagné dix millions, mais vous devez d’abord transférer 1000 euros pour que nous sachions que c’est bien vous”).
– Susciter la peur (par exemple, “vous avez fait quelque chose de répréhensible et vous devez payer pour vous en sortir”, comme c’est le cas avec ces fausses convocations à la police).
“C’est ainsi que les escroqueries fonctionnaient avant l’apparition d’Internet, lorsque tout était hors ligne, et elles fonctionnent avec les mêmes mécanismes aujourd’hui (l’appât du gain et la peur). La différence est qu’il est beaucoup plus facile d’envoyer de faux e-mails. Aujourd’hui, les groupes criminels organisés visent la quantité plutôt que la qualité”, précisent encore les services de presse d’Europol.
Europol explique également qu’il est compliqué de lutter contre ce phénomène du “phishing” : “En fait, les noms et logos d’institutions réputées seront toujours utilisés de manière abusive par des escrocs, qu’il s’agisse d’Europol, d’Interpol ou des services de police nationaux“.
Enfin, l’agence européenne de police criminelle insiste : “Ni Europol, ni Catherine De Bolle ne vous enverra jamais un e-mail directement et ne vous demandera jamais de l’argent“.
Une arnaque qui date de plusieurs années
Si ces e-mails d’hameçonnage circulent pendant ce mois de juillet 2022, la technique n’est pas neuve. En février 2021, nous avions déjà contacté l’agence européenne de police criminelle pour l’interroger au sujet de courriels semblables à ceux qui circulent encore actuellement. Europol était déjà informée de ces tentatives de fraude à travers l’usurpation du nom de leur institution, de leur logo ainsi que de l’identité de la responsable, la Belge Catherine De Bolle.
Europol (tout comme son homologue internationale Interpol) est donc au courant de ces agissements qui durent depuis plusieurs années et tente de sensibiliser sur les risques de ces arnaques en ligne, notamment à travers son site Internet. Elle y précise clairement que : “Ni Europol ni aucun membre de son personnel ne contacterait jamais directement les membres du public pour leur demander une action immédiate ou les menacer d’ouvrir une enquête criminelle. Europol n’émet pas d’amendes et ne contacte pas les particuliers pour leur demander de payer.”
Au-delà de l’invitation à la prudence, la demande de l’agence européenne est que les utilisateurs visés signalent ces tentatives de “phishing” à la police locale ou fédérale.
En Belgique, la Federal Computer Crime Unit (FCCU) de la police judiciaire a été informée de plusieurs de ces campagnes de phishing via e-mails et appelle à la vigilance des internautes. Par ailleurs, au moins une plainte a déjà été déposée au niveau local, au commissariat de police de Denderleeuw, en Flandre.
Comment éviter de “tomber dans le panneau” ?
Plusieurs conseils pratiques, publiés notamment par la police fédérale belge, permettent de tenter d’éviter de subir ce type d’arnaque en ligne :
– Ne pas répondre à un courriel qui semble suspect. Se méfier d’éléments “étonnants” qui s’y trouveraient”.
Exemple : une accusation d’acte criminel, un héritage inattendu.
– Être vigilant aux détails graphiques.
Exemple : le logo de la Police est facilement réutilisable mais dans l’un des messages reçus il est pixélisé et sa qualité est donc médiocre ce qui indique qu’il a potentiellement été manipulé.
– Être vigilant à l’orthographe du contenu du message ou de ses pièces jointes.
Exemple : les institutions officielles comme Europol n’enverraient pas un courriel officiel qui contiendrait des fautes d’orthographe, comme c’est le cas dans les e-mails reçus au nom de Catherine De Bolle.
– Vérifier l’adresse de l’expéditeur du mail.
Exemple : des messages envoyés au nom de Catherine De Bolle et réceptionnés par Faky provenaient d’adresses mails non officielles comme : [email protected] ou [email protected]. Un courriel officiel reprend habituellement le nom de l’organisme dans son adresse.
– Vérifier l’exactitude et la cohérence du contenu.
Exemple : le contenu d’un des messages envoyés est rédigé en néerlandais mais la signature de Mme De Bolle comprenant son “titre” est en français. La signature par son seul prénom “Catherine” semble incohérente pour une personnalité d’envergure européenne.
– Faire une recherche sur le contenu pour identifier d’éventuels signalements préalables.
Exemple : une simple recherche via un moteur comme Google avec les mots-clés : Catherine De Bolle fraude ? renvoie vers des articles alertant sur ces campagnes de phishing.
– Ne jamais communiquer de données personnelles ou bancaires via téléphone ou mail à la demande d’un tiers.
Enfin, la “Federal Computer Crime Unit” invite les utilisateurs belges à signaler ces tentatives d’hameçonnage aux services en charge via le lien : https://www.safeonweb.be/fr/liens.