Par Adrian Cheek, chercheur principal en cybercriminalité
Les estimations de 2024 indiquent que les pertes mondiales attribuées aux escroqueries en ligne dépassent 1 000 milliards de dollars américains. Ce chiffre ne représente probablement qu'une partie de l'impact réel, car de nombreux incidents ne sont pas signalés, les victimes ayant tendance à sous-déclarer et se méfiant de la capacité des institutions à enquêter et à recouvrer les pertes. Des rapports plus récents ont également mis en lumière le rôle des plateformes de médias sociaux qui, au lieu de prévenir activement les escroqueries, ont monétisé la publicité et les infrastructures facilitant les campagnes frauduleuses.
Nous avons examiné un type spécifique d'ingénierie sociale : l'escroquerie par usurpation d'identité de célébrités ciblant spécifiquement les Canadiens, illustrant l'ampleur, la sophistication et la portée d'une seule campagne coordonnée.
Arnaques par usurpation d'identité de célébrités : un aperçu détaillé
Dans cette escroquerie, identifiée par Flare, les opérateurs utilisent une technique d'ingénierie sociale courante : le recours à une prétendue recommandation d'une célébrité pour gagner en crédibilité et inciter la victime à interagir avec eux. Cette approche rappelle les tactiques observées dans l'usurpation d'identité de célébrités et les arnaques sentimentales, où les cybercriminels exploitent la confiance et la familiarité perçues associées aux personnalités publiques. La célébrité ou la personnalité publique choisie est délibérément associée à la région géographique ciblée. Les plateformes publicitaires des réseaux sociaux sont ensuite utilisées pour limiter la visibilité initiale aux utilisateurs géolocalisés dans le pays visé, en fonction des attributs de leur profil et de leur historique d'activité. Sans ce facteur clé, il est peu probable qu'une personne ayant des liens avec ce pays engage la conversation, car une personnalité politique ou une célébrité soutenant un « système de remboursement » dans un autre pays n'aura aucun intérêt pour quelqu'un qui n'y a aucun lien.
De plus, les auteurs de ces escroqueries exploitent délibérément les réactions émotionnelles, notamment la compassion. Les publicités sponsorisées et les publications associées présentent fréquemment la célébrité visée comme ayant subi une blessure, un malheur ou des représailles institutionnelles. Parmi les récits courants, on trouve l'affirmation que la célébrité a été « écartée de l'antenne » après avoir révélé comment elle a amassé une fortune considérable, ou qu'elle a été arrêtée sur ordre de la « banque de [insérer le pays] » pour avoir prétendument révélé une « faute financière ». Notre analyse indique que l'un des thèmes les plus fréquents consiste à dépeindre la célébrité comme blessée ou alitée, souvent présenté comme une révélation finale ou urgente de conseils financiers destinés à inciter la victime à s'engager immédiatement.
Campagnes publicitaires sponsorisées connexes contenant de fausses informations sur la célébrité
Nos recherches ont mis en évidence une campagne publicitaire sponsorisée hébergée sur Meta, utilisant vraisemblablement des images non autorisées de l'homme d'affaires et personnalité de la télévision canadienne Kevin O'Leary. Ces publicités présentent O'Leary comme étant arrêté ou blessé et sont accompagnées de titres sensationnalistes conçus pour inciter les utilisateurs à interagir. Ces slogans, souvent qualifiés de « putaclic », emploient un texte trompeur et incendiaire pour inciter les utilisateurs à consulter le contenu. Des légendes telles que : « Les accusations contre O'Leary sont confirmées ! Le secret de la célébrité est enfin révélé ! » et « Les accusations portées contre lui sont confirmées ! » accompagnent fréquemment ces images.
Publicités frauduleuses sur Meta mettant en scène Kevin O'Leary
Articles de presse falsifiés connexes utilisés comme « preuves »
Les 190 publicités recensées à ce jour dans le cadre de cette campagne, y compris la plus ancienne observée le 6 janvier 2026, redirigent les utilisateurs vers des articles de presse frauduleux prétendant faussement provenir de la Société Radio-Canada (CBC).
Ces articles sont hébergés sur des domaines générés aléatoirement, sans aucun lien avec l'organisation de presse légitime. Pour les besoins de cette analyse, nous avons sélectionné le domaine synapsetder[.]pro à partir des URL référencées dans la publicité sponsorisée trouvée sur Meta.
Article de presse frauduleux concernant Kevin O'Leary
Le domaine, enregistré le 9 janvier 2026, affiche un titre mis à jour, en accord avec la prétendue « plateforme d’investissement » présentée dans l’article. La page contient également de faux articles « À la une » destinés à créer une illusion d’opportunité financière ou d’urgence économique, influençant ainsi le comportement des lecteurs.
La conception du site web observé correspond à cette campagne d'escroquerie. Grâce à la plateforme URLscan, nos recherches ont identifié 1 285 modèles de pages identiques, certains datant de seulement cinq jours avant cette analyse. Bien que les images et les titres puissent varier d'un modèle à l'autre, ils reflètent généralement la célébrité ou la personnalité publique usurpée. Aucun ne présente de lien légitime avec les plateformes ou organisations qu'ils prétendent représenter.
Articles de presse frauduleux concernant Mark Carney et Ryan Reynolds
Ces sites web peuvent être identifiés et tracés grâce au système de noms de domaine (DNS), qui fonctionne comme l'annuaire téléphonique d'Internet. Cependant, l'ampleur de cette campagne implique des centaines de milliers de domaines. Plus important encore, ces domaines servent principalement d'infrastructure intermédiaire, agissant comme des points de redirection qui acheminent les victimes vers les étapes suivantes de l'escroquerie, plutôt que de constituer la destination finale.
Inciter les lecteurs à s'inscrire sur des plateformes d'investissement frauduleuses
Cliquer sur un lien hypertexte dans l'article redirige les utilisateurs vers un site web distinct, présenté frauduleusement comme une page d'inscription pour la plateforme d'investissement associée. L'identité visuelle et les noms de domaine de la plateforme changent régulièrement, et les liens intégrés deviennent souvent inactifs à mesure que de nouveaux sites frauduleux apparaissent. Au cours de cette analyse, le domaine ironwoodd[.]info a été identifié comme hébergeant la page d'enregistrement des investissements.
Site web de la plateforme d'investissement frauduleuse associée
La page contient de fausses déclarations attribuées à des personnalités publiques canadiennes, destinées à renforcer la crédibilité perçue de la plateforme. Un compte à rebours est également présent ; notre analyse montre qu’il s’initialise à « 21 » avant de décroître rapidement jusqu’à zéro. Ce mécanisme vise à créer un sentiment d’urgence artificiel en suggérant une période d’inscription limitée. En réalité, le compte à rebours est sans effet : une fois à zéro, aucune action n’est entreprise et les victimes peuvent toujours soumettre leurs informations via le formulaire en ligne. Actualiser la page réinitialise le compte à rebours.
À l'instar des pages d'articles des étapes précédentes, des centaines de domaines hébergeant un contenu identique et intégrant des formulaires web ont été identifiés lors de nos recherches. Après l'envoi d'informations par l'utilisateur via le formulaire, le site effectue deux redirections successives avant de le rediriger vers la dernière étape de l'escroquerie : une plateforme d'investissement frauduleuse.
Après avoir soumis leurs informations personnelles, les victimes sont finalement redirigées vers un site web présenté comme une plateforme d'investissement. Au cours de cette analyse, le domaine qipcapital[.]com Ce domaine servait de destination finale. Bien qu'il ait été initialement enregistré en juin 2025, cela ne reflète pas la durée de son utilisation dans le cadre de l'escroquerie, car les domaines de la plateforme sont régulièrement renouvelés par les opérateurs et souvent enregistrés à l'avance dans le cadre de processus d'enregistrement en masse.
Un aperçu de la plateforme d'investissement frauduleuse
Avant de pouvoir déposer le montant minimum de 250 dollars, la victime doit télécharger des pièces d'identité, fournissant ainsi aux escrocs son nom, son adresse, son numéro de carte bancaire et des photos. Ces informations serviront non seulement à extorquer le paiement, mais aussi à commettre d'autres actes illicites.
Notre analyse DNS a identifié le domaine qip[.]capital, enregistré en janvier 2025, qui redirige vers qipcapital[.]com Le site s'ouvre via le processus d'inscription et de connexion. Il présente des informations de marché défilantes ainsi que du contenu institutionnel générique, incluant des informations sur l'entreprise, une FAQ et d'autres éléments généralement associés aux plateformes d'investissement légitimes. Des liens actifs vers les réseaux sociaux, tels que YouTube, X (anciennement Twitter), TikTok et Medium, ont également été observés.
Site web de QIP Capital
Notre analyse a révélé un indicateur technique distinct lié à cette campagne d'escroquerie. Afin de préserver son utilité pour la détection et le suivi continus, nous avons choisi de ne pas le divulguer publiquement pour le moment. L'application de cet indicateur a permis d'identifier d'autres sites web présentant des caractéristiques numériques correspondant à celles associées à Qip Capital.
Le site web d'IPO Capital présente des caractéristiques numériques similaires à celles de Qip Capital.
Bien que la fonctionnalité de réseaux sociaux du site reste active, le formulaire d'inscription n'est plus fonctionnel, ce qui laisse penser que le site web a probablement déjà rempli son rôle dans cette opération frauduleuse. Cette conclusion est confortée par la date d'expiration du nom de domaine, fixée à août 2025.
Teed Trades, un site web similaire à IPO Capital
Teed Trades, enregistrée en avril 2025, maintient un site web fonctionnel similaire à Capital d'introduction en bourseToutefois, la suppression de la fonctionnalité de paiement en cryptomonnaie indique que le domaine a probablement rempli son rôle dans l'opération frauduleuse et a depuis été abandonné.
Surveillance continue des escroqueries par usurpation d'identité de célébrités
Nous continuons d'identifier les domaines associés à cette escroquerie ; plusieurs milliers ont été recensés à ce jour. De nouvelles publicités sponsorisées apparaissent presque quotidiennement, redirigeant les victimes vers de multiples sites frauduleux qui utilisent souvent une image de marque convaincante et des articles falsifiés. Sans une cartographie exhaustive de l'infrastructure des domaines et une analyse des flux de paiement, les efforts de démantèlement risquent d'être superficiels et inefficaces, aboutissant à une lutte au coup par coup plutôt qu'à une véritable réduction de l'ampleur de cette escroquerie.
Chez Flare, nous continuerons de surveiller, d'analyser et de rendre compte de ces campagnes et de leurs répercussions sur les Canadiens et d'autres personnes à travers le monde.
Vous souhaitez en savoir plus sur les arnaques actuelles ciblant les consommateurs ? Consultez le nouveau blog de recherche « Le nouveau groupe de cybercriminels PayTool cible les Canadiens avec des arnaques liées au trafic routier. »
