Un homme d’affaires a vu ses économies disparaître en une heure à cause d’une escroquerie sophistiquée. L’histoire souligne les méthodes utilisés par les criminels pour piéger leurs victimes, ainsi que les efforts déployés pour récupérer des fonds perdus. Un récit édifiant sur la cyberguerre au cœur du secteur financier.
100.000 euros disparus en une heure. Tout en crypto. Cela est arrivé à Tudorel Coman, 38 ans, un citoyen roumain vivant et travaillant en Italie depuis 20 ans dans le secteur de la restauration. “Bientôt, je deviendrai sommelier, après tant de sacrifices”, raconte-t-il à Netcost-security.fr, “J’ai commencé à investir dans les cryptomonnaies en 2019, je ne pensais pas que cela pourrait m’arriver”.
En septembre 2024, Tudorel est opéré pour une appendicite et le lendemain, encore choqué par l’opération, il reçoit un SMs. L’expéditeur : un numéro identifié sur son smartphone comme Binance, la plateforme d’échange de cryptomonnaies qu’il utilise quotidiennement.
C’est à 16h34 le 20 septembre 2024. On lui demande de payer la taxe sur ses investissements et un lien à cliquer est envoyé. C’est une demande crédible et Tudorel accède immédiatement au lien indiqué dans le message : c’est le piège des escrocs.
Tous les éléments utilisés pour réaliser l’escroquerie
Les criminels ont utilisé deux techniques pour tromper le jeune homme. La première est le spoofing, c’est-à-dire le masquage du numéro de téléphone, qui est apparu comme appartenant à Binance, même si ce n’était pas le cas. La seconde est le SMs phishing (ou Smishing) : l’envoi d’un message texte avec un lien frauduleux.
Dès que Tudorel clique sur le lien, un autre SMs lui parvient, l’informant que les fonctionnalités de son compte Binance ont été restreintes et qu’il recevrait bientôt un appel du service client. Quelques minutes plus tard, il reçoit effectivement un appel, mais ce n’est pas de Binance. Ce sont les escrocs qui lui demandent des informations sur d’autres plateformes qu’il utilise.
Tudorel, pensant qu’il s’agit de l’assistance légitime, répond qu’il utilise aussi Coinbase. Les malfaiteurs lui informent alors qu’ils vont lui envoyer par email deux codes QR pour régler 24 euros d’impôts pour les deux échanges (Binance et Coinbase). Après l’envoi des codes, les escrocs terminent l’appel : ils ne seront plus joignables au numéro d’où ils ont appelé Tudorel. Les QR sont frauduleux et constitueront l’accès des criminels aux portefeuilles du futur sommelier.
La technique employée ici est appelée QR phishing (ou qushing) et consiste à créer de faux QR : soit pour diriger les victimes vers des sites web visant à voler leurs identifiants ; soit pour faire télécharger des logiciels malveillants (malware), dans le but de prendre le contrôle de l’appareil de la victime et de vider ses portefeuilles.
Tudorel scanne les codes QR et, tout à coup, il voit les fonds sur ses comptes de cryptomonnaies s’effondrer. “Ils ont pris le contrôle de mon téléphone”, explique Tudorel à Netcost-security.fr. Quand il tente de rappeler la personne avec qui il vient de parler, le numéro est introuvable. À 17h38, en 64 minutes, près de 80.000 euros ont disparu de son compte Binance et 20.000 euros de celui de Coinbase. Une arnaque soigneusement élaborée pour ne pas éveiller de soupçons immédiats chez la victime et lui dérober, en très peu de temps, tous ses fonds.
Les tentatives de récupération des fonds
Tudorel porte plainte auprès de la Police Postale. Mais en attendant, il veut essayer de récupérer l’argent et, sur la plateforme de messagerie Telegram, il trouve le contact de quelques hackers qui lui promettent de lui restituer ce qui lui a été volé. Pour cela, ils lui demandent d’autres fonds et Tudorel, désespéré, perd encore 5.000 euros : il les paie d’avance à ceux qui lui avaient garanti pouvoir lui rendre 100.000 euros, mais ensuite les faussaires ne respectent pas l’accord et disparaissent.
Le jeune contacte également un service enregistré sur Telegram sous le nom de « Ledger Wallet Support », qui lui demande 4.200 euros comme acompte pour lui restituer ce qui lui a été pris. Cette fois, Tudorel refuse. Il s’agit d’une autre arnaque, connue sous le nom de « fake recovery » (faux recouvrement) : ceux qui demandent un paiement en promettant de restituer des cryptomonnaies déjà évanouies, sans aucune chance de succès.
Le parcours des cryptomonnaies volées
Finalement, Tudorel se tourne vers la société DECRIPTO WORLD, qui trace tous les mouvements de ses cryptomonnaies sur les blockchains (une sorte de registre partagé des transactions monétaires). Le 23 avril 2025, il apporte les résultats obtenus à la Police Postale, les intégrant à sa précédente plainte.
“Mes fonds dans plusieurs cryptomonnaies (FET, SUI, BTC et SOL) ont été convertis presque instantanément dans une autre cryptomonnaie, ETHEREUM (pour un total de 36,5860 ETHER) et ensuite, après plusieurs passages par d’autres portefeuilles intermédiaires, ont fini sur la plateforme CHANGENOW”, explique le jeune homme à Netcost-security.fr.
Cependant, il est difficile de remonter jusqu’aux malfaiteurs, car Changenow est basé à l’étranger (le bureau légal est aux Pays-Bas) et n’a même pas encore gelé les comptes où l’argent a été transféré. L’assistance de l’ACTA. Pour préparer la documentation remise en avril à la Police, Tudorel a été aidé par l’Association ACTA, fondée par Iolanda Bonino et engagée dans la lutte contre les escroqueries affectives et le cybercrime.
Comment reconnaître les escroqueries en ligne
Mais que peut-on faire pour éviter d’être victime d’une arnaque de ce type ? Tout d’abord, il est important de ne pas cliquer sur les liens reçus par email ou SMs, non seulement d’utilisateurs inconnus mais aussi de ceux apparemment familiers, et de vérifier que ceux qui nous contactent sont des entités fiables. Une vérification immédiate peut être effectuée en contrôlant le domaine de l’adresse email du message, c’est-à-dire ce qui est écrit après le symbole arobase.
Cependant, il n’est pas facile de rester vigilant à certains moments, surtout si l’on ne connaît pas les mécanismes utilisés par les cybercriminels, qui profitent souvent de nos moments de distraction.
Une fois devenu victime d’une arnaque liée aux cryptomonnaies, comme celle de Tudorel, il faut aussi éviter de tomber dans les pièges des « fake recovery », car il est très difficile de récupérer à nouveau le montant transféré vers d’autres portefeuilles. Il ne faut pas faire confiance aux prétendus experts rencontrés sur internet.
“J’espère que les personnes seront plus conscients”
Après ce qui s’est passé, Tudorel a contacté un avocat pour demander un remboursement (même partiel) auprès des plateformes de cryptomonnaies suite à l’escroquerie subie. La procédure est encore en cours, mais il n’y a aucune certitude que le juge décide en faveur du jeune homme.
En attendant, il continue à investir sur Binance. “Je poursuis, j’ai encore mon portefeuille. Chaque mois, je reçois des messages avec de faux liens et on continue de m’appeler de l’étranger. Une fois, j’ai reçu un appel de Malte d’un individu se faisant passer pour un général : j’ai immédiatement raccroché.” “J’espère qu’après avoir lu mon histoire, les personnes seront plus conscients”, conclut Tudorel.