Tout est une question de facteur humain et d’une utilisation efficace du plus pervers des effets de levier : La confiance.
Ici, pas besoin de programmation complexe, ni même besoin d’un certain niveau d’expertise dans la blockchain. Bien au contraire, les fraudeurs ne possédaient pas 10 % du niveau technique et des compétences des personnes fraudées. C’est ce qui rend cette fraude ‘’admirable’’ !
Dans l’écosystème des cryptos et des NFT, se sont développées des communautés fermées (par exemple sur Discord) et des groupes privés réservés aux premiers arrivés ou bien exigeant un droit d’entrée sous forme de jeton d’accès NFT.
Ces groupes privés offrent de nombreux avantages aux membres, tel que des rencontres avec des professionnels, des experts, des célébrités, des avant-premières, etc…
La force de ces groupes est le sentiment d’exclusivité et le sentiment d’appartenance communautaire. Mais c’est là aussi que réside la faille. Notre crypto enquêteur principal chez Sarx Inc, Jordanne B. , a travaillé sur ce dossier en première ligne.
Dans ce groupe, les administrateurs, modérateurs et les membres s’échangent des conseils, des leads sur des projets spécifiques, des listes blanches, des NFT gratuits ou des exchanges entre membres, des avis sur des outils, bref … une communauté.
De plus le sentiment d’appartenance à une communauté exclusive est renforcé par le prix non négligeable du droit d’accès : Un NFT d’environ 0.7 eth en moyenne. Ces droits d’accès sont offerts ponctuellement et pour une durée limitée. Donc les membres développent vite un sentiment d’exclusivité, de cohérence des valeurs humaines et des objectifs et de sécurité dans le groupe.
Ce groupe a été repéré par un scammer qui avait soigneusement analysé cette culture organique.
Candidat à l’entrée dans le groupe, ayant les moyens de payer le droit d’entrée et surtout étant capable de reproduire le style, le vocabulaire, les sujets de conversations, les enthousiasmes et inquiétudes du groupe, il a lentement mais sûrement pris sa place dans le groupe.
Et là, en entendant le récit de Jordanne B notre crypto enquêteur, je me suis laissé penser à l’époque où dans une autre vie professionnelle, dans un autre continent, je faisais de l’infiltration (mais pour une juste cause) , dans des groupes d’individus problématiques, tout cela bien avant qu’internet soit répandu.
Le procédé était le même :
- Ne pas s’imposer, mais se faire apprécier
- Rester humble, mais curieux
- Apporter au groupe plus que de demander
- Identifier les leaders et se placer à leur côté sans jamais fâcher personne
- Apparaître socialement naïf et désamorcer toute suspicion
- Mais démontrer un potentiel technique intéressant
- Avoir de l’humour et des valeurs rassurantes pour le groupe.
Bref.... infiltrer méthodiquement le groupe pour en devenir une ressource digne de confiance.
Suivant la même méthode, le fraudeur se donne 3 mois pour se faire des amis, rendre des services, offrir des opportunités profitables sans rien demander en échange, faire gagner de l’argent à certains et renforcer sa crédibilité.
Puis à la fin du troisième mois, il lance sa ligne et son hameçon : ‘’Hey gang ! je vais créer mon token finalement, est-ce qu’il y en a qui veulent être parmi les premiers ?’’
L’astuce est de ne pas en faire trop, juste annoncer l’idée avec franchise et enthousiasme, sans insister pour recruter. Le truc est de faire en sorte que les membres du groupe réfléchissent par eux même et adhèrent spontanément.
Le petit groupe de junkies crypto enthousiastes connectés, de développeurs anarcho-techno, d’investisseurs créatifs, de spécialistes du marketing interstellaire, tous réfléchissent qu’entrer au démarrage d’un token peut être extrêmement lucratif. Ce sont rarement les 20 et 30 premiers acheteurs qui deviennent perdants et bien plus fréquemment ils peuvent faire X 100, quel que soit le scénario.
Le fraudeur déploie une brillante stratégie d’ingénierie sociale et surfe sur la notoriété et la crédibilité des principaux administrateurs du groupe pour renforcer sa propre crédibilité à l’extérieur du groupe.
Les membres du groupe attendent avec impatience la possibilité d’acheter les premiers tokens : ‘’ hey gang de chanceux ! il vous suffit d’envoyer un minimum de 0.2 eth ou un maximum de 1.5 eth et vous recevrez votre token immédiatement à son lancement ! ça approche vite, faites ce qui vous tente et dans vraiment pas long, ce sera ‘’highway of love and cash’’
L’astuce est d’annoncer avec enthousiasme, mais sans pression ni quémander, le scammer doit être cohérent avec sa légende, sans changer de personnalité au moment critique, et rassurer en conservant le même personnage et le même style, un peu d’humour, bcp de fun, des promesses dans lequel il s’inclut comme partenaire, bref… faire en sorte que le poisson soit heureux de mordre dans l’hameçon. Le levier du FOMO est toujours puissant, surtout renforcé par la confiance développée dans un esprit de groupe.
Le fraudeur a rapidement obtenu 29 eth (l’affaire remonte à quelque temps, au plus haut du cours de l’eth). Plusieurs membres du groupe ont acheté pour le maximum annoncé : 1.5 eth.
Deux semaines plus tard, les eth sont dissous dans un mixer, mélangés avec des coins de toute provenance sur des centaines de transactions rendant la traçabilité trés difficile (mais pas impossible) et l’escroc disparaît (pour le moment)
Ses identifiants et ses comptes sur les réseaux sociaux, son histoire de vie, ses projets étaient aussi faux que ses sourires et sa personnalité de façade.
La fraude n’a demandé aucun investissement au fraudeur, sauf du temps et de l’ingénierie sociale. Il a même appris bcp auprès du groupe en tirant profit de l’expertise des membres.
La leçon à tirer de cette fraude par infiltration sociale (fraud through social infiltration) est : Même dans un groupe d'amis, la confiance n’empêche pas le contrôle.