Selon le Département fédéral de la défense, de la protection de la population et des sports (DDPS), l’OFCS signale en semaine 38 une série d’arnaques à la récupération (« recovery scam ») usurpant l’Office fédéral de la cybersécurité (NCSC), notamment via un faux collaborateur nommé « Daniel Bruno ».

Les cybercriminels recontactent des victimes d’escroqueries à l’investissement (et d’autres personnes au hasard) en prétendant avoir « retrouvé » l’argent perdu et exigent un paiement préalable pour le restituer. Dès le versement effectué, ils coupent le contact ou réclament d’autres frais, entraînant une nouvelle perte d’argent. Cette pratique est décrite comme une arnaque en deux temps.

Pour crédibiliser l’arnaque, les auteurs utilisent une usurpation d’identité d’un prétendu collaborateur du NCSC, avec une carte de légitimation falsifiée mentionnant « Daniel Bruno », « Senior Asset Investigator » du « National Cyber Security Centre », des logos d’organisations, un numéro d’identité fictif et une date de validité. Ils contactent par courriel (adresse Gmail) ou téléphone, affirment coopérer avec des autorités étrangères comme la FCA (UK), et évoquent des montants précis (ex. 220 600 USDT).

Le schéma « l’escroc sonne toujours deux fois » est détaillé: 1) Fraude initiale (ex. arnaque à l’investissement en cryptomonnaies, arnaque à la commission de loterie, hameçonnage). 2) Fraude ultérieure (recovery scam) où d’autres escrocs se font passer pour la police, une autorité de surveillance, un cabinet d’avocats ou le NCSC, prétendent avoir arrêté les auteurs et exigent des frais (dossier, honoraires, coûts administratifs, taxes) avant remboursement.

L’OFCS précise que « Daniel Bruno » n’est pas employé du NCSC (ni en Suisse ni au Royaume‑Uni) et que tous les documents associés sont falsifiés. L’OFCS/NCSC n’initie pas spontanément de contact pour promettre un remboursement moyennant un paiement préalable.

IoCs observables:

  • Nom/alias usurpé: “Daniel Bruno” (faux collaborateur du NCSC)
  • Poste revendiqué: “Senior Asset Investigator” du “National Cyber Security Centre”
  • Indices techniques: utilisation d’une adresse Gmail; carte de légitimation falsifiée avec logos et numéro d’identité fictif
  • Références utilisées: coopération prétendue avec la FCA (UK)
  • Montant cité: 220 600 USDT

TTPs (techniques, tactiques et procédures):

  • Impersonation/usurpation d’autorité (NCSC, autorités de poursuite, FCA)
  • Contact par e‑mail et téléphone visant des victimes et des destinataires aléatoires
  • Prétexting de remboursement de fonds « retrouvés »
  • Faux documents pour légitimer la demande (ID/carte, logos)
  • Advance‑fee fraud (exigence de frais avant remboursement), suivi de rupture de contact ou d’escalade de frais

Type d’article: rétrospective et alerte de sécurité. But principal: signaler une campagne d’arnaque à la récupération usurpant le NCSC et informer sur ses marqueurs concrets.

🔗 Source originale : https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_38.html