Un courriel attribué à la CySEC promet de récupérer des fonds perdus. Derrière cette apparente aide institutionnelle, tous les codes d’une arnaque de récupération réapparaissent. ZATAZ décortique.Un message présenté comme émanant de la Cyprus Securities and Exchange Commission affirme que vous êtes une victime identifiée après une enquête visant la société Trade Capital LTD. Le scénario semble protecteur, presque rassurant, car l’expéditeur dit vouloir aider sans exiger d’argent. Pourtant, l’analyse livrée par ZATAZ pointe une mécanique connue dans le paysage cybercriminel : la recovery scam, ou arnaque à la récupération de fonds. Cette méthode repose sur l’usurpation d’autorité, l’exploitation d’une fraude passée et une prise de contact non sollicitée. Explication d’une mécanique qui reste diablement efficace.
Un scénario taillé pour piéger d’anciennes victimes
Le cœur du message est simple : une prétendue responsable financière de la CySEC vous contacte pour vous annoncer que vous avez été touché par les activités frauduleuses d’une société nommée Trade Capital LTD. Le courrier précise que l’entreprise aurait changé plusieurs fois d’identité pour échapper aux contrôles, qu’elle aurait été dissoute et que ses comptes auraient été gelés. Puis vient la promesse centrale : l’autorité serait en mesure d’aider à récupérer les fonds, sans demander de paiement, à condition de répondre au message.
Pour ZATAZ, ce schéma correspond très clairement à une arnaque de récupération. Le principe est bien connu : une pointe de Social Engineering ; une pincée de culot et des escrocs reprennent contact avec des personnes qui ont déjà pu subir une fraude financière, ou qui pourraient croire l’avoir subie, en leur faisant miroiter un remboursement. La mise en scène cherche à créer un lien immédiat entre une perte ancienne, une institution reconnue et une solution enfin accessible.
Le premier marqueur suspect tient à cette prise de contact non sollicitée. Le courriel ne mentionne ni numéro de dossier, ni date, ni plainte, ni document officiel, ni transaction précise. Tout est déjà conclu, presque sans preuve : la victime est présentée comme identifiée et la fraude comme établie. ZATAZ souligne qu’un véritable régulateur n’agit pas ainsi. Une autorité réelle s’appuie sur des références vérifiables, sur des coordonnées institutionnelles identifiables et sur un cadre formel. Ici, le message avance une conclusion lourde sans fournir le moindre point d’ancrage contrôlable.
L’usurpation d’autorité est l’autre ressort central. Le texte mobilise une institution reconnue, la CySEC, adopte un ton administratif, cite d’autres organismes comme l’ESMA ou la FCA, et introduit même un avertissement contre les faux courriels. Cette architecture est précisément ce qui donne de la force à l’arnaque. L’escroc ne demande pas immédiatement un virement. Il emprunte d’abord la crédibilité d’un régulateur pour abaisser la méfiance.
Selon l’analyse rapportée par ZATAZ (vous pouvez la découvrir en animation et explications visuelles ici), les fraudeurs copient fréquemment les codes, le vocabulaire et parfois l’identité d’entités légitimes afin de transférer vers eux la confiance accordée à une institution.
Quand la promesse de protection devient un outil d’ingénierie socialeLe passage affirmant qu’aucun paiement ne sera demandé semble conçu pour rassurer. En réalité, ZATAZ y voit un levier psychologique classique comme j’ai pu le démontrer lors de mon atelier sur le Social Engineering lors d’Incyber 2026. L’absence de frais immédiats permet de neutraliser le réflexe de défense. Dans les arnaques de ce type, la demande financière arrive souvent plus tard, après l’établissement d’un dialogue. Elle peut prendre la forme de frais de déblocage, de taxes, d’exigences de conformité, de vérifications KYC ou de justificatifs prétendument nécessaires à la restitution de l’argent.
C’est là que l’opération bascule dans une phase de qualification. Le message demande seulement de répondre pour engager la procédure. Cette simplicité n’a rien d’anodin. Elle sert à vérifier que la cible est joignable, réceptive et émotionnellement engagée. Une fois le contact établi, l’escroc peut recueillir des détails sensibles : historique des pertes, copie de pièce d’identité, IBAN, justificatif de domicile, relevés ou traces de virements. L’objectif initial n’est donc pas uniquement de convaincre. Il s’agit d’ouvrir un canal d’échange exploitable.
Le nom Trade Capital LTD ajoute une ambiguïté utile à la manipulation. Formulé de manière générique, il peut évoquer pour certaines cibles une plateforme réellement connue, une structure fermée, une ancienne enseigne ou un souvenir imprécis. ZATAZ relève que ce flou est précieux pour les fraudeurs. Il laisse la victime compléter elle-même les blancs, projeter sa propre histoire sur le courriel et renforcer l’illusion de personnalisation.
La mécanique psychologique décrite est particulièrement nette. Le message commence par la peur, en affirmant qu’une fraude a été établie. Il enchaîne avec le soulagement, puisqu’une autorité aurait retrouvé la victime. Il ouvre ensuite une perspective d’espoir, celle d’un remboursement possible. Enfin, il installe une urgence feutrée : il suffit de répondre pour démarrer. Rien d’agressif, rien de brutal. Tout repose sur une pression douce, polie, presque bureaucratique, ce qui rend le piège plus crédible.
Le dernier paragraphe du courriel, qui invite à se méfier des faux messages envoyés au nom de régulateurs, est lui aussi suspect. ZATAZ y voit une technique de pré-inoculation. En évoquant lui-même le risque d’usurpation, l’expéditeur tente de se placer du bon côté de la barrière et de suggérer que les fraudeurs seraient ailleurs. Cette pseudo-transparence renforce l’apparence de sérieux, alors qu’elle sert surtout à désamorcer les doutes.
L’évaluation avancée est sans ambiguïté : il s’agit d’une arnaque. Le message recoupe les caractéristiques d’une fraude d’usurpation d’autorité orientée vers la récupération de fonds. La conduite recommandée est claire : ne pas répondre, ne cliquer sur aucun lien, ne transmettre aucun document personnel ni relevé bancaire, et vérifier toute démarche supposée uniquement via les coordonnées officielles publiées par l’autorité concernée. Dans cette affaire, le renseignement utile tient en une règle simple : dès qu’un sauvetage financier surgit sans preuve, l’attaque d’ingénierie sociale est déjà en cours.
Pour finir, 4 lecteurs de ZATAZ et 2 abonnés au service de veille ZATAZ ont failli être piégés par le message. L’un d’eux a fourni 80% des informations réclamées par l’escroquerie !
merci à ZATAZ
