Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Les escroqueries à la loterie

Publié le 5 mai 2021

cybermalveillance phishing Escroquerie loterie

9198 Temps de lecture : 18 min

Vous avez reçu un message (courriel, SMS ou MMS) qui semble provenir d’une entreprise qui organise des jeux de loterie. Ce message indique que vous avez gagné une importante somme d’argent et vous invite à répondre par mail en communiquant des informations personnelles auprès d’un prétendu huissier de justice, notaire ou avocat pour obtenir les gains annoncés. Attention, il s’agit d’une tentative d’escroquerie à la loterie !

Cybermalveillance.gouv.fr a identifié de nombreux cas rapportés de victimes ayant reçu ce type de messages ces derniers mois.

Quelques exemples de message d’arnaque :

Message frauduleux aux couleurs du groupe la Française Des Jeux
Capture 1 : Message frauduleux aux couleurs du groupe la Française des jeux
Message frauduleux aux couleurs du jeu EuroMillions – MyMillion
Capture 2 : Message frauduleux aux couleurs du jeu EuroMillions – MyMillion
Message frauduleux aux couleurs de la loterie Mega Millions (loto version américaine)
Capture 3 : Message frauduleux aux couleurs de la loterie Mega Millions (loto version américaine)
Faux ticket gagnant aux couleurs du jeu de loterie EuroMillions – MyMillion
Capture 4 : Faux ticket gagnant aux couleurs du jeu de loterie EuroMillions – MyMillion

Analyse de cette menace et recommandations pour y faire face réalisées en collaboration avec la Française des jeux (FDJ).

1. De quoi s’agit-il ?

Les internautes victimes de cette tentative d’escroquerie reçoivent généralement un message par courriel (mail) – plus rarement par SMS ou MMS – qui peut contenir une ou plusieurs pièces jointes. Le corps du message est le plus souvent court, voire très succinct, et demande de se référer aux différentes pièces jointes pour prendre connaissance de l’objet du message reçu.

Ce message semble ainsi provenir d’entreprises, fictives ou existantes, dont l’identité est usurpée, et qui organisent des jeux de loterie en France, en Europe ou bien dans le monde. On peut citer par exemple la Française des jeux (FDJ), qui organise notamment en France le jeu du Loto et de l’EuroMillions – MyMillion, la Colorado Lottery en charge d’un jeu du loto aux États-Unis, la National Lottery pour la version britannique ou bien la Loterie Nationale belge. Dans certains cas, des entreprises n’organisant pas de jeu de loterie voient également leur nom exploité, à l’instar de Microsoft, Amazon ou la Fondation Walmart.

Le message peut également utiliser les logos ou reprendre les couleurs de jeux de loterie nationaux ou internationaux, fictifs ou existants, comme le Loto, l’EuroMillions – MyMillion, la loterie Joker+, la loterie Mega Millions, le programme My Millions by Mega Millions, la Loterie Transnationale, etc.

Ce message explique que la victime, ou dans certains cas son adresse de messagerie, a été tirée au sort et qu’une importante somme d’argent allant de plusieurs centaines de milliers à plusieurs millions d’euros a été remportée. Parfois, la victime peut trouver en pièce jointe un faux ticket ou reçu de jeu gagnant, ce qui crédibilise davantage la tentative d’escroquerie.

Il y est alors demandé de communiquer un certain nombre d’informations personnelles. Au travers des nombreux cas rapportés dans le cadre de ce type d’arnaques, les informations qui sont le plus souvent demandées par les escrocs sont les suivantes :

  • nom,
  • prénom,
  • adresse postale,
  • nom de la ville de résidence,
  • code postal,
  • date de naissance,
  • numéro de téléphone fixe et/ou mobile,
  • copie d’une pièce d’identité (carte nationale d’identité ou passeport).

Le message indique parfois qu’une somme doit être versée au titre de « frais administratifs » ou bien pour « valider les gains ». À titre d’exemple, dans certains cas rapportés, le versement doit être réalisé en communiquant le numéro d’un coupon de recharge PCS Mastercard d’une valeur de 250 €.

La carte PCS Mastercard est une carte de paiement et de retrait prépayée et rechargeable dont le plafond est limité par le montant que l’on crédite via des coupons de recharge PCS. Ces coupons peuvent avoir une valeur allant de 20 à 250 €. Ainsi, pour recharger sa carte PCS, il suffit de rentrer le numéro du coupon (10 chiffres) dans son compte PCS pour qu’il soit crédité du montant du coupon. Ce mode de paiement difficilement traçable est très prisé par les cybercriminels dans de nombreux types d’escroqueries en ligne.

Les victimes sont invitées à transmettre ces différentes informations auprès d’un prétendu avocat, notaire ou huissier de justice, fictif ou existant, dont l’identité est également usurpée, et qui serait chargé de la remise des gains. Pour ce faire, une adresse de messagerie est mentionnée dans le message. Dans le cas où les escrocs ont inséré un faux ticket ou reçu de jeu gagnant dans les pièces jointes du message, le nom et l’adresse de messagerie du prétendu huissier peuvent y figurer afin de renforcer la crédibilité de la tentative d’escroquerie et son caractère « officiel ».

De surcroît, le message peut mentionner ou faire apparaître la signature et une photographie d’une personnalité assimilable ou appartenant à l’entreprise dont l’identité est usurpée telles, par exemple, celles de Stéphane Pallez, Présidente directrice générale de la Française des jeux (FDJ), Steve Ballmer et Bill Gates, anciens PDG de l’entreprise américaine Microsoft, ou encore Jeff Bezos, PDG de l’entreprise Amazon.

2. Comment reconnaître cette escroquerie ?

Plusieurs éléments peuvent permettre de reconnaître et d’identifier ce type d’escroquerie.

En premier lieu, il n’est évidemment pas possible de gagner un lot ou un gain à une loterie si l’on n’a pas acheté un ticket ou joué en ligne. Sur les nombreux cas rapportés, beaucoup de victimes avaient reçu ce type de message alors qu’elles n’avaient pas participé à un jeu de loterie. Ces messages sont en effet envoyés par les escrocs à un très grand nombre de personnes de manière à multiplier les « chances » de réussite de l’escroquerie.

Par ailleurs, à l’image du Loto ou l’EuroMillions – MyMillion, les loteries ne proposent d’ailleurs pas de lots ou de gains sélectionnés sur la base d’une information, comme un numéro de téléphone ou une adresse de messagerie, et ne contacteront pas directement le gagnant de la loterie en cas de gain. C’est au gagnant de se manifester pour réclamer le prix, avec l’obligation de fournir le reçu de jeu gagnant pour la loterie correspondante.

D’autre part, ces entreprises ne demanderont jamais le paiement ou le versement d’une somme d’argent au titre de « droits » ou de « frais » administratifs pour récupérer ou débloquer les gains remportés : c’est ce qu’explique la FDJ qui indique notamment que « vous ne devez jamais verser d’argent pour disposer d’un gain ou d’un lot ». Ces entreprises demanderont des informations personnelles uniquement « dans le cadre de la gestion de votre compte ou à l’issue d’une opération de jeu réalisée volontairement par vos soins ».

Enfin, d’autres éléments peuvent aussi alerter et indiquer qu’il s’agit d’une tentative d’escroquerie : une mauvaise orthographe, grammaire et/ou syntaxe, une adresse de messagerie émettrice dont le nom de domaine ne correspond pas à celui d’une entreprise organisatrice de jeux de loterie (pour la Française des jeux, le véritable nom de domaine est @lfdj.com), une limite de temps très courte pour demander le gain soi-disant remporté ou encore une clause de « confidentialité » pour mettre la pression sur la victime et/ou la dissuader de demander l’avis d’un proche par rapport au message frauduleux reçu.

3. Quelles peuvent être les conséquences de l’escroquerie à la loterie ?

L’escroquerie à la loterie constitue un type d’hameçonnage dont l’objectif consiste à récupérer des données personnelles, professionnelles et/ou bancaires pour en faire un usage frauduleux. En récupérant ces informations au travers de ce type d’arnaque, les escrocs pourront les utiliser directement ou alors les revendre à d’autres cybercriminels qui en feront usage à leur tour.

Ces informations dérobées pourront être utilisées pour mener par exemple des escroqueries à caractère financier, des tentatives d’usurpation d’identité, voire d’hameçonnage ciblé sur la victime, ou bien pour tenter de pirater les comptes en ligne ou bancaires lui appartenant.

Enfin, la victime pourra également subir un préjudice financier si elle a envoyé des fonds aux escrocs.

4. Comment ont-ils eu votre adresse de messagerie ou votre numéro de téléphone ?

Pour obtenir votre adresse de messagerie ou votre numéro de téléphone, les escrocs peuvent recourir à différentes méthodes comme l’hameçonnage, qui est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des informations personnelles (identité, mots de passe…).

Par ailleurs, votre adresse de messagerie et votre numéro de téléphone circulent déjà probablement sur Internet. En effet, vous les avez déjà renseignés sur différents sites Internet ou les utilisez régulièrement pour vous identifier et communiquer. Ces sites ont parfois revendu ou échangé leurs fichiers d’adresses de messagerie avec différents partenaires, dont certains peu scrupuleux, dans des objectifs marketing. Ces fichiers d’adresses sont aussi parfois dérobés ou récupérés par des cybercriminels pour être utilisés dans des campagnes frauduleuses, pour des attaques par hameçonnage, à l’image de l’escroquerie à la loterie.

Les informations dérobées circulent entre cybercriminels sous forme de fichiers qu’ils s’échangent ou se revendent.

5. Que faire si vous recevez un message d’escroquerie à la loterie ?

  1. Au moindre doute, n’ouvrez pas les courriels ou leurs pièces jointes et, dans le cas de SMS, ne cliquez jamais sur les liens. Tous nos conseils et nos recommandations sur l’hameçonnage (phishing en anglais).

  2. Signalez tout message (mail) ou site douteux à Signal Spam. S’il s’agit d’un SMS, signalez-le sur la plateforme 33700 ou par SMS au 33 700. Ces services feront bloquer l’émetteur du message.

  3. Signalez le message frauduleux à l’entreprise dont l’identité a été usurpée. Telles :
  4. Signalez les faits au ministère de l’Intérieur sur sa plateforme dédiée : Internet-signalement.gouv.fr.

6. Et si vous êtes victime de l’escroquerie à la loterie ?

  1. Si vous avez communiqué des éléments sur vos moyens de paiement, si vous avez envoyé de l’argent, ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre banque.

  2. Conservez les preuves, en particulier le message malveillant reçu.

  3. Si vous constatez des débits frauduleux réalisés avec votre carte bancaire, signalez la fraude bancaire auprès de la plateforme Perceval du ministère de l’Intérieur. Ce service permet aux victimes de fraude à la carte bancaire de signaler en ligne l’escroquerie dont elles ont été victimes, et ce, même si elles ont été remboursées par leur banque. Votre signalement aidera les autorités à identifier les auteurs de ces fraudes. À noter que le signalement sur la plateforme Perceval ne se substitue pas au dépôt de plainte.

  4. Si vous avez constaté que des informations personnelles servent à usurper votre identité, si vous avez envoyé de l’argent, ou si vous constatez des débits frauduleux sur vos comptes bancaires, déposez plainte au commissariat de police ou à la brigade de gendarmerie, ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.

    Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.

  5. En cas de débit frauduleux, contactez votre banque pour vous faire rembourser. Certaines banques demandent la preuve du dépôt de plainte ou le récépissé Perceval pour instruire votre demande.

  6. Signalez le message reçu à l’entreprise dont l’identité a été usurpée (voir chapitre précédent 5.3).

  7. Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits). Le service est ouvert de 9h à 18h30 du lundi au vendredi.
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

– Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.

Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.

Article réalisé en collaboration avec le groupe Française des jeux (FDJ)

Logo groupe FDJ