Cryptocurrency Scam Emails and Web Pages in 2026: How to Detect and Avoid Them

Lysandre Beauchêne

Imaginez recevoir un email vous annonçant soudainement que vous possédez plus de 100 000 $ en Bitcoin, gagnés via une plateforme de minage cloud automatisée. C’est le scénario d’une campagne de phishing qui a débuté en octobre 2025 et qui s’intensifie à l’orée de l’année 2026. Selon les analyses de sécurité récentes, ces attaques exploitent des services d’hébergement légitimes pour tromper les utilisateurs, s’appuyant sur des failles de sécurité connues.

Cette escroquerie promet des liquidités immédiates mais exige, in fine, le paiement de frais de conversion ou de frais de transaction pour “débloquer” ces fonds. Dans cet article, nous décortiquons les mécanismes de cette attaque, les outils utilisés par les cybercriminels et les mesures concrètes à adopter pour protéger vos actifs numériques.

Les mécanismes de l’escroquerie : une chaîne de tromperie

L’escroquerie repose sur une chaîne de services numériques détournés. Les criminels n’ont pas besoin de créer des infrastructures complexes : ils utilisent la facilité de déploiement de plateformes grand public pour héberger leurs pages malveillantes.

L’exploitation de Telegra.ph

Le vecteur principal de cette campagne est le service de publication minimalist Telegra.ph. Cette plateforme, conçue pour permettre à n’importe qui de publier une page web simple en quelques minutes, est détournée pour héberger les pages finales de l’escroquerie.

  • Anonymat et rapidité : Les attaquants peuvent créer des pages sans vérification d’identité stricte.
  • Hébergement gratuit : Le coût opérationnel pour le criminel est quasi nul.
  • Facilité de partage : Les liens sont courts et facils à dissimuler dans des emails.

Dans la pratique, nous observons que ces pages présentent une interface très épurée, souvent avec un chatbot interactif qui guide la victime vers l’étape suivante.

L’étape intermédiaire : Google Forms

Avant de rediriger vers la page Telegra.ph, certains emails utilisent des formulaires Google Forms. Cette technique ajoute une couche de légitimité perçue. L’utilisateur voit le domaine google.com et baisse sa garde.

  1. L’email contient un lien vers un formulaire Google.
  2. Le formulaire demande des informations basiques ou simule une vérification.
  3. Une fois soumis, le formulaire redirige vers la page Telegra.ph hébergée par les attaquants.

Cette méthode permet également de filtrer les victimes potentielles : celles qui remplissent le formulaire sont plus susceptibles de continuer le processus.

L’évolution de l’attaque en 2026

Dès octobre 2025, une première vague de emails a été signalée. Les analystes ont pu intercepter les messages et analyser le flux. Depuis, la campagne a évolué et continue de remplir les boîtes de réception en début d’année 2026, reflétant l’évolution des menaces cyber en 2026.

Le scénario du “Bitcoin perdu”

Le message central est toujours le même : vous avez des fonds inactifs. L’histoire varie légèrement, mais le fond reste une promesse de gains importants sans risque.

  • L’offre : Des centaines de milliers de dollars en Bitcoin.
  • La justification : Un minage cloud automatique oublié ou une redistribution de fonds.
  • Le piège : Pour récupérer la somme, il faut payer des frais de “maintenance” ou de “conversion”.

Une fois la victime sur la page Telegra.ph, elle interagit avec un faux chatbot. Ce dernier génère des réponses préenregistrées pour maintenir l’illusion et guider l’utilisateur vers le paiement.

Les chiffres clés de la menace

Selon les rapports de cybersécurité de fin 2025, les escroqueries liées aux cryptomonnaies ont continué de grimper.

Selon l’IC3 (Internet Crime Complaint Center) du FBI, les pertes liées aux investissements frauduleux et aux escroqueries à la cryptomonnaie ont dépassé les 4 milliards de dollars en 2025, avec une augmentation notable des campagnes utilisant des services légitimes comme vecteur.

Cette statistique souligne l’efficacité persistante de ces méthodes, malgré leur apparente simplicité.

Comment identifier ces emails et pages frauduleuses ?

La détection repose sur une vigilance accrue face aux signaux faibles qui, pris isolément, peuvent sembler inoffensifs.

Les signaux d’alerte dans les emails

Les emails de cette campagne sont souvent minimalistes. Ils ne contiennent pas de longs paragraphes, mais une invitation à cliquer.

  • Expéditeur inconnu : L’adresse email ne correspond à aucune entité connue.
  • Objet alarmiste ou prometteur : “Vérification de vos fonds”, “Bitcoin disponible”, “Action requise”.
  • Liens vers des domaines tiers : Telegra.ph ou Google Forms, jamais le domaine officiel d’une banque ou d’un exchange.

L’analyse de la page de destination

Si vous cliquez malgré tout (ce que nous ne recommandons pas sans précautions), la page Telegra.ph présente des caractéristiques spécifiques.

  • Absence de sécurité : Pas de verrou SSL visible (bien que Telegra.ph en ait un, le contenu est hébergé sur un sous-domaine non sécurisé).
  • Chatbot factice : Les réponses sont instantanées et génériques.
  • Demande de frais : Le but ultime est toujours de demander de l’argent en crypto.

Tableau comparatif : Escroquerie 2025-2026 vs Phishing Classique

Pour mieux comprendre la spécificité de cette campagne, comparons-la au phishing bancaire classique.

CritèrePhishing ClassiqueEscroquerie Crypto 2026
Vecteur principalEmails usurpant des banques ou services (PayPal, etc.)Emails promettant des gains crypto via des tiers
HébergementSites clonés sur des serveurs compromisUtilisation de services légitimes (Telegra.ph, Google Forms)
ObjectifVol d’identifiants bancairesVol de cryptomonnaie via des frais de “déblocage”
Complexité techniqueMoyenne (clonage de site, enregistrement de domaine)Faible (utilisation de services gratuits existants)
CibleComptes bancaires, données personnellesPortefeuilles crypto des victimes

Stratégies de protection et bonnes pratiques

Face à la prolifération de ces attaques, l’adoption de réflexes de sécurité est cruciale.

1. Vérification des sources

Avant de cliquer ou de répondre, prenez quelques secondes pour vérifier l’origine du message. Demandez-vous si vous attendez un email de ce type.

  • Ne jamais payer pour recevoir des fonds : C’est la règle d’or. Aucune institution légitime ne demande des frais pour débloquer des gains.
  • Contacter l’expéditeur par un autre canal : Si l’email prétend provenir d’un collègue ou d’une connaissance, appelez-le.

2. Protection technique

L’outillage technique peut bloquer une partie de ces menaces avant même qu’elles n’atteignent l’utilisateur.

  • Filtres anti-spam : Activez les filtres de votre fournisseur de messagerie.
  • Navigateurs sécurisés : Utilisez des navigateurs à jour qui bloquent les sites de phishing connus.
  • Extensions de sécurité : Des outils comme uBlock Origin peuvent empêcher le chargement de scripts malveillants.

Selon une étude de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), la sensibilisation des utilisateurs reste le levier le plus efficace pour réduire le risque d’attaque par ingénierie sociale.

3. Réaction en cas d’incident

Si vous avez cliqué ou fourni des informations :

  1. Déconnectez-vous immédiatement de vos comptes sensibles.
  2. Changez vos mots de passe.
  3. Si des fonds ont été envoyés, contactez les autorités (Police, Gendarmerie via le portail Pharos) et votre banque.

Mini-cas : Le scénario du collaborateur

Un cas typique documenté en octobre 2025 impliquait un collaborateur recevant un email promettant des fonds provenant d’une ancienne plateforme de minage. L’email semblait provenir d’un service inconnu mais contenait un lien Google Forms.

En raison de la curiosité, le lien a été ouvert dans un environnement sandbox (environnement isolé). Le formulaire a redirigé vers une page Telegra.ph avec un chatbot. Ce dernier a immédiatement affirmé que 150 000 $ en Bitcoin étaient disponibles, demandant un frais de “validation” de 500 $ pour procéder au virement.

Ce cas illustre parfaitement le flux : email léger -> intermédiaire légitime (Google Forms) -> hébergement abusé (Telegra.ph) -> demande d’argent.

Les étapes actionnables pour sécuriser votre organisation

Pour les entreprises et les équipes, il est vital de formaliser la réponse à ce type de menace.

  1. Sensibilisation massive : Envoyez des alertes internes sur cette campagne spécifique. Montrez les exemples d’emails.
  2. Mise en place de filtres : Demandez à votre administrateur IT de bloquer les emails contenant des liens vers Telegra.ph ou des formulaires Google non sollicités.
  3. Simulation de phishing : Testez vos équipes avec des emails similaires pour évaluer leur réactivité.
  4. Politique de réponse : Définir clairement qui contacter en cas de doute (RSSI, DPO).

Conclusion : Restez vigilant dans un écosystème en mutation

L’escroquerie aux cryptomonnaies via des emails et des pages Telegra.ph n’est pas une menace sophistiquée techniquement, mais elle repose sur la manipulation psychologique et l’abus de confiance. En 2026, les cybercriminels optimisent leurs coûts : ils utilisent des outils gratuits pour maximiser leurs profits, dans un contexte où les nouveaux risques de l’ère de l’IA transforment le paysage de la sécurité.

La clé de votre sécurité réside dans le scepticisme. Si une offre semble trop belle pour être vraie, elle l’est. En appliquant les étapes de vérification et les protections techniques décrites ci-dessus, vous réduisez drastiquement le risque de tomber dans le piège. La prochaine fois que vous voyez un email promettant des fortunes en Bitcoin, souvenez-vous : rien n’est jamais gratuit dans la vie, surtout pas sur Internet.