Phishing, affiliation et fraude à l’investissement : Analyse d’une campagne de génération de leads à grande échelle

Le marketing d’acquisition et les programmes d’affiliation reposent sur un principe simple : rémunérer des acteurs tiers pour générer du trafic ou des prospects qualifiés. Bien que largement utilisés dans des contextes légitimes, ces modèles présentent certaines dérives lorsque la performance est uniquement mesurée au volume de leads générés.

Dans ces environnements, certains intermédiaires peuvent être incités à privilégier des pratiques agressives ou trompeuses afin d’augmenter leurs revenus. Cela peut inclure l’utilisation de messages marketing ambiguës, l’usurpation de marques reconnues, ou encore la mise en place de campagnes diffusées sans consentement clair des destinataires.

Par ailleurs, la multiplicité des acteurs impliqués — affiliés, plateformes de gestion de leads, revendeurs — complexifie la traçabilité des données collectées et dilue les responsabilités. Cette fragmentation peut faciliter la réutilisation de données personnelles dans des contextes différents de ceux initialement présentés à l’utilisateur, notamment dans le cadre d’offres d’investissement ou de services à forte pression commerciale.

Ces dynamiques créent un terrain favorable à l’émergence de campagnes trompeuses, à la frontière entre marketing agressif et fraude, rendant leur détection et leur qualification parfois complexes.

Fin février 2026, une campagne de phishing à grande échelle ciblant des internautes français a été identifiée. L’opération promeut une opportunité d’investissement présentée comme liée à Amazon, reposant sur des éléments trompeurs et ne correspondant à aucune offre officielle connue. L’objectif de cette campagne semble dépasser la simple collecte d’informations personnelles. Les éléments observés indiquent qu’elle pourrait s’inscrire dans un mécanisme de génération de leads lié à des offres d’investissement trompeuses.

Une campagne d’ampleur industrielle 

Les messages utilisent des accroches liées aux cryptomonnaies et à Amazon pour attirer l’attention des victimes et susciter un sentiment d’urgence.

Parmi les sujets observés :

• “Top Rank PCrypto – Il reste peu de temps pour vous inscrire !”
• “Amazon se tourne vers les cryptos – une révolution crypto est en marche !” 

Les données collectées permettent d’estimer l’ampleur de l’opération : plus de 1.2 millions d’emails observés au total en moins de 3 semaines (18 jours exactement).

Les opérateurs de la campagne mettent en œuvre plusieurs techniques visant à maintenir la diffusion malgré les mécanismes de protection des messageries.

Les tactiques observées incluent :

• Rotation de domaines utilisés dans les liens de phishing 
• Rotation des expéditeurs afin de contourner les mécanismes de réputation 
• Randomisation des display names et sujets via l’ajout d’éléments textuels aléatoires 
• Blocage de certaines IP, par exemple celles utilisées par un vpn 

L’infrastructure utilisée repose également sur des ressources cloud et sur un ensemble de domaines enregistrés spécifiquement pour la campagne.

En plus des points mentionnés plus haut, plusieurs éléments permettent de qualifier cette campagne comme trompeuse :

• Usurpation de marques (Amazon / BFM) sans lien officiel 
• Promesses de rendement irréalistes 
• Collecte de données personnelles sans transparence sur l’usage 
• Absence de mécanismes légaux (mentions, consentement explicite, désinscription) 
• Redirection vers des plateformes connues pour alimenter des schémas d’investissement frauduleux 
• Un taux de plaintes élevé (>5%) 

Une fausse opportunité d’investissement “Amazon Crypto”

Les utilisateurs qui cliquent sur le lien présent dans l’email sont redirigés vers une page de destination présentant une opportunité d’investissement supposément liée à Amazon et à une nouvelle cryptomonnaie.

Le site met en avant :

• Une rentabilité élevée 
• Une adoption massive à venir 
• Une opportunité limitée dans le temps 

Amazon n’a jamais lancé de cryptomonnaie publique. Amazon Coin a existé mais :

• C’était une monnaie virtuelle interne (pas basée sur blockchain)
• Utilisée uniquement pour acheter des apps et contenus sur l’Amazon Appstore
• Et elle a été arrêtée en 2025

Un formulaire demande aux victimes de fournir plusieurs informations personnelles :

• Nom
• Prénom
• Adresse email
• Numéro de téléphone

Après validation du formulaire, la victime est redirigée vers une page de confirmation indiquant qu’un conseiller prendra contact dans les plus brefs délais.

Génération de leads pour des arnaques financières

L’analyse du trafic montre que les informations collectées transitent par une plateforme appelée LeadManager, utilisée pour structurer les données collectées sous forme de leads commerciaux.

Le fonctionnement de l’opération suit un pipeline bien défini :

Les données collectées peuvent ensuite être :

• Revendues à des acteurs tiers spécialisés dans la fraude
• Utilisées directement par des centres d’appels chargés de contacter les victimes

Ces opérateurs tentent ensuite de convaincre les victimes d’investir dans de fausses plateformes de trading ou de cryptomonnaies.

L’appel du call center

Nous nous sommes prêtés à l’exercice, en remplissant le formulaire de contact.

Il aura fallu moins de 24h pour être contacté par Gabriel Tissier, 0162142189, supposément gestionnaire de patrimoine pour la Gemini Bank. Il n’opère pas seul, d’autres personnes sont en lignes en arrière-plan.

Celui-ci nous propose un livret d’épargne, géré par un robot Advisor sur plus de 500 cryptos.

Les rendements annoncés présentent des incohérences significatives. Un taux de 7,2 % net annuel présenté comme garanti nous est premièrement avancé, puis autre discours un gain compris entre 1 % et 2 % net par jour.

L’interlocuteur illustre ces performances par un exemple selon lequel un investissement de 40 000 € aurait été multiplié par quatre en deux ans. Toutefois, ces différentes affirmations sont mutuellement incompatibles et ne reposent pas sur des bases financières crédibles.

Il prendra également quelques informations, notamment le montant potentiel à investir, notre banque et placements actuels, le type de carte bleu et notre âge.

Le montant minimum à investir est de 150€, ce montant est faible et destiné à mettre en confiance la cible, le dépôt se fait via l’intermédiaire de PayPal (nous avons également observé l’utilisation de la plateforme evirtualpay.com).

Nous avons reçu email avec un lien pour effectuer le premier dépôt.

Faute de dépôt nous n’avons pas eu un accès direct à la plateforme, néanmoins le logo dans la signature mail nous donne plusieurs indications, il est identique à celui de gemini.com, qui est une plateforme légitime d’achat/vente crypto et est reconnue par l’AMF.

Il est cependant ici hébergé sur crm.mongemprivate.com, dont le whois (similaire à gestion-gem.com) est enregistré de manière anonyme.

Plusieurs points appellent à vigilance :

• Gestionnaire de patrimoine mais pas de questions relatives au KYC (Vérification d’identité obligatoire), connaissances ou profil de risques
• Rendements garantis
• Enregistrements des domaines anonymes

Les éléments recueillis lors de l’échange téléphonique permettent de rapprocher cette opération d’une typologie bien connue de fraude à l’investissement, communément désignée sous le terme de “boiler room” appliqué aux actifs numériques (crypto).

Dans ce modèle, des opérateurs, souvent organisés en plateaux d’appels, contactent des prospects préalablement qualifiés (leads) afin de les convaincre d’investir dans des produits financiers fictifs ou trompeurs. Le discours repose généralement sur des promesses de rendement élevé, un sentiment d’urgence et une mise en confiance progressive via des montants d’entrée faibles.

Un business bien en place

L’analyse de la landing page utilisée dans la campagne révèle également plusieurs indices indiquant la réutilisation d’anciens composants techniques. La page de confirmation contient notamment un copyright datant de 2014, tandis que certaines ressources externes reposent sur des bibliothèques JavaScript anciennes, telles que jQuery 1.9.1, hébergées sur une infrastructure datant de 2013.

Un répertoire non protégé nous renseigne également sur le nombre de campagnes, leur étendue géographique et leurs objets.

L’analyse de la nomenclature des fichiers fait apparaître plusieurs conventions de nommage :

Acronyme	Désignation
CRP	Crypto / Thématique campagne
AM/GG/etc.	Amazon/Google / Marque usurpée
ES/IT/UK	Country code des marchés visés

Ces éléments suggèrent une continuité opérationnelle sur plusieurs années, ainsi que la réutilisation d’anciens kits au sein d’un même écosystème.

La réutilisation de templates et d’infrastructures existantes est une pratique courante dans les campagnes de fraude financière, car elle permet aux opérateurs de relancer rapidement de nouvelles opérations tout en limitant les coûts de développement.

Éléments techniques suggérant des liens avec MD Lead

Plusieurs éléments techniques de cette campagne suggèrent des similarités avec des opérations précédemment associées à MD Lead.

Plusieurs indicateurs techniques concordent avec une campagne observée en avril 2025, notamment :

• L’utilisation de la plateforme LeadManager dont le domaine leadmanager.fr a été
• historiquement associé à MD Lead
• L’utilisation du même nœud de redirection
• Une infrastructure reposant sur des ressources cloud, notamment chez Amazon
• Des patterns d’URL similaires
• L’utilisation de templates de pages web identiques
• Une victimologie identique

L’investigation dans certaines fonctions du code source HTML du site final pourrait indiquer également le prénom du développeur.

Le code source contient une référence au prénom “Tom”, sans qu’il soit possible d’attribuer formellement cet élément à une personne spécifique.

MD Lead a également été dépositaire du site placementsmart.fr, dédié à la génération de leads sur les panneaux solaires et l’investissement dans des places de parking. Ce site, fermé depuis, est inscrit sur la liste noire de l’AMF.

Bien que cette entreprise soit aujourd’hui déclarée fermée, les éléments techniques observés suggèrent que l’infrastructure et les outils associés continuent d’être exploités dans le cadre de nouvelles campagnes.

Une société au sein d’un écosystème

Sans qu’il soit possible d’établir formellement les relations capitalistiques ou opérationnelles entre les entités, les éléments observés suggèrent que MD Lead s’inscrit dans un écosystème plus large d’acteurs spécialisés dans le marketing publicitaire.

La piste hongkongaise 

En juillet 2024, l’intégralité du capital de MD LEAD est cédée à la société JAYA WEB SEO Ltd, basée à Hong Kong, ce qui entraîne un changement total de contrôle au profit d’un actionnaire étranger. Le même jour, la société est dissoute par transmission universelle de patrimoine (TUP). Ce mécanisme juridique entraîne la disparition de MD LEAD sans liquidation, avec transfert automatique de l’ensemble de ses actifs et passifs à son nouvel associé unique. En l’espace d’une seule opération coordonnée, MD LEAD est à la fois vendue puis absorbée, ce qui met fin à son existence juridique tout en transférant sa substance économique vers la structure hongkongaise.

Jayawardanage Nishantha SANJEEWA, via plusieurs sociétés enregistrées au Royaume-Uni et HongKong, s’est porté acquéreur d’un nombre conséquent de sociétés. Hormis un cluster SEO détenue initialement par la même personne, ces sociétés ne présentent aucun lien entre elles, mais les acquisitions suivent un schéma récurrent.

À ce stade, il n’est pas possible de déterminer si les activités observées ont été effectivement reprises, ni d’établir avec certitude la finalité exacte de ces opérations.

Enseignements principaux 

Cette campagne s’inscrit dans un modèle industriel de fraude à l’investissement, où le phishing sert principalement à alimenter des pipelines de génération de leads.

L’opération repose sur une chaîne structurée : diffusion massive, collecte de données, intégration via des plateformes de leads, puis exploitation par call centers, avec des indices de réutilisation d’infrastructures et de continuité opérationnelle dans le temps.

L’analyse du code source indique un routage des données vers la plateforme LeadManager, elle-même associée à des infrastructures historiquement liées à MD Lead, suggérant des liens avec des acteurs connus de cet écosystème, sans toutefois permettre une attribution formelle à ce stade.

Cette campagne illustre la nécessité d’analyser le phishing comme un point d’entrée dans une chaîne frauduleuse plus large, et non comme une fin en soi.

IOCs 

Type	Value	Description
Domaine	agasters.fr	Domaine utilisé pour l’émission
URL	https://agasters.fr/crap1659FC	Example d’URL
AS	AS16509	Amazon.com, Inc.
Domaine	dynarend.fr	Nœud de redirection
Domaine	coherence-finie.com	Domain final après redirection
URL	https://coherence-finie.com/crypto-amazon2/?subaff_id={ID_campagne}&aff iliateid=SUBAFF&transaction_id=CLICKID /?query={base64}	Pattern URL finale
Outil	leadmanager	CRM utilisé
Domaine	leadmanager.fr	Interface web du CRM leadmanager
Domaine	asimers.fr	Domaine utilisé pour l’émission
Domaine	ajaneks.fr	Domaine utilisé pour l’émission
Domaine	nibistens.com	Domaine utilisé pour l’émission
Domaine	akorel.fr	Domaine utilisé pour l’émission
Domaine	alanets.fr	Domaine utilisé pour l’émission
Domaine	afibande.fr	Domaine utilisé pour l’émission
Domaine	aniverts.fr	Domaine utilisé pour l’émission
Domaine	aristener.fr	Domaine utilisé pour l’émission
Domaine	acinest.fr	Domaine utilisé pour l’émission
Domaine	akamert.fr	Domaine utilisé pour l’émission
Domaine	agorin.fr	Domaine utilisé pour l’émission
Domaine	nidyaton.com	Domaine utilisé pour l’émission
Domaine	adelric.fr	Domaine utilisé pour l’émission
Domaine	alrelis.fr	Domaine utilisé pour l’émission
Domaine	atinafer.fr	Domaine utilisé pour l’émission
Domaine	awister.fr	Domaine utilisé pour l’émission
Domaine	asrelis.fr	Domaine utilisé pour l’émission
Domaine	apevion.fr	Domaine utilisé pour l’émission
Domaine	ajnorel.fr	Domaine utilisé pour l’émission
Domaine	atuvorel.fr	Domaine utilisé pour l’émission
Domaine	apariser.fr	Domaine utilisé pour l’émission
Domaine	nicareste.com	Domaine utilisé pour l’émission
Domaine	azanber.fr	Domaine utilisé pour l’émission
Domaine	ahvion.fr	Domaine utilisé pour l’émission
Domaine	anarelis.fr	Domaine utilisé pour l’émission
Domaine	adiverts.fr	Domaine utilisé pour l’émission
Domain	amaniste.fr	Domaine utilisé pour l’émission
Domain	afrynel.fr	Domaine utilisé pour l’émission
…
Phone	0162142189	Numéro d’appel utilisé par le call center
Email	[email protected]	Email utilisé par le call center
Domain	gestion-gem.com	Domaine utilisé par le call center
Domain	mongemprivate.com	Domaine d’investissement crypto frauduleux

Références

MD LEAD 

Information de MD lead

Leadmanager

Web Archive

Product Lead Image file

txt-file

finance-master.fr

signal-arnaques.com

placementsmart.fr 

amf-france.org

Whoisfreaks.com

adcfrance.fr

HK Tracks

Company information