Aller directement au contenu
sextorsion
Produits et Services PRODUITS & SERVICES

Une escroquerie sur internet qui connait votre mot de passe. Ne vous faites pas avoir !

Un individu a envoyé un scam, en utilisant une nouvelle technique, visant à rendre cette escroquerie sur internet plus réaliste. La nouveauté avec cette tentative de sextorsion c'est qu'elle rajoute un paramètre : elle contient un vrai mot de passe utilisé par la victime !

Un individu a envoyé un email de sextorsion, en utilisant une nouvelle technique, visant à rendre cette escroquerie sur internet plus réaliste, afin de vous duper en vous incitant à verser de l’argent suite au chantage mis en place.

L’un de ces emails est arrivé chez Sophos hier, grâce à l’un de nos lecteurs assidus, au même moment où Brian Krebs faisait état de cette histoire sur son site.

Il prétend avoir des images compromettantes du destinataire et poursuit en demandant de l’argent afin d’éviter aux images d’être publiquement divulguées. Tenter de manipuler les victimes en prétendant avoir des images compromettantes est connu sous le nom de sextortion, et elle a été utilisée pendant des années. La nouveauté avec cette escroquerie sur internet, c’est qu’elle rajoute un paramètre : elle contient un vrai mot de passe utilisé par la victime.

Voici l’email en question :

Je sais que, [MOT DE PASSE DE LA VICTIME], est votre mot de passe. Vous ne me connaissez pas et vous vous demandez probablement pourquoi vous recevez cet email, n'est-ce pas ?

En fait, j'ai placé un malware sur un site web (pornographique) de vidéos pour adultes et vous savez quoi, je sais que vous avez visité ce site web pour vous amuser (vous voyez ce que je veux dire). 
Pendant que vous regardiez ces vidéos, votre navigateur internet a commencé à fonctionner comme un RDP (PC distant) doté d'un keylogger qui m'a permis d'accéder à votre écran et à votre webcam. 
Ensuite, mon logiciel a obtenu tous vos contacts depuis votre Facebook Messenger, ainsi que les emails associés.

Qu'est-ce que j'ai fait exactement ?

J'ai réalisé une vidéo en double-écran. La première affiche la vidéo que vous avez visionnée (vous avez bon goût !!!), et la deuxième affiche l'enregistrement issu de votre webcam.

Que devez-vous faire exactement ?

Eh bien, je crois que 2900 $ (environ 2472€) est un prix raisonnable pour notre petit secret. 
Vous pouvez effectuer le paiement via Bitcoin (si vous ne savez pas comment faire, faites une recherche sur Google "comment acheter des bitcoins").

Adresse BTC: 19ZFj3nLSJCgoAcvZSgxs6fWoEmvJhfKkY
(Les majuscules sont importantes, donc merci de la copier/coller)

Important:
Vous avez un jour pour effectuer le paiement (j'ai un tracker dans ce message, et maintenant je sais que vous avez lu cet email). 
Si je ne reçois pas les BitCoins, j’enverrai votre vidéo à tous vos contacts, y compris à vos parents, vos collègues, et ainsi de suite. 
Par contre, si je reçois le paiement, j’effacerai la vidéo immédiatement. Si vous voulez une preuve, répondez par "Oui!" et j’enverrai votre vidéo à 9 de vos amis. 
C'est une offre non négociable, cela étant dit ne me faites pas perdre mon temps et ne gaspillez pas le vôtre en répondant à cet email.

La puissance d’un mot de passe

Beaucoup de gens, même ceux qui pensent qu’ils auraient pu être vus dans une position compromettante, seraient en fait trop blasés pour se faire avoir par cette escroquerie sur intérêt sans preuve. Le fait d’intégrer un vrai mot de passe peut sembler plus convaincant, ce qui pourrait d’ailleurs être suffisant pour tromper certaines personnes.

Plusieurs personnes ont envoyé à Krebs des copies de l’email qu’ils avaient reçu, et dans tous les cas les mots de passe avaient plus de dix ans. La personne qui nous a transmis ce message nous avait également dit que le mot de passe était ancien.

Mais néanmoins, comment ont-ils obtenu ces mots de passe ?

Krebs a mentionné des services de recherche en ligne malveillants qui peuvent récupérer ces données pour vous. L’autre option est que le cybercriminel ait eu accès à une liste de mots de passe compromis provenant de l’une des nombreuses violations de données survenues au cours de la dernière décennie.

Les sites web ne sont pas censés stocker les mots de passe en clair, mais malheureusement, certains le font encore et il y a dix ans, c’était encore plus commun.

Même lorsque les sites stockent vos mots de passe de manière sécurisée, les cybercriminels disposant d’une liste de mots de passe hachés peuvent lancer une attaque par dictionnaire sur la liste volée, essayant des millions de mots de passe les plus probables, et ce pour chaque utilisateur.

Si vous avez changé votre mot de passe avant que les cybercriminels ne le crackent, alors vous avez gagné : l’ancien mot de passe volé ne peut plus être utilisé pour se connecter, mais si vous ne saviez pas (ou n’avez pas été mis au courant) qu’une telle faille avait eu lieu, les cybercriminels pourraient toujours essayer de tenter leur chance.

Même si les cybercriminels ne peuvent pas se connecter avec votre mot de passe après l’avoir cracké, ils le connaissent tout de même, c’est pourquoi vous ne devriez jamais utiliser les mêmes mots de passe, ou même des mots de passe similaires, sur différents sites.

Et, comme le montre cette escroquerie sur internet, même un ancien mot de passe, que vous n’utilisez plus, a une valeur d’”intimidation” pour les cybercriminels. En effet, le fait qu’ils connaissent l’un de vos anciens mots de passe reste plutôt dérangeant, c’est le moins que l’on puisse dire !

Il existe d’autres éléments qu’il convient de souligner dans ce message. Le premier est qu’il a apparemment réussi à contourner les filtres de messagerie de Gmail, probablement à cause d’un texte aléatoire inclus plus bas dans le message.

Le second est que certains détails varient selon les différentes copies de l’email. L’adresse email de l’expéditeur (soit dans le champ “répondre à” ou dans un autre cas inclus dans le texte de l’email) change. Le montant de la rançon change également, tout comme l’adresse bitcoin.

Apparemment, les gens se sont avoir par cette arnaque. Même si au moment d’écrire cet article, l’adresse Bitcoin mentionnée dans notre email n’avait pas reçu d’argent, certaines autres mentionnées dans les emails de Krebs en avaient reçu. Une adresse indique une transaction pour 0,28847409 BTC le 6 juillet 2018. Au cours du jour, la transaction aurait été d’environ 1900$ (à peu près 1620€). Une autre adresse apparemment utilisée dans un email plus ou moins identique aurait reçu 0.207145 BTC, soit environ 1300$ (soit environ 1110€), le 9 juillet 2018.

Il est très peu probable qu’il s’agisse des seules adresses de cryptomonnaie utilisées. Au final, vous obtenez un petit stratagème plutôt rentable pour un individu avec beaucoup de temps, quelques notions de script, et surtout aucune âme !


Billet inspiré de Sextortion scam knows your password, but don’t fall for it, sur Sophos nakedsecurity.

29 commentaires

reçu le même message en anglais hier. Y a-t-il des cas connu ou l’envoi au contact a eu lieu? comment être sur que c’est une arnaque? quelqu’un peut-il me renseigner?

Répondre

Bonjour
Même mail reçu de: Bertrando Meulbroek !!

Pensez-vous qu’il y a moyen de nous dire
1) quelques étapes à suivre pour dénoncer légalement ces gens? par exemple: a) les spamer mais surtout écrire à Gmail b) dans le cas présent, il utilise une adresse outlook. je vais également contacter outlook pour déposer plainte. c) aller à la section crime / éxcroquerie informatique et informer/ déposer plainte…. etc. Dire juste ouff, finalement c’est juste une escroquerie et rien faire d’autre c’est les encourager et manquer de civisme. C’est comme attraper un voleur essayant d’ouvrir votre porte mais pas de chance pour lui ! Mais il ira certainement chez le voisin ! :-)
2) comment on peut être surs que c’est une harangue sans conséquences? perso, suis jeune mère au foyer, donc entre la veilleuse pour dodo bébé et achat de lait en poudre, je ne m’enquête pas trop de la véracité de ce message. Mais je me pose quand même la question !
Merci d’avance à celui qui aura le courage de réponde :-)

Répondre

Reçu un mail similaire ce jour. Le mot de passe annoncé est bien exact. Par contre, j’ai utilisé ce mot de passe sur plusieurs sites (je sais, c’est pas malin).
Je suis sûre que la menace est bidon, par contre je m’inquiète de savoir quelles autres données ont pu être captées. Peut-on savoir sur quel site le mot de passe a été récupéré?
Quelles utilisations de ce mot de passe peuvent être faites?
Merci de vos réponses.
Nota: j’ai changé le mot de passe.

Répondre

Bonjour. Je me suis posé les mêmes questions. En lisant sur gmail/google sécurité des comptes et autres articles liés au sujet, ils disent tous que rien n’a vraiment été piraté si vous n’avez pas regardé leur link ou image attaché. L’ouverture de ce mail n’est apparemment pas suffisante pour affecter votre ordi! Après, je ne sais pas comment ils ont fait pour obtenir un mot de passe qui est juste, mais apparemment ça ne va pas plus loin que ça. Un autre détail: n’oubliez pas de faire une déclaration de mail d’hameçonnage sur le site officiel de votre pays. Ça aide beaucoup à bloquer leurs adresses et tentatives.

Répondre

Bonjour
Me concernant j en reçois sur ma boîte pro depuis quelques semaines, le mot de passe qu ils affichent ne me dit rien du tout, je ne l ai jamais utilisé. Ça doit faire le 4 ou 5 eme que je reçois depuis cet été. Mieux, sur un des mails reçu ils affichent mon adresse mail pro avec ma photo, je change de mot de passe très régulièrement

Répondre

Bonjour,
Reçu ce jour un courriel similaire, en anglais. Mon mot de passe est presque le bon.
Ce qui m’a vraiment étonné, c’est que le courriel a été ENVOYÉ AVEC MA PROPRE ADRESSE Gmail.
Comme besanconcoworking, j’aimerais savoir s’il est possible de connaître le site internet sur lequel a été récupéré le mot de passe. Peuvent-ils avoir eu accès aux identifiants et/ou mot de passe de ma banque ?
Merci d’avance pour vos réponses.

Répondre

J’ai reçu le même e-mail que toi, il à quelques jours. RAS jusque maintenant
Je ne m’en suis pas rendu compte car le mail est arrivé sur une boite que je n’utilise quasiment plus.
Mais bon comme tu dis, étonnant UN DE MES VIEUX MOT DE PASSE et ENVOYER AVEC MA PROPRE ADRESSE MAIL. As tu eu des nouvelles depuis ton poste?
Merci

Répondre

Bonjour, message reçu hier également.
J’ai plusieurs sites porno qui sont apparus sous forme de pop up la semaine dernière. Je les ai automatiquement fermés.
Et là, je reçois ce mail….
Inquiet donc que mon téléphone soit piraté, mes comptes bancaires, le contenu de mon téléphone, …
Il s’agit bien d’un mail envoyé à de nombreuses personnes sans qu’aucune prise en main à distance de mon smartphone soit possible ?
Qu’en pensez vous ? dois je m’inquiéter ?

Répondre

bonjour pareil pour moi j’en suis au deuxième envoi
anecdote il m’a filmé avec ma web-cam elle ne fonctionne plus débranché depuis 1 an tout son baratin n’apparaît pas malgré le copié collet il me réclame 520 € en bitcoin le texte est identique à celui plus haut j’ai nettoyé mon disque avec Web doctor il y avait 5 virus
Message du 28/01/19 15:56
> De : “Shannon BRUNEL”
> A : “fo.r.e.u jean”
> Copie à :
> Objet : hacker
>
>
>
1HaHajseLZar5MhAh8hbTn1oyWxE3mwbpK
>
>

bronplesh prooptpask

>
> [ zara-zara4.gif (0.3 Ko) ]
> [ zara-zara5.gif (0.3 Ko) ]

Répondre

après avoir reçu ses 2 messages j’ai cherché sur Internet et téléchargé Web doctor et Malwarebytes c’est gratuit 14 jours j’ai nettoyé et pour l’instant plus aucune nouvelle il faut je présume attendre qu’il réagisse ou il ne peut plus .

Répondre

Bonjour,
J’ ai le même email hier soir, il me réclame 520 euros. Que faire??????????

Répondre

Rien… ou plutôt : supprimer le courriel, et continuer à vivre ! réfléchissons : Si quelqu’un détenais des éléments compromettants à votre sujet (encore faut-il se demander si la consultation de sites pornographique est compromettante : ce n’est pas illégal ) et qu’il souhaite vous faire chanter : il vous adresserait ces clichés, ces vidéos où vous apparaissez et vous montrerait qu’il dispose de la liste de vos contact… Ce message n’est pas du tout personnalisé et est visiblement diffusé à grande échelle : nul et non advenu !

Répondre

En effet ne surtout pas répondre, il n’y a rien à faire à part ignorer et dénoncer ces mails, et par sécurité changer vos MDP :)

Répondre

pour la 3 ième j’ai repassé Web doctor il n’y avait rien donc c’est vraiment de la tentative d’extorsion de très petite envergure

Répondre

ici en Belgique ils sont moins gourmands, il demande a ma femme 250€.

Bon, outre le fait que j’ai envie de leur répondre d’aller se faire foutre, je vais changer ce mot de passe et c’est tout, pas de crainte a avoir.

Répondre

j ai recu le meme message je suis aller a la gendarmerie ils m ont dit de changer de mots de passe et de ne pas donner suite au message de laisser tomber ont peut porter plainte seulement si ont leur a verser de l argent a ne surtout pas faire juste passer votre route et changer votre mots de passe !!!

Répondre

Bonjour,

J’ai reçu ce mail dans mes courriers indésirable, vendredi (1er mars 2019) mais je l’ai reçu avec MON adresse mail. Comme si je m’étais envoyé un mail à moi même.. Comment arrivent-ils à m’envoyer des mails avec ma propre adresse mail??? De plus le mot de passe qu’ils y ont indiqué est faut ce qui m’a rassuré d’un point vu confidentialité de données.

Merci par avance pour vos lumières!

Répondre

Bonsoir,
J’ai reçu le mèl en anglais le 10 avril 2020, un ancien mot de passe presque correct apparaît dans le titre.
Ne jamais payer, même s’ils ont des preuves, ça serait mettre le doigt dans un engrenage sans fin.
Effacez, bloquez, changez MDP, oubliez

Répondre

Laisser un commentaire à Anonymous Cancel reply

Your email address will not be published. Required fields are marked *