Un individu a envoyé un email de sextorsion, en utilisant une nouvelle technique, visant à rendre cette escroquerie sur internet plus réaliste, afin de vous duper en vous incitant à verser de l’argent suite au chantage mis en place.
L’un de ces emails est arrivé chez Sophos hier, grâce à l’un de nos lecteurs assidus, au même moment où Brian Krebs faisait état de cette histoire sur son site.
Il prétend avoir des images compromettantes du destinataire et poursuit en demandant de l’argent afin d’éviter aux images d’être publiquement divulguées. Tenter de manipuler les victimes en prétendant avoir des images compromettantes est connu sous le nom de sextortion, et elle a été utilisée pendant des années. La nouveauté avec cette escroquerie sur internet, c’est qu’elle rajoute un paramètre : elle contient un vrai mot de passe utilisé par la victime.
Voici l’email en question :
Je sais que, [MOT DE PASSE DE LA VICTIME], est votre mot de passe. Vous ne me connaissez pas et vous vous demandez probablement pourquoi vous recevez cet email, n'est-ce pas ? En fait, j'ai placé un malware sur un site web (pornographique) de vidéos pour adultes et vous savez quoi, je sais que vous avez visité ce site web pour vous amuser (vous voyez ce que je veux dire). Pendant que vous regardiez ces vidéos, votre navigateur internet a commencé à fonctionner comme un RDP (PC distant) doté d'un keylogger qui m'a permis d'accéder à votre écran et à votre webcam. Ensuite, mon logiciel a obtenu tous vos contacts depuis votre Facebook Messenger, ainsi que les emails associés. Qu'est-ce que j'ai fait exactement ? J'ai réalisé une vidéo en double-écran. La première affiche la vidéo que vous avez visionnée (vous avez bon goût !!!), et la deuxième affiche l'enregistrement issu de votre webcam. Que devez-vous faire exactement ? Eh bien, je crois que 2900 $ (environ 2472€) est un prix raisonnable pour notre petit secret. Vous pouvez effectuer le paiement via Bitcoin (si vous ne savez pas comment faire, faites une recherche sur Google "comment acheter des bitcoins"). Adresse BTC: 19ZFj3nLSJCgoAcvZSgxs6fWoEmvJhfKkY (Les majuscules sont importantes, donc merci de la copier/coller) Important: Vous avez un jour pour effectuer le paiement (j'ai un tracker dans ce message, et maintenant je sais que vous avez lu cet email). Si je ne reçois pas les BitCoins, j’enverrai votre vidéo à tous vos contacts, y compris à vos parents, vos collègues, et ainsi de suite. Par contre, si je reçois le paiement, j’effacerai la vidéo immédiatement. Si vous voulez une preuve, répondez par "Oui!" et j’enverrai votre vidéo à 9 de vos amis. C'est une offre non négociable, cela étant dit ne me faites pas perdre mon temps et ne gaspillez pas le vôtre en répondant à cet email.
La puissance d’un mot de passe
Beaucoup de gens, même ceux qui pensent qu’ils auraient pu être vus dans une position compromettante, seraient en fait trop blasés pour se faire avoir par cette escroquerie sur intérêt sans preuve. Le fait d’intégrer un vrai mot de passe peut sembler plus convaincant, ce qui pourrait d’ailleurs être suffisant pour tromper certaines personnes.
Plusieurs personnes ont envoyé à Krebs des copies de l’email qu’ils avaient reçu, et dans tous les cas les mots de passe avaient plus de dix ans. La personne qui nous a transmis ce message nous avait également dit que le mot de passe était ancien.
Mais néanmoins, comment ont-ils obtenu ces mots de passe ?
Krebs a mentionné des services de recherche en ligne malveillants qui peuvent récupérer ces données pour vous. L’autre option est que le cybercriminel ait eu accès à une liste de mots de passe compromis provenant de l’une des nombreuses violations de données survenues au cours de la dernière décennie.
Les sites web ne sont pas censés stocker les mots de passe en clair, mais malheureusement, certains le font encore et il y a dix ans, c’était encore plus commun.
Même lorsque les sites stockent vos mots de passe de manière sécurisée, les cybercriminels disposant d’une liste de mots de passe hachés peuvent lancer une attaque par dictionnaire sur la liste volée, essayant des millions de mots de passe les plus probables, et ce pour chaque utilisateur.
Si vous avez changé votre mot de passe avant que les cybercriminels ne le crackent, alors vous avez gagné : l’ancien mot de passe volé ne peut plus être utilisé pour se connecter, mais si vous ne saviez pas (ou n’avez pas été mis au courant) qu’une telle faille avait eu lieu, les cybercriminels pourraient toujours essayer de tenter leur chance.
Même si les cybercriminels ne peuvent pas se connecter avec votre mot de passe après l’avoir cracké, ils le connaissent tout de même, c’est pourquoi vous ne devriez jamais utiliser les mêmes mots de passe, ou même des mots de passe similaires, sur différents sites.
Et, comme le montre cette escroquerie sur internet, même un ancien mot de passe, que vous n’utilisez plus, a une valeur d’”intimidation” pour les cybercriminels. En effet, le fait qu’ils connaissent l’un de vos anciens mots de passe reste plutôt dérangeant, c’est le moins que l’on puisse dire !
Il existe d’autres éléments qu’il convient de souligner dans ce message. Le premier est qu’il a apparemment réussi à contourner les filtres de messagerie de Gmail, probablement à cause d’un texte aléatoire inclus plus bas dans le message.
Le second est que certains détails varient selon les différentes copies de l’email. L’adresse email de l’expéditeur (soit dans le champ “répondre à” ou dans un autre cas inclus dans le texte de l’email) change. Le montant de la rançon change également, tout comme l’adresse bitcoin.
Apparemment, les gens se sont avoir par cette arnaque. Même si au moment d’écrire cet article, l’adresse Bitcoin mentionnée dans notre email n’avait pas reçu d’argent, certaines autres mentionnées dans les emails de Krebs en avaient reçu. Une adresse indique une transaction pour 0,28847409 BTC le 6 juillet 2018. Au cours du jour, la transaction aurait été d’environ 1900$ (à peu près 1620€). Une autre adresse apparemment utilisée dans un email plus ou moins identique aurait reçu 0.207145 BTC, soit environ 1300$ (soit environ 1110€), le 9 juillet 2018.
Il est très peu probable qu’il s’agisse des seules adresses de cryptomonnaie utilisées. Au final, vous obtenez un petit stratagème plutôt rentable pour un individu avec beaucoup de temps, quelques notions de script, et surtout aucune âme !
Billet inspiré de Sextortion scam knows your password, but don’t fall for it, sur Sophos nakedsecurity.