Sextorsion : Des scammeurs piratent des blogs et les victimes passent à la caisse !

Arnaques Internet

Des scammeurs spécialisés dans la sextortion avaient d’abord commencé à pirater des sites hébergeant des blogs mal gérés ou bien abandonnés, afin de développer une activité qui s’avère être vraiment très rentable.

sextorsion

Ils ont maintenant commencé à publier leurs propres messages sur des sites WordPress et Blogger, en essayant de faire croire aux internautes qu’ils ont été filmés en train de visionner du contenu pornographique et en exigeant ensuite une rançon en bitcoin.

Les messages, qui apparaissent sous forme de publication sur le blog et qui émanent des administrateurs, prennent des formes variées, mais ils disent tous, à la base, la même chose : nous avons accédé à votre ordinateur et nous vous avons filmé dans une posture compromettante à l’aide de votre webcam. Envoyez des bitcoins à notre adresse et nous détruirons les preuves.

Bleeping Computer a recherché des expressions communes à de nombreuses publications de type sextorsion et a finalement trouvé près de 1 500 résultats sur Blogspot, le fournisseur de service de domaine gratuit fréquemment utilisé pour héberger des blogs sous Blogger. Il a également trouvé environ 200 visites sur des sites WordPress. Ces deux derniers sont des services d’hébergement de blog en ligne, mais nous n’avons trouvé aucun résultat montrant des blogs auto-hébergés compromis.

Les publications affichaient des titres tels que “Attention danger. Votre compte a été attaqué” et “Avertissement de sécurité. Un individu a eu accès à votre système“. Ils ont commencé avec des messages tels que :

Comme vous l’avez peut-être remarqué, je vous ai envoyé un email à partir de votre compte.  

Cela signifie que j’ai un accès complet à votre appareil.  

Il s’agit d’un mode opératoire différent de celui des autres versions de ces escroqueries en ligne initiées par email, qui contiennent généralement l’un des mots de passe de la victime récupéré à partir d’une liste de mots de passe piratés. L’attaquant a peut-être piraté le compte utilisé pour gérer le site hébergé en compromettant la machine d’un administrateur, ou plus vraisemblablement en utilisant une simple attaque de type credential stuffing.

Un coup d’œil sur certains de ces blogs révèle pas seulement un spam, mais plusieurs, traitant de sextorsion, mais concernant aussi d’autres escroqueries, allant des arnaques aux sentiments jusqu’aux prêts autos. Un site que nous avons visité nous a également redirigés vers la fausse page d’un antivirus. Certains blogs affichaient encore des publications de type spam mises en ligne il y a un an ou plus. Nous encourageons nos lecteurs à ne pas rechercher de tels blogs ni à les visiter, au cas où certains des pirates auraient incorporé des malwares de type drive-by download dans leurs publications.

Les sites avaient autre chose en commun : beaucoup d’entre eux avaient été abandonnés. Dans certains cas, il n’y avait pas eu de publication officielle depuis un an ou plus.

Nous avons contacté les propriétaires de l’un de ces sites oubliés et hébergés sur WordPress, qui étaient restés en veille de 2014 à 2017. La publication la plus récente, une tentative de sextorsion, était datée du 26 février 2019.

Nous ne l’utilisons pas réellement“, a déclaré la personne que nous avons contactée lorsque nous lui avons dit que son site était utilisé par un tiers, avant de préciser que tous les détails pour accéder au site se trouvaient sur un ordinateur dans son bureau, mais que l’administrateur était absent. Alors, nous lui avons conseillé de vérifier la sécurité du site et elle nous a répondu : “Je le ferai, si j’ai une minute, mais cela arrive rarement“.

Les sites oubliés comme ceux-ci, gérés par des personnes ne disposant ni des ressources ni de l’expertise pour le faire correctement, semblent être la cible principale des scammeurs spécialisés dans la sextorsion mais aussi d’autres spammeurs. Est-ce qu’ils essaient de cibler les propriétaires des sites ou les visiteurs ? Probablement les deux, pourvu que quelqu’un clique sur un lien frauduleux ou envoie des bitcoins sur leur adresse.

La vague actuelle d’escroqueries à la sextorsion a commencé avec des cybercriminels envoyant des emails, parfois à partir des adresses électroniques des victimes, qui utilisaient de vieux mots de passe, compromis depuis longtemps, comme une fausse “preuve” que l’ordinateur du destinataire a bien été piraté. Les escrocs ont-ils maintenant compris que l’utilisation de ces mêmes mots de passe pour compromettre des blogs sans surveillance était une forme de preuve plus convaincante ?

Les faits parlent d’eux-mêmes car effectivement les gens paient. L’adresse affichée au niveau du blog abandonné a collecté 4,5 bitcoins (38 000€). Cette dernière a reçu le premier versement à la même date que la publication de sextorsion est apparue sur le site. C’est l’une des dizaines d’adresses apparaissant sur différents blogs. Ces fonds pourraient également provenir de victimes de sextorsion par email, bien sûr, ou par d’autres sources, mais il est triste de dire que pour ces agresseurs, le crime semble réellement payer.

Regardez dès maintenant cette vidéo

La vidéo ci-dessous contient des réponses aux questions suivantes :

  • Que se cache-t-il derrière ces menaces ?
  • Est-ce un problème si des cybercriminels connaissent mon mot de passe ou d’autres données personnelles ?
  • Est-il vraiment possible d’être suivi par email comme le prétendent les cybercriminels ?
  • Existe-t-il toujours un risque si je ne regarde pas de contenu pornographique ?
  • Dois-je signaler ces emails à mon FAI ?
  • Et quelles sont les prochaines étapes ?

Cette mésaventure vous est-elle arrivée ? Faites-le nous savoir dans les commentaires.


Billet inspiré de Sextortion scammers are hijacking blogs – and victims are paying up, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.