Agence de communication : Sites internet & Supports papier - IRISIO

Sextortion/Scam : "Ceci concerne la question de votre sécurité" (Chantage à la webcam)

Sextortion/Scam : "Ceci concerne la question de votre sécurité" (Chantage à la webcam)

Depuis quelques jours une campagne d'arnaque par email est en cours. Sous le titre "Ceci concerne la question de votre sécurité", les auteurs de cette campagne prétendent, dans un français approximatif, avoir pris le contrôle de votre "appareil" et détenir des vidéos compromettantes...

Espérant effrayer les destinataires, les auteurs menacent de diffuser ces vidéos et proposent d'effacer toutes les données en échange d'un virement de l'équivalent de 250$ vers un portefeuille Bitcoin, cette fameuse "monnaie numérique décentralisée"... 

Misant sur la crédulité des lecteurs, cette arnaque repose sur une manipulation classique : après une affirmation/menace effrayante, une solution est proposée et cette méthode porte même un nom : "problème-réaction-solution".

L'espoir des escrocs est de voir tomber dans le panneau les moins biens informés d'entre nous, ce qui peut tout à fait devenir rentable si leur nombre est suffisant...
En pistant la référence du portefeuille Bitcoin, on peut découvrir que 14 transactions ont été enregistrées ces derniers jours... ce sont donc peut être autant de "victimes" qui ont rapporté l'équivalent de plus de 2600€ à nos "scammeurs".
Ainsi si les auteurs de cette campagne de scam sont parvenus à envoyer des millions d'emails, ils peuvent s'attendre à une certaine rentabilité... 

1536935602.scam.bitcoin.jpg

Que faire ?

Déjà, ne pas paniquer et ne pas payer.
Quand bien même les allégations seraient fondées, rien ne dit qu'après avoir payé cette première rançon les arnaqueurs ne fassent pas monter les enchères, ni qu'ils effaceront réellement les données au final. Souvenez-vous, si leurs dires sont vrais, ce sont des arnaqueurs en train de vous faire chanter...

À part classer ces emails dans vos spams, il n'y a pas grand chose à faire...

Ces emails sont des spams envoyés via des serveurs toujours différents ; bloquer les IPs de ces serveurs n'a donc que peu d'effet.

De notre coté, ces emails sont déjà détectés et étiquetés par nos serveurs mail comme spam...

Pour nos clients, un outil est en place et permet de filtrer les spams dans leur "client mail"

Chaque mail est analysé et marqué d'une entête indiquant si le mail est un spam ou non.
Dans l'objectif de ne perdre aucun message, cet outil analyse mais ne filtre/supprime aucun message, tous les messages sont donc remis dans vos boites mails.
Afin de bénéficier d'un filtrage antispam, vous devez donc configurer votre client mail (outlook, thunderbird, mail, ...) pour qu'il tienne compte du marquage et filtre les messages marqués de l'entête spam.

Légalement, il n'y a pas grand chose à faire non plus car ces serveurs sont situés dans divers pays, ils ont très certainement été piratés et utilisés à l'insu de leurs "propriétaires" pour envoyer ces emails. Ainsi, les chances de voir aboutir une quelconque "mesure légale" est illusoire et surtout ne pourrait intervenir que dans plusieurs mois voire années...

À qui signaler cette arnaque ? 

Peut être sur internet-signalement.gouv.fr mais il renvoient, dans le cas d'arnaques reçues par email, vers les acteurs classiques de la lutte contre le spam comme signal-spam.fr. [cf ci-dessous : mise à jour du 04/02/2019]

En complément, on peut également signaler ces arnaques sur des sites d'information comme signal-arnaques.com où l'arnaque a déjà été signalée il y a quelques heures...

Enfin le site bitcoinabuse.com enregistre les plaintes en lien avec les "adresses bitcoin", y signaler l'adresse bitcoin qui vous a été indiqué dans le mail peut, peut être permettre à d'autres d'éviter de tomber dans le panneau...

Bref, individuellement, le plus efficace reste encore de mettre en pause ses émotions et d'allumer son esprit-critique : Quelles sont les chances réelles que vous soyez victime de ce que proclame cet email ?

 

[Mise à jour]

Sur une adresse email "piège à spam" nous avons reçu plus de 50 fois le même message "Ceci concerne la question de votre sécurité." à destination d'adresses différentes...
Preuve supplémentaire que l'envoi de ces emails est bien "massif et non ciblé" et donc le message forcément non fondé...
1536942925.scam.votre.securite.x50.jpg

[Mise à jour : 18/09/2018]

Le bilan des transactions enregistrées par le portefeuille Bitcoin est passé à 0.85094967 BTC soit environ 4500€ mais après un "pic" de 3 jours avant le week-end ce compte semble maintenant revenu à un calme plat...

C'était sans compter sur l'incroyable inventivité des auteurs de scam...

On assiste donc depuis ce mardi matin à une nouvelle vague très similaire de mails sous les titres : "Votre compte a été piraté!", "Supprimez ce message après la lecture!", "Votre compte" ou encore "Votre vie secrète"... Les affirmations et menaces sont les mêmes, la construction est vraiment similaire aux précédents emails, le montant à verser a augmenté à 300$ et le portefeuille bitcoin a changé... Ce nouveau portefeuille est encore "vide", voyons si cette nouvelle vague sera aussi "profitable"...

 

[Mise à jour : 17/10/2018]

Même schéma, nouvel email mais les tarifs montent encore, on est passé à 501$.

Avec le titre " is hacked" l'expéditeur ajoute une preuve irréfutable du piratage : "I hacked this mailbox more than six months ago (...) If you don't belive me please check 'from address' in your header, you will see that I sent you an email from your mailbox." (les fautes sont authentiques). Ce qui donne en français : "J'ai piraté cette boite mail il y a 6 mois (...) Si vous ne me croyez pas vérifiez l'adresse d’expéditeur de ce mail, vous constaterez que je l'ai envoyé via votre boite mail"...

Certes, Thunderbird, mon client mail, m'affiche une adresse d'expéditeur identique à l'adresse sur laquelle j'ai reçu ce nouvel email, mais, ne vous y laissez pas prendre, ce n'est absolument pas le cas...
C'est ce qui s'appelle de la "forge d'adresse email" (email address spoofing) c'est une technique extrêmement simple qui permet effectivement de modifier l'expéditeur (FROM) mais pour qui sait lire les entêtes d'un email la supercherie ne tient pas 3 secondes. En effet les entêtes d'un email contiennent une trace du serveur expéditeur de l'email et dans notre cas l'IP d'origine est en Colombie...

Bref ne vous laissez pas abuser par ce "nouveau subterfuge" même si à première vue c'est bien votre adresse email qui est présentée comme expéditeur ce n'est pas forcément le cas...

 

[Mise à jour : 08/11/2018]

Nouvelle vague ce matin sous le titre original : "Ceci concerne la question de votre sécurité.".
Presque 2 mois après le message original il y a toujours l’ultimatum de 2 jours #crédibilitéMaximum...

 

[Mise à jour : 11/12/2018]

Un nouvel avatar du mail initial, une version originale car notre auteur-arnaqueur commence par s'excuser ... de son orthographe... "Excusez-moi, mais ceci est un braquage, ayez l’obligeance de lever les mains".

Ici encore, si on paye on a l'assurance de voire les données effacées (sic), par contre rien n'est précisé concernant le virus (re sic), celui-ci doit certainement rester installé sur notre ordinateur certainement une garantie pour pouvoir assurer le service après-arnaque...

1544527426.must.read.porno.scam.jpg

 

[Mise à jour : 28/01/2019]

Les antispams aidant, ce filon doit commencer à s'épuiser, et le format de ces emails - jusque là en texte - vient de changer pour s'afficher sous forme d'image.
Tentant ainsi de camoufler les mots clefs incriminants qui permettraient aux antispams de reconnaître ces emails...

1548668210.arnaque.email.spam.video.mast

Cette image est accompagné d'un court texte donnant des détails sur le mode de paiement et se concluant par : 

1548668210.arnaque.email.spam.video.mast

N'étant plus à une contradiction prêt le message passe de : "N'essayez pas d'entrer en contact avec moi" à "Si vous avez besoin de preuve répondez par "oui!" "...
"... envoyer l'enregistrement à 6 de mes contacts", gratuitement, voilà une offre tentante...

 

[Mise à jour : 04/02/2019]

Nouvelle variante sous le titre "This account has been hacked! Change your password right now!" (Ce compte a été piraté ! Changez votre mot de passe dès maintenant !)

1549287296.this.account.has.been.hacked.

Rien ne nouveau sur le fond, le schéma reste le même. Le message devient plus technique, notre pirate prend de la bouteille et ses prétentions augmentent et passent ici la barre des 1000$.

Autre point intéressant il est fait mention d'un "image espion" - plus particulièrement le "Facebook pixel" - qui est effectivement un outil de pistage d'ouverture des emails... On ne rentrera pas dans les détails, mais si votre client mail vous affiche de temps en temps des messages du type "Pour protéger votre vie privée, [client mail] a bloqué l'affichage du contenu distant dans ce message. " c'est à ce type d'image-espion que s'oppose ce type de mesure de protection, et c'est bien... Par contre ici ce sont encore des menaces en l'air, le mail en question ne contient pas une seule image... Ils s'ont vraiment distrait, ça manque de sérieux tout ça...

Sinon deux articles viennent de remonter dans nos flux ce matin : 

 

[Mise à jour : 11/02/2019]

Nouvelle variante sous le titre "Please dont make an even more fool of yourself" mais notre antispam n'est pas dupe, en lui attribuant un "spam score" de 11.88 - la frontière non-spam/spam étant aux alentour de 6 points - il classe clairement cette nouvelle variante en tant que spam...

1549873197.capture.d.ecran_2019.02.11_09

 

[Mise à jour : 14/02/2019]

Nouvel article sur le sujet chez ZdNet : Arnaque Sexcam : c’est dans les vieux pots qu’on fait les meilleurs scams où on apprend entre autres :

 

[Mise à jour : 18/02/2019]

 Illustration de la technique décrite dans l'article de ZdNet, voici une variante contenant un "ancien vrai mot de passe" :

1550479999.capture.d.ecran_2019.02.18_09

 

[Mise à jour : 01/03/2019]

J'ai une bonne et une bonne nouvelle : Un nouvel épisode est arrivé et il est de qualité !

1551435557.capture.d.ecran_2019.03.01_11

Où l'on constate que le montant demandé commencerait à baisser, ils ont peut être trouvé le "prix psychologique" pour ce type d'arnaque...

Où l'on constate qu'ils ont bien une intention délibérée de cibler les plus crédules et les moins au fait de l'usage d'Internet, au point d'intégrer un guide pour payer en bitcoin...
Bientôt ils fourniront une hotline H24 et proposerons le 3 fois sans frais ?

Où l'on apprend que les pirates ont une parole d'honneur !
En tout cas bravo à l'auteur qui - à la distinction de nombreux journalistes - sait faire le distinguo entre hacker et pirate !

Où l'on apprend que les pirates sont attachés à notre hygiène numérique, "il faut mettre son antivirus à jour, nan mais oh ! "

Où en creusant un peu les entêtes mail on trouve cet d'outil : 

1551436088.capture.d.ecran_2019.03.01_11

Est-ce que ce serait pas un CMS grand public qui sert de porte d'entrée à un détournement...

C'est outil n'est ni plus ni moins qu'un outil servant à envoyer des spams... Pouvoir envoyer des spams est une des principales motivations à gagner le contrôle sur un site/serveur...

 

[Mise à jour : 04/03/2019]

Ce sujet n'en finira jamais, une énième version sans grande originalité si ce n'est ce passage : "Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes." ce qui en français donne : "Déposer une plainte n'a pas de sens car cet email et mon adresse bitcoin ne peuvent pas être tracés. Je ne fais aucune erreur."

Si notre dernier pirate était attentionné et serviable, celui-ci est plutôt présomptueux...

Déposer une plainte sert, pour preuve chercher la référence du portefeuille bitcoin (ou l'adresse bitcoin) dans un moteur de recherche renvoie en premier résultat le site : "Bitcoin Abuse Database" avec un historique pour ce portefeuille plutôt explicite explicite : 70 71 plaintes concordantes en moins de 48h. Donc du point de vue de l'information du public ça a au contraire beaucoup de sens...

1551700082.bitcoin.abuse.png

Causalité ou coïncidence, pour l'instant ce portefeuille n'a reçu aucun paiement : 

1551700082.blockchain.info.png

Enfin l'affirmation "l'adresse bitcoin ne peut être tracée" est assez fausse... Il existe certes des "intermédiaires de brouillage" qui peuvent permettre de brouiller les pistes, mais en soit bitcoin n'est pas fondamentalement anonyme...

 

[Mise à jour : 02/04/2019]

Deux nouvelles variantes "largement" en cours de diffusion :

 

[Mise à jour : 06/05/2019]

Une nouvelle variante sous le titre "Your system has been compromised! Alert!" cette fois c'est un groupe de pirate, toujours les mêmes menaces et arguments fallacieux...
Cette fois l'identifiant du portefeuille bitcoin n'avait pas encore été signalé, nous nous en sommes donc chargés...
1557131684.capture.d.ecran_2019.05.06_10

 

[Mise à jour : 15/07/2019]

Après une accalmie nous aurions pu penser que s'en était fini de cette arnaque à la webcam, mais non, une nouvelle variante vient de voir le jour sous le titre : "Hackers know password from your account. Password must be changed now." .
Voyons si cette arnaque à la webcam deviendra un "classique" encore actif dans plusieurs années...

 

[Mise à jour : 16/07/2019]

Il suffisait de "penser que s'en était fini" pour qu'une nouvelle vague arrive... Cette énième avatar se présente, en français approximatif, sous le titre : "Alerte de sécurité!", morceau choisi : 

Pour le paiement, vous avez un peu plus de deux jours (exactement 50 heures).

Ne vous inquiétez pas, la minuterie commencera au moment où vous ouvrez cette lettre. Oui, oui .. cela a déjà commencé!

Après paiement, mon virus et vos photos sales avec vous s’autodétruisent automatiquement.
Si je ne reçois pas le montant spécifié de votre part, votre appareil sera bloqué et tous vos contacts recevront une photo avec vos "joies".

Je veux que tu sois prudent.

P.S. Je vous garantis que je ne vous dérangerai plus après le paiement, car vous n'êtes pas ma seule victime.
C’est un code d’honneur des hackers.

À partir de maintenant, je vous conseille d'utiliser de bons antivirus et de les mettre à jour régulièrement (plusieurs fois par jour)!

Ne soyez pas en colère contre moi, tout le monde a son propre travail.
Adieu.

 

[Mise à jour : 26/07/2019]

La recette ne change pas, mais cette nouvelle variante montre un changement de moyen de paiement... Fini les bitcoin, maintenant notre optimiste-arnaqueur réclame des euros en PCS : 

"... envoyez-moi 250 EURO en PCS (Code coupon ça se vend dans les bureaux de tabac ou bien en ligne sur rechar__.fr). Vous pouvez envoyer le code du coupon par email : pcs@__pclok.com."

Les PCS (Prepaid Cash Service) sont des cartes prépayées, comme une carte de paiement, dont le plafond est limité par le montant que l'on crédite initialement... Ce n'est pas la première fois que ce mode de paiement est utilisé dans le cadre d'arnaques, ce moyen de paiement impossible à tracer, garantissent donc l'anonymat des escrocs en fait une méthode de choix, qui doit donc toujours éveiller vos soupçons...

 

[Mise à jour : 12/08/2019]

Ah, je génie humain... Dans une nouvelle vague d’emails d'extorsion une nouvelle tentative vient d’apparaître ; dans l'espoir de leurrer les antispams ils ont mis l'accent sur la rédaction, je vous laisse juger : 


1565599237.sextorition.variante.png

 

[Mise à jour : 11/09/2019]

Nouvelle variante sous le titre "Votre compte" ou "Votre vie secrète", ce long mail écrit dans un français impeccable, vise des adresses mails complètement inventées ÇaN'aJamaisExisté@irisio.fr.

Comme d'habitude on y apprend que l'on est "un grand pervers" et on nous réclame un peu plus de 300€ en bitcoin contre la non divulgation de preuves de notre prétendue perversité...

P.S. Je vous garantis que je ne vous dérangerai plus après le paiement, car vous n'êtes pas ma seule victime.

C’est un code d’honneur des hackers.

Ah ben on est rassuré alors ! Par contre ne vous y trompez pas ici nous n'avons pas affaire à un hacker, mais à un [apprenti] arnaqueur, à la limite à un pseudo pirate mais le terme hacker, malgré ces nombreux mésusages, est, et devrait être un terme positif... Nous devrions tous être (ou pouvoir être) un hacker...

 

[Mise à jour : 16/09/2019]

Fin de partie ?

On apprend ce vendredi 13 septembre que l'auteur ; encore présumé ; de cette vague ce tsunami de spams d'arnaque serait un français de 20 ans, vivant en Ukraine et qu'il se serait fait cueillir le 9, à sa descente de l'avion qui le ramenait en France... Mis en examen, dans la soirée du jeudi 12 septembre, pour extorsion, blanchiment et escroquerie en bande organisée, il a été placé sous contrôle judiciaire...

Dans ces articles, il y a probablement confusion entre nombre de victimes et nombre de signalements, 28000 victimes qui aurait payé 500€ en bitcoin ce serait "monumental" ~14 000 000 d'€...

 

[Mise à jour : 26/09/2019]

Visiblement on a pas fini de voir renaître cette arnaque... 

Cette fois sous le titre : "Vos données personnelles sont en danger! Changez votre mot de passe immédiatement!" l'auteur du mail se réclame d'un "groupe de piratage" : "Je suis un représentant du groupe de piratage Chaos."
Si par "Chaos" l'auteur cherche à faire référence au "Chaos Computer Club" (CCC) c'est que ce groupe est l'une des plus anciennes et des plus influentes organisations de hackers d'Europe... Mais les objectifs du CCC sont bien loin d'être le piratage et l'arnaque à des fins d'enrichissement. Bien au contraire, le groupe se veut une communauté globale, accueillante, ils soutiennent la liberté d'information et de communication, et étudient les impacts de la technologie pour la société et l'individu... Bref on est bien loin du "même" terrifiant montrant un "génie du code" pianotant sur son clavier comme un fou pour détourner des milliers d'euros...
Notoriété oblige le "tarif" est passé à 2000€ pour cette arnaque désormais classique...

Dès que votre transfert est confirmé, tous vos contacts et votre enregistrement vidéo seront automatiquement supprimés.
Si aucun argent n'arrive à temps, les fichiers vidéo et de correspondance seront envoyés à tous vos contacts.

Vous décidez ... Payez ou vivez en enfer avec honte ...

Nous pensons que toute cette histoire vous apprendra à utiliser les gadgets correctement!

Protips : Terrifiez, mais toujours gardez un petit conseil pour la fin ;-)

 

[Mise à jour : 19/11/2019]

Il y a plus d'un an nous initions cet article avec un scam intitulé "Ceci concerne la question de votre sécurité.".
Aujourd’hui nous venons de recevoir une vague de spams-scams sous le même titre utilisant à la virgule prêt le même texte ! Seuls le montant et les adresses bitcoin ont évolués évidement...

C'est à se demander si ces scams ne sont pas devenus un marronnier de l'arnaqueur numérique...

1574158567.scam.sextortion.revival.jpg

1574158567.scam.sextortion.revival.2.jpg

 

[Mise à jour : 27/12/2019]

Ho ho ho ! Le traîneau du père scammeur s'est arrêté au dessus de nos serveurs pour nous déposer ... une nouvelle variante de cette arnaque...
Le texte en anglais est ici épuré, on revient aux fondamentaux...

1577447839.sextortion.hohoho.jpg

 

[Mise à jour : 10/03/2020]

En cette période de pandémie #covid19 "notre" fameuse arnaque à la webcam tourne toujours...

L'identifiant du porte-monnaie utilisé a déjà été signalé et il ne présente aucune transaction, voici peut être, enfin, un signe de l’essoufflement de ce type d'arnaques...

1584540662.sextortion.20.03.10.png

 

[Mise à jour : 20/03/2020]

Nous n'avons pas (encore) reçu cette nouvelle mutation mais le niveau de crasse immonde de cette variante est stratosphérique !

Dans ce nouvel avatar le montant demandé passe à 4000$ certes, mais c'est surtout l'ajout d'une nouvelle menace qui est "originale"... Ces arnaqueurs, dans l'objectif de faire croire au destinataire qu'ils sont réellement et complètement infiltrés dans leur vie numérique et réelle, menace maintenant, sans sourciller de "contaminer toute votre famille avec le Coronavirus"... O_O

Voici une capture d'écran, le texte est en anglais et certains caractères sont remplacés par des lettres grecques visuellement similaires pour tenter de leurrer les antispams :

1584693938.extortion.640.png

Via Rayna et Naked Security.

 

[Mise à jour : 18/05/2020]

Un nouvelle version arrive... Elle nous a été signalée il y a quelques jours par un lecteur titulaire d'une adresse mail en @....gouv.fr - merci - et nous l'avons nous aussi reçue aujourd'hui...

C'est une version recyclée - c'est bien les pirates ont au moins la fibre écolo - qui sous le titre "Votre appareil a été piraté par des pirates. Lisez d'urgence les instructions!" nous "ordonne" de verser 1000$ en bitcoin.

1589817048.sextortion.votre.appareil.a.e

Mais j'y pense... S'ils ont un accès complet à mon système pourquoi est-ce qu'il ne font pas leur transaction directement, tout le monde gagnerait du temps, ce serait plus simple non ?

Malgré tout, ce portefeuille bitcoin a enregistré l'équivalent de 415€ de versements... Les sommes des transactions enregistrées ne correspondent pas du tout au montant de la "rançon" demandée...
Est-ce que l'auteur emploi ce portefeuille pour d'autres usages ? Est-ce que des chercheurs s'amusent à faire des transactions à des fins d'étude ? Mystère...

 

[Mise à jour : 18/06/2020]

Deux variantes francophones pour le prix d'une mise à jour...

1592489902.vous.etes.dans.la.merde.png

Après un titre équivoque : "Vous êtes dans la merde" l'auteur retrouve toute sa politesse "Chère victime", c'est original... Mais visiblement un peu limité en français le reste du mail est dans un français approximatif...

Petites originalités : il a piraté plusieurs de mes machines (PC + téléphone) et il propose directement un lien vers une plateforme d'achat de bitcoin...

1592489905.votre.appareil.a.ete.pirate.u

Pour la deuxième variante du jour, l'auteur a fait des efforts de présentation, écrire en rouge sur fond noir c'est plus inquiétant, ça devrait mieux fonctionner !

Pour le reste aucune originalité c'est l'exact même email que celui du 18/05...

 

J'ajoute deux sources - qui datent - à lire sur le sujet :

 

[Mise à jour : 29/06/2020]

Petite variante en hongrois...

1594971697.hongrois.png

Köszönöm, de nem köszönöm ...

 

(légère ellipse temporelle)

 

[Mise à jour : 19/10/2022]

Une nouvelle vague en Français 

1666184312.liste.png

Malgré les variations sur le titre le texte est identique...

1666184317.detail.png

Ah, le covid19 est passé par là maintenant on a le "virus de Troie" (virus 2 3)... Un VNC caché et multiplate-forme c'est un bel effort d'originalité et d’ouverture (utilisateurs de Linux, nous sommes un peu frustrés ! On veut notre version ! XD 

Crypté ! On dit chiffré non de non ! Si on te croise, c'est la où tu va finir la Crypte, mais amicalement hein ;-)

S'il venait à publier mes données dans le domaine public, je me demande quelle licence il utiliserait ? Une CC0 ?

Entre le tu et le vous l'auteur hésite, par contre il n'a pas hésité à créer de nombreux portefeuilles bitcoin, ça rend le contrôle via des registre abuse (comme bitcoinabusecom) plus compliqué et les déclarations sont elles aussi plus nombreuses à faire ...

 

Parution : 14/09/2018

Fil RSS