Agence de communication : Sites internet & Supports papier - IRISIO

Scam : "Ceci concerne la question de votre sécurité" (Chantage à la webcam)

Scam : "Ceci concerne la question de votre sécurité" (Chantage à la webcam)

 

Depuis quelques jours une campagne d'arnaque par email est en cours. Sous le titre "Ceci concerne la question de votre sécurité", les auteurs de cette campagne prétendent, dans un français approximatif, avoir pris le contrôle de votre "appareil" et détenir des vidéos compromettantes...

Espérant effrayer les destinataires, les auteurs menacent de diffuser ces vidéos et proposent d'effacer toutes les données en échange d'un virement de l'équivalent de 250$ vers un portefeuille Bitcoin, cette fameuse "monnaie numérique décentralisée"... 

Misant sur la crédulité des lecteurs, cette arnaque repose sur une manipulation classique : après une affirmation/menace effrayante, une solution est proposée et cette méthode porte même un nom : "problème-réaction-solution".

L'espoir des escrocs est de voir tomber dans le panneau les moins biens informés d'entre nous, ce qui peut tout à fait devenir rentable si leur nombre est suffisant...
En pistant la référence du portefeuille Bitcoin, on peut découvrir que 14 transactions ont été enregistrées ces derniers jours... ce sont donc peut être autant de "victimes" qui ont rapporté l'équivalent de plus de 2600€ à nos "scammeurs".
Ainsi si les auteurs de cette campagne de scam sont parvenus à envoyer des millions d'emails, ils peuvent s'attendre à une certaine rentabilité... 

1536935602.scam.bitcoin.jpg

Que faire ?

Déjà, ne pas paniquer et ne pas payer.
Quand bien même les allégations seraient fondées, rien ne dit qu'après avoir payé cette première rançon les arnaqueurs ne fassent pas monter les enchères ni qu'ils effaceront réellement les données au final. Souvenez-vous, si leurs dires sont vrais, ce sont des arnaqueurs en train de vous faire chanter...

À part classer ces emails dans vos spams, il n'y a pas grand chose à faire...

Ces emails sont des spams envoyés via des serveurs toujours différents ; bloquer les IPs de ces serveurs n'a donc que peu d'effet.

De notre coté, ces emails sont déjà détectés et étiquetés par nos serveurs mail comme spam...

Pour nos clients, un outil est en place et permet de filtrer les spams dans leur "client mail"

Chaque mail est analysé et marqué d'une entête indiquant si le mail est un spam ou non.
Dans l'objectif de ne perdre aucun message, cet outil analyse mais ne filtre/supprime aucun message, tous les messages sont donc remis dans vos boites mails.
Afin de bénéficier d'un filtrage antispam, vous devez donc configurer votre client mail (outlook, thunderbird, mail, ...) pour qu'il tienne compte du marquage et filtre les messages marqués de l'entête spam.

Légalement, il n'y a pas grand chose à faire non plus car ces serveurs sont situés dans divers pays, ils ont très certainement été piratés et utilisés à l'insu de leurs "propriétaires" pour envoyer ces emails. Ainsi, les chances de voir aboutir une quelconque "mesure légale" est illusoire et surtout ne pourrait intervenir que dans plusieurs mois voire années...

À qui signaler cette arnaque ? 

Peut être sur internet-signalement.gouv.fr mais il renvoient, dans le cas d'arnaques reçues par email, vers les acteurs classiques de la lutte contre le spam comme signal-spam.fr. [cf ci-dessous : mise à jour du 04/02/2019]

En complément, on peut également signaler ces arnaques sur des sites d'information comme signal-arnaques.com où l'arnaque a déjà été signalée il y a quelques heures...

Bref, individuellement, le plus efficace reste encore de mettre en pause ses émotions et d'allumer son esprit-critique : Quelles sont les chances réelles que vous soyez victime de ce que proclame cet email ?

 

[Mise à jour]

Sur une adresse email "piège à spam" nous avons reçu plus de 50 fois le même message "Ceci concerne la question de votre sécurité." à destination d'adresses différentes...
Preuve supplémentaire que l'envoi de ces emails est bien "massif et non ciblé" et donc le message forcément non fondé...
1536942925.scam.votre.securite.x50.jpg

[Mise à jour : 18/09/2018]

Le bilan des transactions enregistrées par le portefeuille Bitcoin est passé à 0.85094967 BTC soit environ 4500€ mais après un "pic" de 3 jours avant le week-end ce compte semble maintenant revenu à un calme plat...

C'était sans compter sur l'incroyable inventivité des auteurs de scam...

On assiste donc depuis ce mardi matin à une nouvelle vague très similaire de mails sous les titres : "Votre compte a été piraté!", "Supprimez ce message après la lecture!", "Votre compte" ou encore "Votre vie secrète"... Les affirmations et menaces sont les mêmes, la construction est vraiment similaire aux précédents emails, le montant à verser a augmenté à 300$ et le portefeuille bitcoin a changé... Ce nouveau portefeuille est encore "vide", voyons si cette nouvelle vague sera aussi "profitable"...

 

[Mise à jour : 17/10/2018]

Même schéma, nouvel email mais les tarifs montent encore, on est passé à 501$.

Avec le titre " is hacked" l'expéditeur ajoute une preuve irréfutable du piratage : "I hacked this mailbox more than six months ago (...) If you don't belive me please check 'from address' in your header, you will see that I sent you an email from your mailbox." (les fautes sont authentiques). Ce qui donne en français : "J'ai piraté cette boite mail il y a 6 mois (...) Si vous ne me croyez pas vérifiez l'adresse d’expéditeur de ce mail, vous constaterez que je l'ai envoyé via votre boite mail"...

Certes, Thunderbird, mon client mail, m'affiche une adresse d'expéditeur identique à l'adresse sur laquelle j'ai reçu ce nouvel email, mais, ne vous y laissez pas prendre, ce n'est absolument pas le cas...
C'est ce qui s'appelle de la "forge d'adresse email" (email address spoofing) c'est une technique extrêmement simple qui permet effectivement de modifier l'expéditeur (FROM) mais pour qui sait lire les entêtes d'un email la supercherie ne tient pas 3 secondes. En effet les entêtes d'un email contiennent une trace du serveur expéditeur de l'email et dans notre cas l'IP d'origine est en Colombie...

Bref ne vous laissez pas abuser par ce "nouveau subterfuge" même si à première vue c'est bien votre adresse email qui est présentée comme expéditeur ce n'est pas forcément le cas...

 

[Mise à jour : 08/11/2018]

Nouvelle vague ce matin sous le titre original : "Ceci concerne la question de votre sécurité.".
Presque 2 mois après le message original il y a toujours l’ultimatum de 2 jours #crédibilitéMaximum...

 

[Mise à jour : 11/12/2018]

Un nouvel avatar du mail initial, une version originale car notre auteur-arnaqueur commence par s'excuser ... de son orthographe... "Excusez-moi, mais ceci est un braquage, ayez l’obligeance de lever les mains".

Ici encore, si on paye on a l'assurance de voire les données effacées (sic), par contre rien n'est précisé concernant le virus (re sic), celui-ci doit certainement rester installé sur notre ordinateur certainement une garantie pour pouvoir assurer le service après-arnaque...

1544527426.must.read.porno.scam.jpg

 

[Mise à jour : 28/01/2019]

Les antispams aidant, ce filon doit commencer à s'épuiser, et le format de ces emails - jusque là en texte - vient de changer pour s'afficher sous forme d'image.
Tentant ainsi de camoufler les mots clefs incriminants qui permettraient aux antispams de reconnaître ces emails...

1548668210.arnaque.email.spam.video.mast

Cette image est accompagné d'un court texte donnant des détails sur le mode de paiement et se concluant par : 

1548668210.arnaque.email.spam.video.mast

N'étant plus à une contradiction prêt le message passe de : "N'essayez pas d'entrer en contact avec moi" à "Si vous avez besoin de preuve répondez par "oui!" "...
"... envoyer l'enregistrement à 6 de mes contacts", gratuitement, voilà une offre tentante...

 

[Mise à jour : 04/02/2019]

Nouvelle variante sous le titre "This account has been hacked! Change your password right now!" (Ce compte a été piraté ! Changez votre mot de passe dès maintenant !)

1549287296.this.account.has.been.hacked.

Rien ne nouveau sur le fond, le schéma reste le même. Le message devient plus technique, notre pirate prend de la bouteille et ses prétentions augmentent et passent ici la barre des 1000$.

Autre point intéressant il est fait mention d'un "image espion" - plus particulièrement le "Facebook pixel" - qui est effectivement un outil de pistage d'ouverture des emails... On ne rentrera pas dans les détails, mais si votre client mail vous affiche de temps en temps des messages du type "Pour protéger votre vie privée, [client mail] a bloqué l'affichage du contenu distant dans ce message. " c'est à ce type d'image-espion que s'oppose ce type de mesure de protection, et c'est bien... Par contre ici ce sont encore des menaces en l'air, le mail en question ne contient pas une seule image... Ils s'ont vraiment distrait, ça manque de sérieux tout ça...

Sinon deux articles viennent de remonter dans nos flux ce matin : 

 

[Mise à jour : 11/02/2019]

Nouvelle variante sous le titre "Please dont make an even more fool of yourself" mais notre antispam n'est pas dupe, en lui attribuant un "spam score" de 11.88 - la frontière non-spam/spam étant aux alentour de 6 points - il classe clairement cette nouvelle variante en tant que spam...

1549873197.capture.d.ecran_2019.02.11_09

 

[Mise à jour : 14/02/2019]

Nouvel article sur le sujet chez ZdNet : Arnaque Sexcam : c’est dans les vieux pots qu’on fait les meilleurs scams où on apprend entre autres :

 

[Mise à jour : 18/02/2019]

 Illustration de la technique décrite dans l'article de ZdNet, voici une variante contenant un "ancien vrai mot de passe" :

1550479999.capture.d.ecran_2019.02.18_09

 

[Mise à jour : 01/03/2019]

J'ai une bonne et une bonne nouvelle : Un nouvel épisode est arrivé et il est de qualité !

1551435557.capture.d.ecran_2019.03.01_11

Où l'on constate que le montant demandé commencerait à baisser, ils ont peut être trouvé le "prix psychologique" pour ce type d'arnaque...

Où l'on constate qu'ils ont bien une intention délibérée de cibler les plus crédules et les moins au fait de l'usage d'Internet, au point d'intégrer un guide pour payer en bitcoin...
Bientôt ils fourniront une hotline H24 et proposerons le 3 fois sans frais ?

Où l'on apprend que les pirates ont une parole d'honneur !
En tout cas bravo à l'auteur qui - à la distinction de nombreux journalistes - sait faire le distinguo entre hacker et pirate !

Où l'on apprend que les pirates sont attachés à notre hygiène numérique, "il faut mettre son antivirus à jour, nan mais oh ! "

Où en creusant un peu les entêtes mail on trouve cet d'outil : 

1551436088.capture.d.ecran_2019.03.01_11

Est-ce que ce serait pas un CMS grand public qui sert de porte d'entrée à un détournement...

C'est outil n'est ni plus ni moins qu'un outil servant à envoyer des spams... Pouvoir envoyer des spams est une des principales motivations à gagner le contrôle sur un site/serveur...

 

[Mise à jour : 04/03/2019]

Ce sujet n'en finira jamais, une énième version sans grande originalité si ce n'est ce passage : "Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes." ce qui en français donne : "Déposer une plainte n'a pas de sens car cet email et mon adresse bitcoin ne peuvent pas être tracés. Je ne fais aucune erreur."

Si notre dernier pirate était attentionné et serviable, celui-ci est plutôt présomptueux...

Déposer une plainte sert, pour preuve chercher la référence du portefeuille bitcoin (ou l'adresse bitcoin) dans un moteur de recherche renvoie en premier résultat le site : "Bitcoin Abuse Database" avec un historique pour ce portefeuille plutôt explicite explicite : 70 71 plaintes concordantes en moins de 48h. Donc du point de vue de l'information du public ça a au contraire beaucoup de sens...

1551700082.bitcoin.abuse.png

Causalité ou coïncidence, pour l'instant ce portefeuille n'a reçu aucun paiement : 

1551700082.blockchain.info.png

Enfin l'affirmation "l'adresse bitcoin ne peut être tracée" est assez fausse... Il existe certes des "intermédiaires de brouillage" qui peuvent permettre de brouiller les pistes, mais en soit bitcoin n'est pas fondamentalement anonyme...

 

[Mise à jour : 02/04/2019]

Deux nouvelles variantes "largement" en cours de diffusion :

 

[Mise à jour : 06/05/2019]

Une nouvelle variante sous le titre "Your system has been compromised! Alert!" cette fois c'est un groupe de pirate, toujours les mêmes menaces et arguments fallacieux...
Cette fois l'identifiant du portefeuille bitcoin n'avais pas encore été signalé, nous nous en sommes donc chargés...
1557131684.capture.d.ecran_2019.05.06_10

Parution : 14/09/2018

Fil RSS