Au début du mois d'avril, une nouvelle campagne de sextorsions a été détectée, active des deux côtés de l'Atlantique. Les messages indésirables détectés par les chercheurs d’ESET ont tenté de tromper des victimes involontaires en se référant à d'anciens mots de passe qui ont fait partie d'anciennes violations de données.

La campagne n'est pas tout à fait nouvelle, puisqu'elle réutilise d'anciennes escroqueries. La première fois que ses escrocs ont fait des vagues avec ces tactiques, c'était en 2018 avec une campagne qui incluait également le mot de passe de la victime dans l'objet. Le courriel lui-même affirmait que le mot de passe avait été obtenu en compromettant l'un des appareils du destinataire à l'aide d'un logiciel malveillant.

Aussi effrayant que cela puisse paraître à première vue, il ne s'agit là que de tactiques d'ingénierie sociale utilisant la peur, employées par les cybercriminels pour générer la panique chez les destinataires de ces courriels. Pour dire les choses simplement, il est très peu probable que votre ordinateur ait été accédé ou compromis, du moins pas par la méthode suggérée dans le courriel, il n'y a donc pas lieu de paniquer.

En fait, une campagne similaire a été récemment repérée par les chercheurs d’ESET : le message de celle-ci a été remaniée par les arnaqueurs pour mieux refléter la situation actuelle de la pandémie, menaçant notamment d'infecter toute la famille de la victime avec le coronavirus.

La nouvelle campagne d'extorsion emprunte, ou plutôt s'appuie sur, les versions précédentes. Les escrocs commencent par envoyer un message alarmant pour attirer l'attention de la victime, généralement en incluant un des anciens mots de passe de la victime qui a probablement été volé dans le cadre d'une précédente violation de données. Ensuite, les fraudeurs affirment que l'appareil de la victime a été infecté par une forme de logiciel malveillant lors de la visite d'un site web pornographique, et que cela leur a permis d'obtenir à la fois le mot de passe de la victime et l'accès à leur appareil. Les escrocs prétendent ensuite avoir réalisé une vidéo de la victime et visionnant du contenu inapproprié « not safe for work ».

Une fois que les cybercriminels ont suffisamment effrayé leurs victimes potentielles, ils exigent une somme à payer dans les 24 heures ou la vidéo embarrassante sera diffusée. Ils exigent généralement que le paiement soit effectué en bitcoin.

Après avoir analysé certains des cas découlant de cette nouvelle campagne de sextorsion, les chercheurs d'ESET ont découvert qu'elle avait probablement commencé vers le 8 ou le 9 avril. Ils ont vérifié les adresses des portefeuilles de bitcoin partagées par les attaquants et ont constaté qu'ils ne s'en sortaient pas très bien, c'est le moins qu'on puisse dire. En revanche, lors de la campagne de 2018, les escrocs ont réussi à soutirer près d'un demi-million de dollars aux victimes.

Réitérons l’importance de noter que le mot de passe ne provenait pas de la machine compromise de la victime potentielle. Toutes les miettes de pain indiquent que la campagne s'appuie sur des informations d'identification provenant de fuites de données importantes et de violations plus anciennes, qui, malheureusement, ne sont pas rares. Les chercheurs d'ESET ont saisi l'adresse électronique de certaines des victimes sur le site web Have I been pwned? et ont en effet découvert que leurs mots de passe et leurs courriels avaient été recueillis auprès de services ayant subi des violations de données tels que LinkedIn, Taringa, MyFitnessPal ou Canva, entre autres.

Que faire?

Avant de paniquer, vous devriez prendre un peu de recul et réfléchir à toute l'escroquerie. Avez-vous déjà visité un site porno? Si la réponse est non, vous savez donc que ce courriel est faux et n’avez pas à vous inquiéter. Si vous avez déjà visité un site pornographique (et on peut dire sans risque de se tromper que vous n'étiez pas seul), vous pourriez être gêné si ce « secret » était révélé. Mais dans tous les cas, je le répète, les cybercriminels ne disposent d'aucune preuve, vidéo ou autre, des activités prévues d'une victime potentielle.

Une autre chose que vous pouvez faire est d'utiliser Google ou le moteur de recherche que vous préférez et de rechercher le mot "scam" entre guillemets, ainsi qu'une phrase intéressante tirée du courriel frauduleux. Vous pouvez ensuite faire défiler les résultats, qui peuvent être au nombre de quelques milliers, et voir si quelque chose vous semble vaguement familier. Très souvent, vous trouverez des exemples d'escroqueries similaires qui circulent et qui ont déjà été examinées par un certain nombre de chercheurs et d'experts dans le domaine.

Si vous n'êtes toujours pas sûr de ce à quoi vous avez affaire, vous pouvez consulter une liste d'autres étapes compilée par Bruce P. Burrell, chercheur d'ESET.