Quand les demandeurs de rançons se professionnalisent (the end les fôteux!)

Depuis plusieurs jours, j’ai constaté une augmentation du nombre de mails d’arnaque/rançon envoyés à nos clients, ainsi qu’à mes BAL pourriels (boites aux lettres qui ne me servent que pour la pub). En tout cas, ceux qui ne sont pas protégés par l’antispam de l’entreprise…

Vous ne l’avez pas reçu ? Ce mail indique que votre interlocuteur a réussi à piraté votre système d’exploitation via une faille dans votre routeur, qu’il voulait vous demander une « petite » rançon mais qu’entre temps, il a découvert des photos compromettantes sur votre disque dur et qu’en échange de son silence, il faut payer une rançon de quelques centaines d’euros !

Le début du mail de demande de rançon

Principe de ce mail / demande de rançon

Le chantage est toujours le même et digne d’un bon marketing direct : Envoyé à des milliers (millions) de personnes, il permettra de générer (beaucoup) d’argent à celui qui l’a envoyé, même en ayant un faible taux de retour.
Imaginez un taux de retour (c’est à dire les personnes qui vont payer après réception du mail) de 1% par exemple (c’est faible pour les marketeux!). Si le mailing est envoyé à 10 000 personnes (là aussi, c’est un chiffre volontairement très faible), cela générera 30 000 euros de chiffre d’affaire lorsque la rançon est fixée à 300 euros.
Sachant que sur certaines sources (darknet), on trouvera des millions d’adresses emails pour une centaine d’euros (ok, avec différente qualité de fichier/bdd, différent prix, etc).
On peut même voir 20 millions d’emails pour une vingtaine d’euros (provenant de plusieurs sources, souvent obsolètes et après recoupement, il ne vous restera plus qu’1 millions d’emails exploitable… ou pas. Ca reste 1 millions!)
C’est donc bien lucratif (sinon on ne serait pas inondé de cette arnaque) !!!
Il n’y a plus qu’à faire du publipostage 2.0… enfin, un emailing !

Ce mail que vous recevez (presque) tous ? Vous le trouverez en bas de cet article.

Une demande de rançon bien étudiée

C’est évident une arnaque, une tentative d’extorsion comme il en existe des milliers.
Là où cette tentative est bien ficelée, c’est que contrairement à ce que l’on rabâche depuis des années (moi le premier), le mail est très bien écrit, dans un bon français, avec des phrases élaborées !! (mieux que mes articles! j’en suis presque jaloux).
A se demander si un prof de français n’a pas été embauché pour rédiger le mail (à moins que ça en soit un!).

Il y aussi le ton du mail, au début c’est le vouvoiement, mielleux mais pas trop. Puis il fait place au tutoie subtilement quand il s’agit d’évoquer vos activités illicite : il a vu ce que vous faisiez de mal donc il joue la proximité avec vous !
Puis quand il s’agit de vous proposer un deal, on revient au vouvoiement (c’est plus pro quand on parle business/argent).

En plus de ça, votre interlocuteur ne vous demande pas un montant astronomique. Suivant les mails que j’ai vu passé, les rançons varient de 300 euros, 326, 350, 386… jamais au dessus de 400 euros (un seuil psychologique?). C’est donc encore une fois bien joué : un montant raisonnable pour cacher votre perversion.

Une belle rançon en bitcoin -surement- en quelques jours

Quand au compte bitcoin, pour toutes les variantes que j’ai pu voir, il s’agit d’un compte différent. Et comme le solde des comptes bitcoins est accessible publiquement, il est facile de voir que l’arnaque est rentable.

0.39334719 BTC sur un des comptes consultés, 2.03134884 BTC sur un autre.
Je vous fais le calcul ? au 17/07/2019, 2 BTC équivalent à (environ) 17 000 euros ! oui 17ke grâce à de simples mails qui jouent sur la crédulité de certains).

Si on suit un compte bitcoin, on voit que l’arrivée d’argent est soudaine et massive. Exemple (parmi d’autres) avec un mail/arnaque récupéré en février 2019. Quand on consulte le solde BTC, on voit que cela démarre le 12 février, que cela grimpe à 1.886 BTC (16 ke) le 15 février soit en 3 jours !
Et à J+9, il est à 1.979 BTC (17ke).
Ensuite le gars vide son compte bitcoin. Cette attaque est finie (il continuera surement avec d’autres adresses emails et avec d’autre compte bitcoin).
PS : on ne le voit pas sur les captures ci après, mais le 1ier juin, il y a quand même une nouvelle victime qui versera 0.052 BTC de rançon (un peu en retard !)

C’est une forme de « sextorsion » (compression de « Sexe » et « Extorsion ») : chantage à la webcam (même si ici, il ne s’agit pas de compromission de la webcam).
Combien oserons déposer plainte après avoir payé ? Sans espoir de revoir leur bitcoin.
Au pire, je vous explique ici comment détruire votre disque dur (c’est de l’ironie hein! Ce n’est pas la solution pour cet article).

Mais (car il y a toujours un ‘mais’) les failles de cette demande de rançon

Ce mail pose toutefois quelques questions malgré le fait qu’il sorte du lot :

* Quand c’est une entreprise qui le reçoit, la probabilité que l’employé se sente concerné est très faible (consultation de site X au travail ?? soit l’employé n’a que ça à faire, l’entreprise n’a pas de proxy/filtrage Internet et que dire de la compromission des serveurs de l’entreprise ?)

* Le mailing manque cruellement de personnalisation. Hormis la 3ième ligne qui mentionne votre adresse email (celle sur laquelle votre interlocuteur vous a écrit!) et la date supposée de votre piratage (il y a trois mois en arrière. Oui, vous vous souvenez ce que vous faisiez il y a trois mois ??).
Pour quelqu’un qui a eu accès à l’intégralité de votre disque dur, il ne peut pas citer votre prénom/nom/adresse postal/tél … ou toute autre info personnelle ? bah non car il a acheté des listes où seuls l’email apparait (pour avoir le nom, prénom, ou toutes autres infos personnelles, il faut payer plus chère).

* Chaque mail est envoyé depuis une BAL et un NDD (nom de domaine) différent.
Probablement au grès de leur compromission de serveur de messagerie (le seul véritable exploit finalement)

* Le délais de deux jours est cours (normal, ça évite que vous réfléchissiez) et votre interlocuteur saura quand vous aurez lu le mail (super facile). Par contre, quand on regarde le détail du mail (html), aucun traceur/mouchard. Se base-t-il que sur l’accusé de lecture envoyé par votre serveur ? pas de chance, cette fonctionnalité est de moins en moins mise en place pour des raisons évidents de confidentialité (et d’autres choses). Bref, le délai démarre à partir de « on-ne-sait-pas-quand ».

* Le ponpon : votre interlocuteur vous dit qu’il ne vous dérangera plus après, c’est son code d’honneur du hackeur. Quoi ? un black-hackeur dans le corps d’un white ? ou inversement. huhu.
Et puis, comment saura-t-il que vous avez payé ? le BTC reste anonyme…

* Pour finir, comme d’hab, un petit coup de googlisation de la première phrase, et vous verrez tout de suite l’arnaque !

Ci dessous, le mail reçu (c’est une arnaque !! ne payez pas !!) :

Je vous salue!
J’ai de mauvaises nouvelles pour vous.
02/03/2019 – ce jour-là, j’ai piraté votre système d’exploitation et obtenu un accès complet à votre compte à partir: ****l’adresse a été masquée par confidentialité****
Pas la peine de changer le mot de passe, mon logiciel malveillant l’intercepte à chaque fois.
Comment c’était:
Le logiciel du routeur auquel vous étiez connecté ce jour-là comportait une vulnérabilité.
J’ai d’abord piraté ce routeur et y ai placé mon code malveillant.
Lorsque vous êtes entré sur Internet, mon cheval de Troie était installé sur le système d’exploitation de votre appareil.
Après cela, j’ai effectué une sauvegarde complète de votre disque (j’ai tout votre carnet d’adresses,
l’historique des sites de visionnage, tous les fichiers, les numéros de téléphone et les adresses de tous vos contacts).
Il y a un mois, je voulais verrouiller votre appareil et demander un peu d’argent pour le déverrouiller.
Mais j’ai jeté un œil sur les sites que vous visitez régulièrement, et j’ai eu grand plaisir à voir vos ressources préférées.
Je parle de sites pour adultes.
Je veux dire – tu es un grand pervers. Vous avez une fantaisie débridée!
Après cela, une idée m’est venue à l’esprit.
J’ai fait une capture d’écran du site Web intimeoù vous contentez-vous (Comprends-tu ce que je veux dire?).
Après cela, j’ai fait une vidéo de votre plaisir (en utilisant la caméra de votre appareil). Il s’est avéré magnifique!
Je suis fermement convaincu que vous ne voudriez pas montrer ces photos à vos parents, amis ou collègues.
Je pense que 300€ est une très petite somme pour mon silence.
En plus, j’ai passé beaucoup de temps sur toi!
J’accepte de l’argent uniquement en Bitcoins.
Mon portefeuille BTC: ****l’adresse bitcoin a été masquée****
Vous ne savez pas comment reconstituer un portefeuille Bitcoin?
Dans n’importe quel moteur de recherche, écrivez « comment envoyer de l’argent à un portefeuille de la BTC ».
C’est plus facile que d’envoyer de l’argent à une carte de crédit!
Pour le paiement, vous avez un peu plus de deux jours (exactement 50 heures).
Ne vous inquiétez pas, la minuterie commencera au moment où vous ouvrez cette lettre. Oui, oui .. cela a déjà commencé!
Après paiement, mon virus et vos photos sales avec vous s’autodétruisent automatiquement.
Si je ne reçois pas le montant spécifié de votre part, votre appareil sera bloqué et tous vos contacts recevront une photo avec vos « joies ».
Je veux que tu sois prudent.
N’essayez pas de trouver et de détruire mon virus! (Toutes vos données sont déjà téléchargées sur un serveur distant)
N’essayez pas de me contacter (L’adresse de l’expéditeur est générée aléatoirement)
Divers services de sécurité ne vous aideront pas. formater un disque ou détruire un périphérique ne vous aidera pas non plus, puisque vos données sont déjà sur un serveur distant.
P.S. Je vous garantis que je ne vous dérangerai plus après le paiement, car vous n’êtes pas ma seule victime.
C’est un code d’honneur des hackers.
À partir de maintenant, je vous conseille d’utiliser de bons antivirus et de les mettre à jour régulièrement (plusieurs fois par jour)!
Ne soyez pas en colère contre moi, tout le monde a son propre travail.
Adieu.

Si vous souhaitez partager cet article...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter