Les personnes qui trompent leurs partenaires sont toujours ouvertes à l’extorsion par les parties impliquées. Mais lorsque les détails personnels de millions de tricheurs sont publiés en ligne pour que n’importe qui puisse les télécharger – comme c’est le cas avec le récent piratage du site de connexion d’infidélité AshleyMadison.com – les maîtres chanteurs aléatoires sont tenus de sauter sur l’occasion.
Un e-mail d’extorsion envoyé à un utilisateur d’AshleyMadison.
Selon des sociétés de sécurité et un examen de plusieurs e-mails partagés avec cet auteur, les extorqueurs voient déjà des cueillettes faciles dans la base de données d’utilisateurs AshleyMadison divulguée.
Plus tôt aujourd’hui, j’ai entendu de Rick Romeroresponsable des technologies de l’information chez Services informatiques VF, un fournisseur de messagerie basé à Milwaukee. Romero a déclaré qu’il avait construit des filtres anti-spam pour bloquer les tentatives d’extorsion sortantes contre d’autres utilisateurs malveillants de son service de messagerie. En voici un qu’il a bloqué ce matin (j’ai ajouté un lien vers l’adresse bitcoin dans le message, qui montre que personne n’a encore payé dans ce portefeuille particulier) :
Bonjour,
Malheureusement, vos données ont été divulguées lors du récent piratage d’Ashley Madison et j’ai maintenant vos informations.
Si vous souhaitez m’empêcher de trouver et de partager ces informations avec votre proche, envoyez exactement 1 0000001 Bitcoins (d’une valeur approximative de 225 USD) à l’adresse suivante :
1B8eH7HR87vbVbMzX4gk9nYyus3KnXs4Ez [link added]
Envoyer le mauvais montant signifie que je ne saurai pas que c’est vous qui avez payé.
Vous disposez de 7 jours à compter de la réception de cet email pour envoyer le BTC [bitcoins]. Si vous avez besoin d’aide pour trouver un lieu d’achat de BTC, vous pouvez commencer ici…..
L’individu qui a reçu cette tentative d’extorsion – un utilisateur d’AshleyMadison qui a accepté de parler de l’attaque à condition que seul son prénom soit utilisé – a déclaré qu’il était « vaguement préoccupé » par les futures attaques d’extorsion, mais pas particulièrement celle-ci en particulier.
« Si je me mets dans [the extortionist’s] chaussures, la probabilité qu’ils divulguent des choses n’augmente pas leurs chances d’obtenir de l’argent », a déclaré Mac. « Je ne vais tout simplement pas répondre. »
Mac dit qu’il est plus préoccupé par les attaques d’extorsion ciblées. Il y a quelques années, il a rencontré une femme via AshleyMadison et s’est connecté à la fois physiquement et émotionnellement avec la femme, qui est mariée et a des enfants. Père de plusieurs enfants et marié depuis plus de 10 ans, Mac a déclaré que sa vie serait « incroyablement perturbée » si les extorqueurs mettaient leurs menaces à exécution.
Mac a déclaré qu’il avait utilisé une carte prépayée pour payer son abonnement à AshleyMadison.com, mais que l’adresse de facturation des liens prépayés revenait à son adresse personnelle.
« Donc, ils ont mon adresse de facturation à domicile et mon prénom et mon nom, il leur serait donc relativement facile d’obtenir mes enregistrements personnels et de savoir qui je suis », a déclaré Mac. « J’accepterai les conséquences si cela est révélé, mais évidemment je préférerais que cela ne se produise pas parce que ma femme et moi sommes tous les deux très heureux dans notre mariage. »
Malheureusement, les tentatives d’extorsion comme celle contre Mac sont susceptibles d’augmenter en nombre, en sophistication et en ciblage, dit Tom Kellermannresponsable de la cybersécurité chez Trend Micro.
Kellerman est convaincu que nous verrons des criminels exploiter les données d’AshleyMadison pour mener des attaques de harponnage visant à fournir des logiciels malveillants tels que des rançongiciels, un autre type de menace d’extorsion qui verrouille les fichiers les plus précieux de la victime avec une clé de chiffrement secrète à moins que et jusqu’à ce que la victime paie une rançon (également en Bitcoins).
« Il va y avoir une vague de criminalité dramatique de ces types de shakedowns virtuels, et ils évolueront en campagnes de harponnage qui exploitent les crypto-malwares », a déclaré Kellerman. « Les mêmes criminels qui aiment déployer des rançongiciels aimeraient utiliser ces données. »
Les données divulguées d’AshleyMadison pourraient également être utiles pour extorquer du personnel militaire américain et potentiellement voler des secrets du gouvernement américain, craignent les experts. Quelque 15 000 adresses e-mail se terminant par point-mil (le domaine de premier niveau de l’armée américaine) ont été incluses dans la base de données AshleyMadison divulguée, ce qui inquiète un peu les hauts responsables militaires.
Selon La collinela Le secrétaire américain à la Défense, Ash Carter a déclaré jeudi dans son briefing quotidien que le DoD enquêtait sur la fuite.
« J’en suis conscient, bien sûr que c’est un problème, car la conduite est très importante », a déclaré Carter aux journalistes lors du briefing, a rapporté The Hill. La publication note que l’adultère dans l’armée est une infraction passible de poursuites en vertu de l’article 134 du Code uniforme de justice militaire. La peine maximale comprend le congédiement déshonorant, la confiscation de tous les salaires et indemnités et l’emprisonnement pendant un an. En tant que tel, Carter a déclaré aux journalistes que des membres du service avaient utilisé le site Web d’adultère Ashley Madison pourrait faire l’objet de sanctions disciplinaires.
Kellerman a déclaré que les attaques contre le personnel militaire qui a utilisé AshleyMadison pourraient bien cibler les conjoints de personnes dont les informations sont incluses dans la base de données – le tout dans le but d’infecter le conjoint afin de finalement voler des informations à la véritable cible (le mari ou la femme militaire infidèle) .
« Il doit déjà se passer quelque chose pour [the Secretary of Defense] d’avoir une conférence de presse à ce sujet », a déclaré Kellerman. « Nous pouvons en fait voir des campagnes de harponnage contre les conjoints d’individus impliqués dans cela, des attaques qui disent : ‘Hé, votre femme ou votre mari a été impliqué dans ce site, voulez-vous en voir la preuve ?’
Et la preuve, dans ce scénario, serait une pièce jointe piégée qui déploie des logiciels espions ou malveillants.
Mac, qui n’est pas un militaire, dit qu’il ne regrette pas la liaison qu’il a eue via Ashley Madison ; son seul regret est de ne pas avoir trouvé un moyen de garder son adresse personnelle hors de ses dossiers sur le site.
« Je regrette d’avoir utilisé mon adresse personnelle et certaines de mes informations personnelles dont AshleyMadison n’a pas pris autant soin qu’elles auraient dû », a-t-il déclaré. « Mais je suis vraiment, je suis en colère que ces hackers pensent qu’il est si important de forcer la main de personnes qui ont une vision différente de la vie. »
Les données d’AshleyMadison sont divulguées sur divers sites, mais les données elles-mêmes ne sont pas facilement consultables par des personnes qui ne sont pas familiarisées avec les fichiers de base de données bruts. Cependant, plusieurs sites ont depuis fait leur apparition qui permettent à quiconque de rechercher par adresse e-mail pour savoir si cette adresse avait un compte sur AshleyMadison.com. Certes, AshleyMadison.com n’a pas toujours vérifié les adresses e-mail, mais certains de ces services de recherche AshleyMadison mis en ligne indiqueront si l’adresse e-mail associée a également un historique de paiement – un marqueur qui pourrait être utile aux extorqueurs.