[ad_1]

Une histoire publiée ici le 12 juillet à propos d’un nouveau système de phishing basé sur la sextorsion qui invoque un vrai mot de passe utilisé par chaque destinataire est devenue l’article le plus lu sur BreachTrace depuis le lancement de ce site en 2009. Et pour cause – le sexe fait vendre (le deuxième l’article le plus lu ici était mon scoop de 2015 sur le hack d’Ashley Madison).

Mais sous l’attrait sinistre des deux histoires se cache une réalité plus troublante : il n’a jamais été aussi facile pour les escrocs de lancer des escroqueries de phishing et d’extorsion convaincantes et ciblées qui sont automatisées à l’échelle mondiale. Et compte tenu du volume considérable de données personnelles piratées et volées désormais disponibles en ligne, il semble presque certain que nous assisterons bientôt à de nombreuses variantes de ces campagnes de phishing qui exploitent des éléments de données personnalisés pour améliorer leur efficacité.

Le stratagème de sextorsion qui a émergé ce mois-ci prétend à tort avoir été envoyé par un pirate informatique qui a compromis votre ordinateur et utilisé votre webcam pour enregistrer une vidéo de vous pendant que vous regardiez du porno. La missive menace de diffuser la vidéo à tous vos contacts à moins que vous ne payiez une rançon en Bitcoin.

Ce qui a le plus effrayé les gens à propos de cette arnaque, c’est que sa salutation incluait un mot de passe que chaque destinataire utilisait légitimement à un moment donné en ligne. Comme la plupart des attaques de phishing, le stratagème de sextorsion qui est devenu viral ce mois-ci ne nécessite qu’une poignée de destinataires pour être victime pour que l’ensemble du stratagème soit rentable.

D’après l’examen des adresses Bitcoin partagées par les lecteurs dans les commentaires sur cette histoire de sextorsion du 12 juillet, il est clair que cette arnaque a amené des dizaines de personnes à payer de quelques centaines à des milliers de dollars en Bitcoin. En tout, ces adresses ont reçu près de 100 000 $ en paiements au cours des deux dernières semaines.

Et c’est juste en examinant les adresses Bitcoin publiées ici; le gain financier total des différentes versions de cette attaque est probablement beaucoup plus élevé. Un examen plus complet par le Utilisateur Twitter @SecGuru_OTX et posté à Pastebin suggère qu’au 26 juillet, plus de 300 adresses Bitcoin étaient utilisées pour escroquer au moins 150 victimes sur un total de 30 Bitcoins, soit environ 250 000 $.

Il y a plusieurs points intéressants à retenir de cette campagne de phishing. Le premier est qu’il a effectivement inversé un modèle de menace familier : la plupart des campagnes de phishing tentent de voler votre mot de passe, alors que celle-ci mène avec lui.

Un élément clé d’une attaque de phishing ciblée est la personnalisation. Et les mots de passe volés sont un leurre persistant, car votre internaute moyen n’a pas la moindre idée du nombre de mots de passe qui ont été piratés, divulgués, perdus ou volés au fil des ans.

Cela a été démontré par le nombre de commentateurs ici qui ont reconnu que le mot de passe inclus dans l’e-mail d’extorsion était celui qu’ils utilisaient encore, certains admettant même qu’ils utilisaient le mot de passe sur plusieurs sites !

Étonnamment, aucun des e-mails de sextorsion ne semblait inclure un lien de site Web de quelque nature que ce soit. Mais considérez à quel point cette escroquerie « J’ai votre mot de passe » serait efficace pour inciter un bon nombre de destinataires à cliquer sur un seul.

Dans un tel scénario, l’attaquant peut configurer le lien pour mener à un « kit d’exploitation », un logiciel criminel conçu pour être intégré à des sites piratés ou malveillants qui exploite diverses vulnérabilités de navigateur Web dans le but d’installer un logiciel malveillant au choix de l’attaquant.

De plus, la plupart des mots de passe référencés dans la campagne de sextorsion semblent avoir été extraits de violations de données qui datent maintenant de plusieurs années. Par exemple, de nombreux lecteurs ont signalé que le mot de passe qu’ils avaient reçu était celui compromis lors de la violation massive de données de LinkedIn en 2012.

Imaginez maintenant à quel point une telle campagne serait plus convaincante si elle tirait parti d’une nouvelle violation de mot de passe – peut-être une dont l’entreprise victime n’était même pas encore au courant.

Il existe de nombreux autres éléments de données qui pourraient être intégrés dans les e-mails d’extorsion pour les rendre plus crédibles, en particulier en ce qui concerne les bases de données fraîchement piratées. Par exemple, il est courant que les bases de données de mots de passe des utilisateurs volées à des entreprises piratées incluent les adresses IP (Internet Protocol) utilisées par chaque utilisateur lors de l’enregistrement de son compte.

Cela pourrait être utile pour les hameçonneurs, car il existe de nombreux services automatisés «géo-IP» qui tentent de déterminer l’emplacement géographique des visiteurs du site Web en fonction de leurs adresses Internet.

Certains de ces services permettent aux utilisateurs de télécharger de grandes listes d’adresses IP et de générer des liens qui tracent chaque adresse sur Google Maps. Soudain, l’e-mail de phishing inclut non seulement un mot de passe que vous utilisez actuellement, mais il contient également une carte Google Street View de votre quartier !

Il existe d’innombrables autres façons dont ces schémas pourraient devenir beaucoup plus personnalisés et terrifiants, le tout de manière automatisée. Le fait est que les campagnes de phishing automatisées et semi-ciblées sont susceptibles de durer.

Voici quelques conseils pour éviter d’être la proie de ces stratagèmes de phishing de plus en plus sophistiqués :

Évitez de cliquer sur les liens et les pièces jointes dans les e-mails, même dans les messages qui semblent provenir de quelqu’un que vous connaissez.

L’urgence devrait être un drapeau rouge géant. La plupart des escroqueries par hameçonnage invoquent un élément temporel qui avertit des conséquences désastreuses si vous ne répondez pas ou n’agissez pas rapidement. Respirez profondément. Si vous ne savez pas si le message est légitime, visitez le site ou le service en question manuellement (idéalement, en utilisant un signet du navigateur afin d’éviter d’éventuels sites de typosquatting).

Ne réutilisez pas les mots de passe. Si vous êtes le genre de personne qui aime utiliser le même mot de passe sur plusieurs sites, vous devez absolument utiliser un gestionnaire de mots de passe. En effet, les gestionnaires de mots de passe gèrent la tâche fastidieuse de créer et de mémoriser des mots de passe uniques et complexes en votre nom ; tout ce que vous avez à faire est de vous souvenir d’un mot de passe principal ou d’une phrase secrète unique et fort. Essentiellement, vous pouvez effectivement utiliser le même mot de passe sur tous les sites Web.

Certains des gestionnaires de mots de passe les plus populaires incluent Dashlane, Keepass, Dernier passage. [Side note: Using unique passwords at each site also can provide a strong clue about which Web site likely got breached in the event that said password shows up in one of these targeted phishing attacks going forward].

-Ne répondez pas aux spams ou aux e-mails de phishing. Plusieurs lecteurs ont déclaré avoir renvoyé des nastygrams virtuels à leurs sextortionnistes potentiels. Merci de résister à la tentation de répondre. Selon toute vraisemblance, la seule chose qu’une réponse accomplira est de faire savoir aux attaquants qu’ils en ont un en direct et de s’assurer que votre adresse e-mail recevra encore plus d’escroqueries et de spams à l’avenir.

– Ne payez pas les extorqueurs. Pour la même raison que répondre aux spammeurs est une mauvaise idée, récompenser les extorqueurs ne sert qu’à favoriser la victimisation de vous-même et des autres. De plus, même si quelqu’un a vraiment la marchandise sur vous, il n’y a aucun moyen pour vous, en tant que victime, d’être sûr que payer fait disparaître la menace.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *