C’est une arnaque en cours de depuis l’été 2018. Vous venez de recevoir un mail dont la ligne Objet contient un mot de passe que vous avez probablement utilisé à un moment donné. L’expéditeur dit qu’il a utilisé ce mot de passe pour pirater votre ordinateur, installer des logiciels malveillants et enregistrer une vidéo de vous via votre webcam, etc. Ils disent qu’ils vont révéler votre fréquentation de sites pornographiques et envoyer une capture d’écran durant votre navigation ou une vidéo de vous à vos contacts. Sauf si vous leur envoyez des bitcoins, une somme de 800 €, 1 200 € ou 1 600 €.
D’un cynisme à toute épreuve, certains messages se terminent par « This is a one-time offer that is non-negotiable, so do not waste my and your time.
Time is running out. » Sans commentaires …
Les attaquants ne disposent pas de vidéo sur vous ni d’accès à vos contacts, et ils n’ont pas installé un code malveillant sur votre ordinateur. Ils ont collecté votre ancien mot de passe sur une base de données d’identifiants et mots de passe piratés sur Yahoo et autres sites. Ils placent ce mot de passe dans l’objet du message et espèrent que vous croirez leur récit anxiogène et leur enverrez des bitcoins. Certains arnaqueurs ont gagné plus de 50 000 dollars grâce à un système de chantage, basé sur une analyse des portefeuilles bitcoins, a rapporté Bleeping Computer. Comme l’écrit Brian Krebs, journaliste spécialisé dans la sécurité, cette arnaque est probablement automatisée, ce qui signifie que vous n’êtes pas spécifiquement ciblé: « Il est probable que cette tentative de sextorsion améliorée est au moins semi-automatisée: je suppose que l’auteur a créé une sorte de script qui tire directement des noms d’utilisateur et des mots de passe d’une violation de données donnée sur un site Web populaire il y a une décennie, et chaque victime dont le mot de passe a été compromis dans le cadre de cette violation reçoit le même courrier électronique à l’adresse utilisée pour s’inscrire sur ce site Web piraté. » Pour le moment, les fraudeurs semblent utiliser de très vieux mots de passe, peut-être un que vous n’avez pas utilisé depuis des années. Mais au fur et à mesure que l’escroquerie se développe, il y a de fortes chances que les messages incluent les références d’une nouvelle brèche, selon Krebs.
Comment se protéger?
Pour cette arnaque, il n’y a aucune raison se s’inquiéter si vous avez déjà changé vos mots de passe. Rappelons les règles pour bien vous protéger: utilisez des mots de passe longs et robustes, demandez à un gestionnaire de mots de passe de s’assurer que chaque compte dispose d’un mot de passe unique et activez l’authentification à deux facteurs sur vos comptes importants. Surtout, n’envoyez pas de bitcoins aux fraudeurs !
Soyez le premier à commenter