Imaginez. Vous êtes tranquillement en train de relever vos mail, prendre vos café, et là, paf ! Vous voyez un mail déclarant avoir eut sur vous vos informations personnelles, un de vos mot de passe à la clef, et qui dit avoir installé un malware sur votre machine ! Et quel est le pire ? Il déclare avoir réussi à avoir eut accès à votre webcam pendant que vous étiez en train de vous masturber devant un site pornographique. Si vous ne payez pas une somme importante, il diffusera cette vidéo à tout vos proche !

Mais… est-ce vrai ?

Vous avez sans doute entendu des chantages qui essaie de vous faire raquer à l’aide de vidéo pornographique montrant votre personne. Le concept est simple : essayer de vous séduire pour vous faire montrer des parties de vous que vous n’exposez généralement peu en public, dans l’objectif de vous faire payer une rançon pour éviter que la vidéo soit retransmise à tout le monde. Le concept est simple : Le but est d’essayer de vous faire peur afin que vous ne réfléchissiez pas et payez la rançon.

Elle est basée sur du social engineering, le fait de se baser sur les réactions des personnes pour obtenir le comportement où l’information souhaitée.

Cependant, un type de chantage similaire (qui propose le même type de base), mais qui va plus loin, est assez populaire : celui qui consiste à vous faire croire qu’un pirate a pris contrôle de votre webcam pendant que vous étiez en train de regarder des vidéos peu catholique. Je vous laisse imaginer le topo : vous êtes tranquillou en train de regardez vous mails, quand PAF, y’a un mec qui vous agresse en disant que la dernière fois que vous avez vu un porno, il a pris contrôle de votre webcam, et que si vous payez pas entre 300 et 1000 euros (en bitcoin), il va la balancer à tout le monde. Ce qu’il faut savoir, c’est que dans ce genre de cas, ce sont quasiment presque toujours des fakes : le but est d’en envoyer au plus de personne possible afin que des personnes prennent peur et se font avoir.

Petite compilation de spams

Maintenant que j’ai posé les bases du principes, voici quelques spams que j’ai compilés (profitant d’une de mes adresses mail sans spamassassin), afin de pouvoir les analyser, et remarquer quelques techniques employées pour faire peur. N’étant pas un expert en psychologie sociale, il se peut que je ne les remarque pas toutes. Cependant, avec certaines on peut déjà déjouer certains de ces mécanismes, et permettre de rassurer celleux qui auraient des doutes.

Hi, viсtim. This is my last warning. I write you bеcause I рut a malware on the web раgе with pоrn whiсh yоu havе visitеd. My virus grаbbed аll your реrsonаl infо аnd turnеd on yоur cаmera whiсh саpturеd the prоcess оf yоur onаnism. Just аfter that the sоft sаvеd yоur cоntaсt list. I will delеtе thе cоmpromising vidеo and infо if yоu pay mе 999 USD in bitcоin. This is аddress fоr payment : [REDACTED]

I give you 30 hоurs аfter you oреn my message fоr making the trаnsасtion. As sооn as you read the mеssаgе I’ll see it right аway. It is not nесеssаry tо tеll mе that yоu havе sent monеy to me. This аddrеss is cоnnеcted to you, my system will dеlete еvеrything autоmaticаlly after transfеr confirmatiоn. If yоu neеd 48 h just reрly оn this lеttеr with +. You cаn visit thе рoliсе statiоn but nobody сan help you. If yоu try tо deсeivе me , I’ll sеe it right away ! I dont live in your country. Sо they сan nоt traсk my loсation even fоr 9 months. Gооdbyе. Dоnt fоrget about thе shаme аnd tо ignоrе, Your lifе can be ruinеd.

Un petit autre exemple…

Hello.

I sincerely anticipate that I will not hurt ur feelings. Shit happens, life didn’t give me a choice. I don’t hate people with special tastes, moreover only God can judge u. So:

Firstly, I put the particular virus on a web site with porn videos (I think you understood me).

Secondly, when you tapped on a video, soft instantly started working, all cams turned on and screen started recording, then my soft collected all contacts from emails, messengers etc. Im really proud for this soft, it makes devices act as remote desktop with keylogger function, impressive. This email address Ive collected from your device, I emailed u here because I think you will 100% going to check your corporative email.

Eventually, I edited a split screen video, with your participation and porn video from your screen, its very weird. Consequently, I can share this video with all your friends, colleagues, relatives etc. I guess it’s a big problem for you.

But we can resolve this problem. 305 Usd- in my opinion, very common cost for false like this.

I accept only bitcoin, this is my wallet’s address- [REDACTED] U have 45 hours after opening my letter to make transaction. I will see when u read this letter, I adjusted special tracking pixel in it. This time is sufficiently only to complete all verifications and transaction, so you have to think rapidly. If I wont get my «wage», I will share this video with all contact Ive received from ur device.

You can complain to cops for a help, but they wont search out me for even 150 hours, Im from Japan, so think twice. If Ill receive btc- all compromising evidence will be erased forever and I will never message you again.

U can reply, but this Will not make sense, I sent you this notification using my soft for anonymous messages, I don’t check the email after using it, because I contemplate about my safety too. Have a nice day, I hope u will make a good decision for you.

Et un petit dernier pour la route :

Hello! I’m a member of an international hacker group.

As you could probably have guessed, your account [EMAILADDRESS] was hacked, because I sent message you from your account.

Now I have access to all your accounts! For example, your password for [EMAILADDRESS]: [MOTDEPASSE]

Within a period from July 31, 2018 to October 3, 2018, you were infected by the virus we’ve created, through an adult website you’ve visited. So far, we have access to your messages, social media accounts, and messengers. Moreover, we’ve gotten full damps of these data.

We are aware of your little and big secrets…yeah, you do have them. We saw and recorded your doings on porn websites. Your tastes are so weird, you know..

But the key thing is that sometimes we recorded you with your webcam, syncing the recordings with what you watched! I think you are not interested show this video to your friends, relatives, and your intimate one…

Transfer $800 to our Bitcoin wallet: [REDACTED] If you don’t know about Bitcoin please input in Google « buy BTC ». It’s really easy.

I guarantee that after that, we’ll erase all your « data »

A timer will start once you read this message. You have 48 hours to pay the above-mentioned amount.

Your data will be erased once the money are transferred. If they are not, all your messages and videos recorded will be automatically sent to all your contacts found on your devices at the moment of infection.

You should always think about your security. We hope this case will teach you to keep secrets. Take care of yourself.

( celui-là était particulièrement drôle dans mon cas, parce qu’il donnait un mot de passe qui n’était PAS et n’a JAMAIS ÉTÉ utilisé avec cette addresse e-mail, et que je n’utilisais plus depuis longtemps. J’expliquerais plus tard comment il a été retrouvé. )

Les techniques utilisées

Maintenant que l’on a quelques exemples, il est intéressant de

Alors, tout d’abord, on reconnaît les différentes techniques utilisées par ce genre d’arnaque. On peut les trier en plusieurs catégories :

• Créer un sentiment de danger d’urgence.
• Ensuite, faire croire que le « pirate » s’y connait, pour que vous croyez à ce qu’il va dire ensuite.

Le sentiment d’urgence

Tout d’abord, le beaucoup d’éléments sont utilisés pour faire peur, avec des éléments techniques connus. Tout d’abord, le fait de laisser une impression d’urgence, un laps de temps courts. Le but est d’empêcher de réfléchir correctement en donnant l’impression à la victime du chantage qu’il n’a pas beaucoup de temps, afin qu’il paie plus facilement. Dans d’autres emails que je n’ai pas retrouvé, il y a aussi la menace de proposer d’envoyer la vidéo à quelques contacts si la victime n’y croit pas. C’est une méthode simple pour éviter d’être défié. La victime se retrouve face à deux choix, puisque « ne pas y croire » devient « prendre le risque que la vidéo soit envoyé à des contacts ». Évidemment, notre maitre-chanteur insiste bien sur les conséquences qu’auraient une telle révélation.

Le langage « technique »

Ensuite, ces mails essaie de faire croire qu’il sont bien des « hackers », et qu’ils ont donc forcément eut accès à l’information qu’ils prétendent avoir. Le but ici est de jouer sur l’image qu’on a du hacking presque parfois « omniscient » et/ou d’utiliser des informations pour donner plus de crédibilité à leur chantage. Pour ça, ils ont deux techniques : utiliser l’imagerie négative du « méchant hacker » ou utiliser des renseignements qu’ils ont déjà eut pour faire peur et donner l’impression qu’ils auront plus. Petite note : j’utilise ici le mot hacker dans son sens péjoratif tel qu’il a tendance à être trop utiliser dans les médias, pour montrer le type de cliché que ce genre de mail utilise. Les hackers sont en vérité plus des bidouilleurs, et l’image du « grand méchant hackers » est une image souvent caricaturale et fausse.

Dans les techniques utilisé pour montrer les compétences de « grand méchant hackers », il y a donc d’abord utiliser du vocabulaire qui vont jouer sur notre image du hacker. Alors là, on trouve de tout : virus dans une page qui s’active au clic sur la vidéo, l’idée qu’il serait dans un autre pays et donc inatteignable (jouant sur l’image du « hackers » chinois ou d’Europe de l’Est), l’idée qu’il verront automatiquement quand on lit leur message, l’adresse connecté à la notre, et mon petit préféré, l’image d’un pixel qui permettrait de savoir si on a lu le mail… que j’ai reçu dans un mail avec uniquement du texte (j’ai regardé le code source). En plus de donner l’impression qu’on a aucun contrôle sur la situation, le but est également de créer une « atmosphère » qui donnera pour certain⋅e de la crédibilité au mail.

L’utilisation de données récupérées

À cela se rajoute, pour donner l’impression qu’il est un crack et à réussi à véritablement faire ce qu’il dit avoir fait, l’utilisation d’autre donnés. Cette technique est l’une des plus dangeureuse, parce que pouvant le plus faire peur à la victime.

Le fait de s’adresser à nous par le nom et le prénom, le fait d’utiliser notre propre adresse mail pour nous envoyer le mail (ça c’est plus avec les addresses types « addresse de boulot » et tout… ce qui doit rendre encore plus effrayant la chose, d’ailleurs), ou en affichant un ou plusieurs mot de passe récupérés dans un leaks (comme dans le dernier exemple). En effet, il existe des listes un peu partout de mot de passe récupéré dans des leaks, relié du coup souvent à un pseudo et/ou une addresse mail. En effet, pour le dernier mail (que j’ai reçu très récemment), le mot de passe était trouvable dans un leak soit de dailymotion, soit d’un autre truc, et était trouvable. C’était drôle parce que ce n’était pas le mot de passe de ce mail.

Ce qu’il faut comprendre, c’est que ce n’est pas parce qu’un hacker à des informations sur vous qu’il a eut accès à tout. Ces listes de mot de passe sont souvent simple à retrouver, et cela ne veut pas dire qu’il a la capacité de prendre contrôle de votre webcam ni même qu’il les connait tous (cependant, si vos mot de passes sont compromis, changez les tout de même au plus vite). Pour le coup de l’adresse mail, c’est souvent lié au fait d’avoir une addresse mail moins sécurisé pour les envois, soit lié à une technique utilisée pour forger une addresse d’expedition, pour faire croire que le mail provient de l’addresse visée. Dans ce cas là, il est plus prudent de faire en sorte de sécuriser votre serveur mail, si vous en utilisez un personnel.

Cependant, bien évidemment, si vous voyez votre mot de passe dans un tel spam, vous devez immédiatement le changer si ce n’est pas déjà fait ! Je vous conseille de vérifier régulièrement si un de vos mots de passe s’est retrouvé dans un leak. De plus, plutôt que d’utiliser un seul mot de passe, il est préférable d’en utiliser plusieur ainsi que des outils comme keepass ou d’autres gestionnaires de mot de passe, et la double authentification sur autant de site que possible.

Conclusion

Pour conclure, nous avons donc des mails qui ont pour but de vous faire croire que vous êtes dans une situation d’urgence où vous ne pouvez rien faire sauf payer, et face à un pirate dangereux qui possède toutes les informations qu’il doit posséder. On notera qu’il y a un élément qu’il ne montre jamais, et qui pour moi est bien la preuve qu’il n’a pas ce qu’il doit avoir : jamais il ne vous montre d’extrait de la vidéo. Pourtant, on pourrait se dire que c’est le plus efficace pour faire peur : voir un bout de vidéo de soit en train de se masturber rendrait bien plus réel la menace que ce soit publié à d’autre. La raison est simple : il ne possède pas une telle vidéo, s’il la possédait, il n’hésiterait pas à l’utiliser pour vous faire chanter plus facilement.

Cependant, même si c’était vrai, je tiens à rappeller payer ne serait pas une solution. En effet, rien ne prouverais que le pirate va bien supprimer sa vidéo, et ça lui signalerait que vous posséder l’argent. Dans ce genre de cas, le mieux à faire serait de suivre les instructions donnée dans ce genre de cas : bloquer vos réseaux sociaux (tout faire pour limiter les possibilités du pirate), et prévenir les autorités pour pouvoir retirer facilement les vidéos postés. Mais rassurez-vous, ces mails sont très souvent du gros fake.

Et dans le doute, un conseil pour être sûr de savoir si c’est fake où pas si ça vous arrive un jour : mettez un bout de scotch sur votre webcam intégré, et débranché constamment votre webcam et ne l’ayez branché que en cas de besoin. Comme ça vous serez sûr que si un « pirate » vient vous voir en disant qu’il possède une vidéo de vous en train de regardez du contenu pornographique, vous saurez que c’est impossible.