Barracuda full logo

Threat Spotlight : une « sextorsion » en cours exploite des données obtenues frauduleusement

Thèmes:
31 oct. 2018
|
Jonathan Tanner

Une chose certaine est que les cybercriminels sont inventifs et opportunistes ! À de nombreuses reprises, ils ont profité de grands événements mondiaux pour mener des tentatives d’escroquerie ou d’hameçonnage. Pour soutirer de l’argent aux internautes les plus crédules et les moins conscients de leur sécurité, les escrocs d’envergure internationale peuvent utiliser un certain nombre d’appâts, allant de l’héritage valant plusieurs millions de dollars au voyageur en détresse. Ajoutez au mélange quelques informations d’ordre personnel et une (fausse) extorsion, et vous avez concocté l'une des plus récentes campagnes d’hameçonnage connues. C’est de cette opération dont nous discutons ce mois-ci dans notre article de « Threat Spotlight ».

Une menace sous les projecteurs :

Escroquerie par sextorsion — Des pirates ont soutiré des bitcoins à leurs victimes en utilisant des mots de passe dérobés au cours de fuites de données anciennes. Les criminels ont prétendu avoir enregistré sur les ordinateurs de leurs cibles des vidéos compromettantes, qu’ils ont menacé de divulguer en masse aux contacts de chaque victime.

In this Threat Spotlight, @Barracuda examines sextortion scams where attackers use passwords stolen in a past #databreach to trick users into paying to avoid having a compromising video released
Click To Tweet



e-mail de sextorsion

Les détails :


Pour les internautes anglophones tout au moins, ce genre d'e-mail arrive en général avec une ligne d’objet constituée d'un seul mot. Ce mot n’est pas n'importe lequel, mais un terme immédiatement reconnaissable : l'un des mots de passe du destinataire. Dans certains cas, la ligne d’objet contient la phrase « Votre mot de passe est… », avec le mot de passe écrit en clair. Quoi qu’il en soit, l'objectif est toujours d'attirer immédiatement l’attention du destinataire sur le fait qu'il pourrait avoir été piraté. Le message qui suit, mal écrit, affirme que l'ordinateur du destinataire a été infecté à distance par un cheval de Troie (les termes « ordinateur à distance » sont employés). Il précise que ce logiciel indésirable provient d'un site pornographique et qu’il a enregistré des vidéos de la cible en train de regarder des clips ou films érotiques. L’auteur de l'email prétend également disposer d’une liste des contacts de sa victime sur les messageries électroniques et les réseaux sociaux. Pour finir, il menace d’envoyer à ces contacts une des vidéos compromettantes à moins qu’une somme d'argent ne lui soit payée (en bitcoins, bien sûr). Nous avons également vu des cas où un attaquant a intensifié sa tactique d'intimidation en envoyant plusieurs e-mails à la même adresse, et nous pensons que cette démarche est probablement utilisée pour le plupart des cibles, peut-être même pour toutes.

La bonne nouvelle est que les vidéos supposées n’existent pas. Personne ne dispose non plus d’une liste de contacts à qui il pourrait divulguer quoi que se soit. Les pirates connaissent réellement des mots de passe authentiques, mais ces identifiants proviennent probablement de la « liste combinée anti-publique », document contenant plus de 500 millions de mots de passe qui ont été compromis à la suite de plusieurs fuites de données. Cette liste a été rendue publique en 2016. Les pirates n’ont téléchargé aucun logiciel malveillant sur les ordinateurs de leurs cibles. Il est vrai que les chevaux de Troie d'accès à distance (aussi appelés RAT, Remote Access Trojans) sont très courants de nos jours, mais heureusement, aucun logiciel de ce type n’a été utilisé pour infecter les ordinateurs des victimes lors de l’attaque récente. Les destinataires des messages malveillants sont les seuls à savoir s'ils ont ou non visité des sites pornographiques, mais quoi qu’il en soit, il est peu probable qu’ils l’aient fait sur l’ordinateur sur lequel ils ont reçu leur message. La raison est simple : ces courriers ont principalement été envoyés à des adresses professionnelles. Nous pouvons donc raisonnablement présumer que l’une des assertions des criminels est fausse, bien que nous n’ayons bien sûr pas posé de questions détaillées à ce sujet. Par conséquent, il s’ensuit probablement que le reste des messages est, lui aussi, mensonger.

L’envergure de l'opération de sextorsion


La campagne a commencé en juillet, mais elle est toujours en cours. Les chercheurs de Barracuda ont examiné plus de 1 000 cas de mise en œuvre qui couvraient seulement quelques jours. Nous avons aussi connaissance d’environ 24 000 e-mails qui ont été envoyés depuis septembre à partir du même groupe d’adresses que les échantillons observés. Ce chiffre donne une meilleure idée de l’envergure de l’opération. Comme les messages que nous avons vus provenaient de clients qui nous les avaient signalés manuellement, nous pensons que ces messages ne représentent qu’une fraction de la totalité. La plupart des courriers reçus ne nous ont probablement pas été transmis.

Les attaquants sont aussi allés jusqu’à utiliser des langues autres que l’anglais, comme l'espagnol et l'allemand. Notons toutefois que les messages écrits dans ces langues ne contiennent pas de mot de passe en clair, peut-être parce que les attaquants ne se sont pas procuré d’identifiants pertinents. (Il semble des listes de distribution soient utilisés pour les envois dans ces langues, contrairement aux envois en anglais qui sont basés sur une liste de mots de passe.) Dans notre échantillon, nous avons vu des messages envoyés en Australie, en Belgique, au Canada, en Chine, en République tchèque, en Espagne, au Guatemala, en Hongrie, en Irlande, en Islande, au Japon, au Sri Lanka, aux Pays-Bas, au Royaume-Uni et aux États-Unis.

À partir du millier de portefeuilles de bitcoins couverts par notre échantillon, seuls quatre transferts ont été effectués. Cela dit, les montants extorqués vont de 1 000 à 7 000 dollars. Il est donc facile de comprendre pourquoi la campagne a atteint d’aussi grandes proportions, d’autant plus qu’elle ne nécessite que des dépenses très réduites. Tout ce que les criminels ont à faire est d’envoyer des e-mails à des adresses provenant de listes publiques. Il est également possible que l'attaque ait été plus efficace à ses débuts, avant la publication d’articles expliquant qu'il ne s'agissait que d'une supercherie.

With extortion amounts at anywhere from $1,000 to $7,000, it's easy to see why the #sextortion scam is popular with cyber criminals, especially given that the overhead is so low.
Click To Tweet


La perspective d'une victime potentielle


Nous avons parlé à une femme qui a reçu un e-mail de sextorsion à trois reprises depuis le début du mois d'octobre. Ces e-mails lui sont parvenus à des intervalles d’environ une semaine, et les menaces changeaient à chaque fois, avec des assertions légèrement différentes d’un message sur l’autre. Le premier e-mail contenait le texte de référence de la campagne, l’expéditeur affirmant qu’il disposait d’une vidéo où l’on voyait sa cible en train de visiter un site pornographique. La ligne d’objet mentionnait un très ancien mot de passe de la cible, avec quelques mots précisant que son adresse e-mail avait été piratée. Le deuxième message mentionnait un autre mot de passe, encore plus ancien que le premier. L’auteur y tentait également de réfuter les raisons pour lesquelles sa cible aurait pu ignorer le premier envoi : il lui déclarait que même si elle avait changé de mot de passe, c’était indifférent car il contrôlait son ordinateur depuis des années. Les allégations sur ce qui avait été enregistré étaient moins précises. L’expéditeur affirmait simplement qu'il avait piraté la caméra de sa victime et qu’il disposait de vidéos d'événements bizarres se déroulant dans son bureau. Les trois messages provenaient d'une adresse e-mail qui avait été falsifiée pour ressembler à celle de la cible. Ils ont tous les trois été détectés en tant que courriers indésirables.

Quand la destinataire a reçu le premier e-mail, elle a contacté son fournisseur d'accès à Internet, mais il n’a décelé aucune activité malveillante. Sachant que le mot de passe mentionné dans le message était ancien et qu’elle suivait les meilleures pratiques en matière de gestion d’identifiants, notre interlocutrice s’est contentée de changer les mots de passe de toutes ses applications et de tous ses comptes, et elle a ignoré la menace à son encontre. Après le deuxième envoi, elle a procédé à des recherches en ligne et elle a découvert de quoi il s’agissait réellement.

« Je comprends bien que c'est une supercherie, mais c'est quand même troublant », a-t-elle déclaré. « C'est très réaliste. »

Les tactiques pour une campagne efficace


Abstraction faite de son efficacité réelle, la campagne de sextorsion en cours emploie un certain nombre de tactiques qui, en général, rendent les campagnes efficaces. Les auteurs des e-mails fournissent à chacune de leurs cibles une information censée rester secrète (en l’occurrence, l’un des mots de passe de la cible). Ce type d’agissement ne fait pas que provoquer de l'inquiétude ou de la crainte. Il peut également amener les cibles à penser que les auteurs disent vrai quand ils affirment que d’autres informations habituellement secrètes leur sont connues (par exemple, les habitudes de navigation en ligne de leurs victimes). La réussite de la campagne a également été facilitée par l’ambivalence générale en rapport à la pornographie, ce type de contenu étant largement consommé bien que la discussion en soit souvent taboue. Enfin, l'explication de l’attaque (imaginaire) contre les cibles est puisée dans des descriptions de crimes connus, ce que garantit qu'une éventuelle recherche sur le web produira un grand nombre de résultats récents concernant d'autres attaques semblables (celles-ci véritables).

Les faiblesses de l'opération résident principalement dans la grammaire fautive des messages (signe courant d’une escroquerie par hameçonnage), l'ancienneté des mots de passe exploités (rendant possible qu’ils ne soient plus en usage) et, pour finir, l’incertitude des criminels sur une éventuelle consommation récente de pornographie par leurs cibles.

Don't react to a #sextortion email out of fear. Always pay close attention to the details and do not assume that a breached password or spoofed email means that you are currently compromised. #emailsec #phishing #cybercrime
Click To Tweet

 

 

Comment vous protéger


Défendez-vous en temps réel contre l’hameçonnage ciblé et la fraude en ligne — Barracuda Sentinel est le seul produit du marché qui puisse empêcher automatiquement les tentatives de prise de contrôle de vos comptes de messagerie. Il combine trois couches efficaces : un moteur d'intelligence artificielle qui bloque en temps réel les attaques par hameçonnage ciblé, même celles qui proviennent d’adresses e-mail internes à votre entreprise ; un dispositif basé sur l'authentification DMARC, qui vous protège contre l’usage frauduleux de marques commerciales et de noms de domaine ; et une formation pour vos utilisateurs à haut risque, avec des simulations d’agissements criminels.

Formez et sensibilisez votre personnel — Vos employés doivent être régulièrement formés et testés. C’est de cette façon qu’ils seront convenablement sensibilisés à la sécurité et qu’ils prendront conscience de la diversité des types d’attaques ciblées. Les formations qui comprennent des simulations d'attaque sont, de loin, les plus efficaces.La plateforme Barracuda PhishLine peut fournir à vos salariés une formation complète conforme aux normes SCORM, avec des examens ainsi que des simulations d’hameçonnage employant divers vecteurs (e-mails, messageries vocales et textos). Cette plateforme comprend également d’autres outils utiles pour former vos utilisateurs à la détection des attaques informatiques.

Autres bonnes pratiques :

 

  •  

    •  
    • Vérifiez régulièrement vos adresses e-mail et vos mots de passe pour déterminer si certaines de ces données ont fuité. Si c’est le cas, changez les mots de passe compromis. Ce type de vérifications est facile grâce à des sites comme haveibeenpwned.com.
    •  
    • Utilisez des mots de passe complexes, qui sont longs et difficiles à deviner et qui contiennent à la fois des majuscules, des minuscules, des chiffres et des caractères spéciaux. Cette mesure est importante pour assurer votre sécurité. Sur la base des échantillons que nous avons pu analyser, un grand nombre des mots de passe qui fuitent sont loin d'être idéaux.
    •  
    • Recourez à un gestionnaire de mots de passe pour générer des mots de passe complexes et pour ne pas les perdre de vue. Certains de ces outils peuvent même vous alerter lorsqu'ils détectent une fuite potentielle de l’un de vos mots de passe, ce qui vous permet de changer sans délai l’identifiant compromis.
    •  
    • Programmez des contrôles réguliers de la sécurité de votre infrastructure. C'est une bonne idée de vérifier régulièrement que vos mots de passe sont suffisamment complexes, que vos dispositifs de sauvegarde fonctionnent bien et que vos systèmes sont à jour. Réservez du temps dans votre agenda pour vous souvenir de le faire.
    •  
    • Assurez-vous que vos navigateurs et systèmes d'exploitation sont à jour. De cette façon, vous empêcherez les exploits d'infecter vos ordinateurs, tout comme quand vous faites preuve de prudence en ouvrant des pièces jointes à des e-mails ou en suivant des liens. Il est vrai que, lors de l’attaque en cours, les criminels n'ont pas provoqué d’infection par logiciel malveillant sur les ordinateurs de leurs cibles. Ceci dit, les logiciels de type RAT sont très répandus. Il appartient donc aux internautes de prendre des mesures pour prévenir les infections par ces outils malveillants, ainsi que par d’autres. Dans cette optique, maintenez vos navigateurs et systèmes d'exploitation à jour.
    •  
    • Maintenez-vous au courant des développements. Pour en apprendre davantage sur les diverses menaces véhiculées par e-mail et sur les mesures à prendre pour les éviter, consultez nos autres récents articles de la série « Threat Spotlight.
    •  
    • Procurez-vous un cache-caméra ou désactivez la caméra de votre ordinateur. Admettons-le : lors de la campagne dont nous avons discuté, les criminels ont recouru à une supercherie en mentionnant des vidéos fictives. Il n’empêche que ce type de menace peut inquiéter. Si les agissements révélés vous suscitent des angoisses, vous pourriez envisager de rendre votre caméra inutilisable afin de protéger votre vie privée.
    •  
    • Ne réagissez pas par crainte. Procédez à des recherches sur le web pour vous informer des formulations clés utilisées dans les e-mails frauduleux. De cette façon, vous serez mieux en mesure de vérifier si un e-mail suspect est malveillant. Pour le moins, vous obtiendrez des renseignements utiles sur les attaques en cours. Prêtez toujours une grande attention aux détails : si un de vos mots de passe a fuité ou si votre adresse e-mail a été usurpée, ne pensez pas automatiquement que votre sécurité est compromise. Si vous avez des questions, adressez-vous à votre fournisseur d’accès à Internet ou à votre service d’assistance technique.
    •  

  •  

 

Barracuda vous propose un dispositif intégral de sécurisation des e-mails, qui protège votre entreprise contre l’hameçonnage ciblé et les autres formes d’attaque par e-mail. Pour en savoir plus, référez-vous à notre site destiné aux entreprises.

 

 

Tous les articles de la série « Threat Spotlight » de Barracuda sont consultables ici.

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.