Hier à 16h14, j’ai été la cible d’une tentative d’extorsion qui, heureusement, a échoué.
Cela pourrait également vous arriver.
La menace
Voici le courriel que j’ai reçu.
Je vous salue !
J’ai de mauvaises nouvelles pour vous.
10/11/2018 – ce jour-là, j’ai piraté votre système d’exploitation et obtenu un accès complet à votre messagerie.
Pas la peine de changer le mot de passe, mon logiciel malveillant l’intercepte à chaque fois.
Comment ai-je fait ?
Le logiciel du routeur auquel vous étiez connecté ce jour-là comportait une vulnérabilité.
J’ai d’abord piraté ce routeur et y ai placé mon code malveillant.
Lorsque vous êtes entré sur Internet, mon cheval de Troie était installé sur le système d’exploitation de votre appareil.
Après cela, j’ai effectué une sauvegarde complète de votre disque (j’ai tout votre carnet d’adresses, l’historique des sites de visionnage, tous les fichiers, les numéros de téléphone et les adresses de tous vos contacts).
Il y a un mois, je voulais verrouiller votre appareil et demander un peu d’argent pour le déverrouiller.
Mais j’ai jeté un œil sur les sites que vous visitez régulièrement, et j’ai eu grand plaisir à voir vos ressources préférées.
Je parle de sites pour adultes.
Je veux dire — tu es un grand pervers. Vous avez une fantaisie débridée !
Après cela, une idée m’est venue à l’esprit.
J’ai fait une capture d’écran du site Web intime où vous contentez-vous (Comprends-tu ce que je veux dire ?).
Après cela, j’ai fait une vidéo de votre plaisir (en utilisant la caméra de votre appareil). Il s’est avéré magnifique !
Je suis fermement convaincu que vous ne voudriez pas montrer ces photos à vos parents, amis ou collègues.
Je pense que 331€ est une très petite somme pour mon silence.
En plus, j’ai passé beaucoup de temps sur toi !
J’accepte de l’argent uniquement en Bitcoins. Mon portefeuille BTC: 12EMAbSboa1nvg518vcjvogSL4aDwaUCv9
Vous ne savez pas comment reconstituer un portefeuille Bitcoin ?
Dans n’importe quel moteur de recherche, écrivez « comment envoyer de l’argent à un portefeuille de la BTC ». C’est plus facile que d’envoyer de l’argent à une carte de crédit !
Pour le paiement, vous avez un peu plus de deux jours (exactement 50 heures). Ne vous inquiétez pas, la minuterie commencera au moment où vous ouvrez cette lettre. Oui, oui… cela a déjà commencé !
Après paiement, mon virus et vos photos sales avec vous s’autodétruisent automatiquement.
Si je ne reçois pas le montant spécifié de votre part, votre appareil sera bloqué et tous vos contacts recevront une photo avec vos « joies ».
Je veux que tu sois prudent ;
— N’essayez pas de trouver et de détruire mon virus ! (Toutes vos données sont déjà téléchargées sur un serveur distant)
— N’essayez pas de me contacter (ce n’est pas faisable, je vous ai envoyé un email depuis votre compte)
— Divers services de sécurité ne vous aideront pas. Formater un disque ou détruire un périphérique ne vous aidera pas non plus, puisque vos données sont déjà sur un serveur distant.P.S.— Je vous garantis que je ne vous dérangerai plus après le paiement, car vous n’êtes pas ma seule victime. C’est un code d’honneur des hackers.
À partir de maintenant, je vous conseille d’utiliser de bons antivirus et de les mettre à jour régulièrement (plusieurs fois par jour) !
Ne soyez pas en colère contre moi, tout le monde a son propre travail.
Adieu.
Analyse
Le pirate déclare avoir pris le contrôle de la caméra de mon ordinateur et avoir obtenu des images compromettantes alors je consultais des sites… ‘olé olé’.
Même si je n’ai pas complètement abandonné l’espoir de devenir vedette porno, je ne crois pas que ce pirate soit en mesure de précipiter le lancement ma carrière internationale en divulguant la vidéo magnifique — ce n’est pas moi qui le dit — captée à mon insu.
À l’époque où j’étais sous Windows, on avait réussi à placer un cheval de Troie sur mon ordinateur. Ce virus s’était réveillé un jour en expédiant plus de cinq-cents courriels à partir de mon ordinateur.
Depuis, je suis d’une très grande prudence.
Parmi les nombreuses mesures préventives que j’ai adoptées, j’ai apposé un collant opaque sur la caméra de tous mes appareils mobiles.
Mon MacBook Air à Helsinki
À titre d’exemple, sur la photo ci-dessus, on peut voir le collant vert qui obstrue la caméra située juste au-dessus de l’écran de mon MacBook Air (cliquez la photo pour l’agrandir).
L’adoption de mesures de sécurité sert non seulement à prévenir des attaques, mais elles permettent, dans certains cas, d’avoir la certitude absolue d’être en présence d’un bluff lorsque c’est le cas.
Les petits collants sur mes appareils mobiles m’auront donc évité de payer inutilement une rançon de 331 euros.
Dans toute cette histoire, il y a une chose qui m’intrigue : comment arrive-t-on à fixer une rançon à 331 euros ?
Si vous lisez ces lignes, mon cher pirate, pourriez-vous nous aider à comprendre pourquoi 331 ? De plus, qu’est-ce qui justifie cette tentative d’extorsion la veille de la Saint-Valentin. Est-ce bien raisonnable… franchement.
Finalement, entre nous, comment pour la vidéo seule ?
Complément de lecture : Le nerf optique espion
Paru depuis : Nouvelle tentative de rançonnement (2021-01-31)
Détails techniques de la 2e photo : Olympus OM-D e-m5 mark II, objectif M.Zuiko 7-14mm F/2,8 — 1/160 sec. — F/2,8 — ISO 200 — 9 mm
Désolée de ce qui vous arrive, mais pour la porno, même immatérielle, ce sera difficile de faire concurrence avec Jeff Bezos, et Donald Trump.
Loin d’être rassurée, tout est faux ?
Vous employez aussi l’expression ‘olé olé, qui ne veut pas dire que c’est que du porno…
Et, je ne savais pas que vous cherchiez à devenir une vedette face à la caméra alors que les plus beaux échanges ont lieu derrière l’écran…
Juste une histoire de chantage !… C’est du bidon, j’espère…
Je vais suivre la suggestion de Mme King et renoncer à changer de carrière. C’est une sage recommandation.
À sandy39 :
Le texte du pirate est vrai; c’est un courriel que j’ai réellement reçu.
Effectivement, n’importe quel pirate qui réussit à s’introduire dans un ordinateur peut actionner sa caméra et filmer l’internaute à son insu.
Par mesure de précaution, toute personne qui ne l’utilise jamais — pour des appels vidéos, par exemple — devrait l’obstruer.
C’est ce que j’ai fait il y a des années : si un jour j’en avais besoin, il me suffirait d’enlever le collant pour m’en servir.
Et justement parce que j’ai fait, il m’a suffi de lire le message du pirate pour savoir qu’il bluffait.
Un autre pirate aurait pu faire mieux. Clairenent, c’était un amateur.
Je suggèrerais aux vrais pirates de s’intéresser à ce type qui, de toute évidence, déshonore la profession.
Aux intéressés, l’entête de son message se lit comme suit. Pour un bon pirate, cela devrait suffire à le retracer.
Received: (qmail 28267 invoked by uid 89); 12 Feb 2019 21:14:43 -0000
Received: by simscan 1.2.0 ppid: 28213, pid: 28232, t: 4.2197s
scanners: regex: 1.2.0 attach: 1.2.0 clamav: 0.97.8/m: spam: 3.3.1
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28)
X-Spam-Relay-Country: XX
X-Spam-Level: ****
X-Spam-Status: No, hits=4.5 required=5.0 tests=BAYES_00,BITCOIN_SPAM_07,
HTML_MESSAGE,RCVD_IN_PSBL,RCVD_IN_RP_RNBL,TO_EQ_FM_DIRECT_MX
autolearn=disabled version=3.4.1
Received: from envoily.glider.volia.net (93.74.39.192)
by mta011.aei.ca with SMTP; 12 Feb 2019 21:14:39 -0000
Received-SPF: softfail (mta011.aei.ca: transitioning SPF record at aei.ca does not designate 93.74.39.192 as permitted sender)
bonsoir
ces messages ransom sont standards. On les ignore et on a toujours scotché la caméra de tous les portables depuis jour zéro de leur achat.
j’adore vos photos de voyage. bon courage!
a+
coucou
POUR UNE VEDETTE RUSEE…
Je comprends un peu mieux maintenant.
Il est bien connu que ce n’est pas aux vieux singes que l’on apprend à faire la grimace ; je dirais que vous vous en doutiez et, c’est pour ça que vous est venue l’idée des sites ‘olé olé » et du collant enlevé…
Décidément, je n’aurai, jamais de recommandation à vous faire…
Je viens de recevoir le même message avec le même compte Bitcoin en destination. En revanche origine IP et serveur mail différent.
Visiblement la personne tente de masquer sa connexion derrière un accès VPN.
Je confirme les dires ==> Clairement un amateur qui pense qu’il suffit d’aligner 2 ou 3 mots techniques pour s’y connaître (un peu comme dans les films).
Mais même dans les mauvais films, je n’ai jamais vu un « hacker » utilisant un Windows (« outlook Express » utilisait) pour envoyer ses mails. Et non ce n’est pas le PC d’une de ses victimes qui envoie les mails … sinon pourquoi passer par un VPN 🙂
Merci pour votre témoignage.
Vous avez parfaitement raison de dire que nous n’avons pas eu affaire à un véritable pirate, mais plutôt à un amateur qui bluffe en prétendant en être un.
Ceci étant dit, nous devons reconnaitre que c’est grâce à ce faux pirate que vous et moi avons fait connaissance.
Bienvenue donc sur ce blogue.
Nouveaux développements :
Hier et aujourd’hui, j’ai reçu par courriel le même message trois fois. Il est presque identique à celui ci-dessus, reçu en février dernier.
Il se distingue par le pseudonyme de l’expéditeur (qui change à chaque fois), la rançon demandée (abaissée de 331€ à 300€) et le compte Bitcoin qui a changé pour :
16yQ1zS2J71JHuNLo8npJYRTsbRLt9LLe1
Voici l’entête du courriel intitulé ‘Votre vie secrète’, de jasun78 :
Return-Path:
Received: (qmail 24264 invoked by uid 89); 17 Jul 2019 01:49:52 -0000
Received: by simscan 1.2.0 ppid: 24208, pid: 24235, t: 3.5956s
scanners: regex: 1.2.0 attach: 1.2.0 clamav: 0.97.8/m: spam: 3.3.1
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28)
X-Spam-Relay-Country: BR
X-Spam-Level: **
X-Spam-Status: No, hits=2.2 required=5.0 tests=BAYES_00,DATE_IN_PAST_03_06,
HTML_MESSAGE,RCVD_IN_RP_RNBL,XPRIO autolearn=disabled version=3.4.1
Received: from c9068f09.virtua.com.br (201.6.143.9)
by mta011.aei.ca with SMTP; 17 Jul 2019 01:49:48 -0000
Received-SPF: none (mta011.aei.ca: domain at sernas.com does not designate permitted sender hosts)
Voici l’entête du courriel ‘Alerte de sécurité!’ de yehudit78 :
Return-Path:
Received: (qmail 27088 invoked by uid 89); 15 Jul 2019 22:40:24 -0000
Received: by simscan 1.2.0 ppid: 27077, pid: 27079, t: 2.2470s
scanners: regex: 1.2.0 attach: 1.2.0 clamav: 0.98/m: spam: 3.3.1
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28)
X-Spam-Relay-Country: XX
X-Spam-Level:
X-Spam-Status: No, hits=0.8 required=5.0 tests=BAYES_00,DOS_OUTLOOK_TO_MX,
FSL_HELO_NON_FQDN_1,HTML_MESSAGE autolearn=disabled version=3.4.1
Received: from cust025 (185.9.91.25)
by mta010.aei.ca with SMTP; 15 Jul 2019 22:40:22 -0000
Received-SPF: none (mta010.aei.ca: domain at striker.ottawa.on.ca does not designate permitted sender hosts)
Pour terminé, voici l’entête du courriel ‘Alerte de sécurité!’ de gibbie78 :
Return-Path:
Received: (qmail 1258 invoked by uid 89); 15 Jul 2019 15:10:04 -0000
Received: by simscan 1.2.0 ppid: 1155, pid: 1160, t: 5.4703s
scanners: regex: 1.2.0 attach: 1.2.0 clamav: 0.97.8/m: spam: 3.3.1
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28)
X-Spam-Level: **
X-Spam-Relay-Country: XX
X-Spam-Status: No, hits=2.2 required=5.0 tests=BAYES_00,HELO_DYNAMIC_IPADDR,
HTML_MESSAGE,KHOP_DYNAMIC,NO_FM_NAME_IP_HOSTN,RCVD_IN_RP_RNBL,RDNS_DYNAMIC
autolearn=no autolearn_force=no version=3.4.1
Received: from dynamic-37-142-198-226.hotnet.net.il (37.142.198.226)
by mta011.aei.ca with SMTP; 15 Jul 2019 15:09:59 -0000
Received-SPF: none (mta011.aei.ca: domain at modulonet.fr does not designate permitted sender hosts)
Nouveau développement :
Aujourd’hui, c’est au tour d’un autre fraudeur amateur de m’envoyer un message presque identique.
La rançon est passée à 317€ et le compte Bitcoin est devenu :
1Ph9EnZaPPqcqLiJhTg2qiyQQtNDed1h2n
Voici l’entête du courriel intitulé ‘Votre compte’ :
Return-Path:
Received: (qmail 21111 invoked by uid 89); 10 Sep 2019 21:05:23 -0000
Received: by simscan 1.2.0 ppid: 21061, pid: 21084, t: 3.7220s
scanners: regex: 1.2.0 attach: 1.2.0 clamav: 0.97.8/m: spam: 3.3.1
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28)
X-Spam-Relay-Country: BR
X-Spam-Level: ***
X-Spam-Status: No, hits=3.4 required=5.0 tests=BAYES_00,BITCOIN_SPAM_02,
DATE_IN_PAST_03_06,HTML_MESSAGE,RCVD_IN_RP_RNBL autolearn=disabled
version=3.4.1
Received: from bd05b2f1.virtua.com.br (189.5.178.241)
by mta011.aei.ca with SMTP; 10 Sep 2019 21:05:19 -0000
Received-SPF: none (mta011.aei.ca: domain at ysschegalm.be does not designate permitted sender hosts)
Bonjour j’ai reçu le même message ce matin. La seule différence c’est la somme. Il réclame 500€.
Le montant de 331 euros est probablement le résultat de la conversion de 500CAD vers EUR au moment où le message est envoyé…