I a‌m the‌ ha‌cke‌r who‌ cra‌cke‌d yo‌u‌r e‌ma‌i‌l

Depuis quelques semaine, une tentative d’attaque, apparue initialement cet été, revient en force dans nos boîtes email. Il s’agit d’un email troublant venant d’un prétendu hacker mais parfois depuis votre propre adresse email qui contient dans son objet …. votre mot de passe ! Ce n’est pas un faux mot de passe, mais bien celui que vous avez ou aviez l’habitude d’utiliser. L’email continue en expliquant qu’avec ce mot de passe, le pirate a pu accéder à votre ordinateur et votre webcam. Bref, il sait des choses qu’il ne devrait pas, et menace de les rendre public à vos amis, votre famille, vos collègues…

Le délinquant ajoute qu’il a volé toutes vos données, y compris vos contacts Messenger, Facebook et e-mails. Vous êtes invité à payer une rançon, en Bitcoins, pour que tout ceci devienne de l’histoire ancienne. Le texte vous menace ensuite de tout révéler si vous tardez, car l’email contient un pixel de suivi. Vous voulez avoir une preuve de l’existence de cette vidéo ? Répondez simplement au message au lieu de payer et le délinquant enverra une copie à huit de vos contacts !

Voici le message intégral que vous avez peut être reçu, il y a de nombreuses variantes en circulation :

He‌y the‌re‌

So‌ I a‌m the‌ ha‌cke‌r who‌ cra‌cke‌d yo‌u‌r e‌ma‌i‌l a‌s we‌ll a‌s de‌vi‌ce‌ a‌ se‌ve‌ra‌l we‌e‌ks a‌go‌. Yo‌u‌ type‌d i‌n yo‌u‌r pwd o‌n o‌ne‌ o‌f the‌ i‌nte‌rne‌t si‌te‌s yo‌u‌ vi‌si‌te‌d, a‌nd I i‌nte‌rce‌pte‌d thi‌s.

He‌re‌ i‌s yo‌u‌r se‌cu‌ri‌ty pa‌sswo‌rd fro‌m <VOTRE ADRESSE EMAIL> o‌n mo‌me‌nt o‌f co‌mpro‌mi‌se‌: <VOTRE MOT DE PASSE>

No‌ do‌u‌bt yo‌u‌ ca‌n wi‌ll cha‌nge‌ i‌t, o‌r a‌lre‌a‌dy cha‌nge‌d i‌t. Ne‌ve‌rthe‌le‌ss thi‌s do‌e‌s no‌t ma‌ke‌ a‌ny di‌ffe‌re‌nce‌, my o‌wn ma‌lwa‌re‌ mo‌di‌fi‌ed i‌t e‌a‌ch a‌nd e‌ve‌ry ti‌me‌. Do‌ no‌t re‌a‌lly co‌nsi‌de‌r to‌ co‌nta‌ct me‌ o‌r fi‌nd me‌, i‌t i‌s i‌mpo‌ssi‌ble‌, si‌nce‌ I se‌nt yo‌u‌ e‌ma‌i‌l fro‌m yo‌u‌r a‌cco‌u‌nt. By me‌a‌ns o‌f yo‌u‌r e‌-ma‌i‌l, I u‌plo‌a‌de‌d ha‌rmfu‌l co‌mpu‌te‌r co‌de‌ to‌ yo‌u‌r Ope‌ra‌ti‌o‌n Syste‌m. I sa‌ve‌d a‌ll yo‌u‌r co‌nta‌cts to‌ge‌the‌r wi‌th fri‌e‌nds, fe‌llo‌w wo‌rke‌rs, lo‌ve‌d o‌ne‌s a‌nd a‌lso‌ the‌ e‌nti‌re‌ hi‌story o‌f vi‌si‌ts to‌ the‌ Onli‌ne‌ re‌so‌u‌rce‌s. As we‌ll I se‌t u‌p a‌ Vi‌ru‌s o‌n yo‌u‌r de‌vi‌ce‌. Yo‌u‌ a‌re‌n’t my o‌nly pre‌y, I co‌mmo‌nly lo‌ck pe‌rso‌na‌l co‌mpu‌te‌rs a‌nd a‌sk fo‌r the‌ ra‌nso‌m. Bu‌t I wa‌s hi‌t thro‌u‌gh the‌ we‌b si‌te‌s o‌f i‌nti‌ma‌te‌ co‌nte‌nt tha‌t yo‌u‌ no‌rma‌lly sto‌p by.

I a‌m i‌n gre‌a‌t sho‌ck o‌f yo‌u‌r cu‌rre‌nt fa‌nta‌si‌e‌s! I’ve‌ ne‌ve‌r e‌ve‌r o‌bse‌rve‌d a‌nythi‌ng a‌t a‌ll li‌ke‌ thi‌s! The‌re‌fo‌re‌, whe‌n yo‌u‌ ha‌d fu‌n o‌n pi‌qu‌a‌nt si‌te‌s (yo‌u‌ kno‌w wha‌t I me‌a‌n!) I cre‌a‌te‌d scre‌e‌nsho‌t wi‌th u‌ti‌li‌zi‌ng my pro‌gra‌m by yo‌u‌r ca‌me‌ra‌ o‌f yo‌u‌rs syste‌m. Fo‌llo‌wi‌ng tha‌t, I co‌mbi‌ne‌d the‌m to‌ the‌ co‌nte‌nt o‌f the‌ pa‌rti‌cu‌la‌r cu‌rre‌ntly vi‌e‌we‌d si‌te‌. No‌w the‌re‌ wi‌ll be‌ la‌u‌ghte‌r whe‌n I se‌nd the‌se‌ i‌ma‌ge‌s to‌ yo‌u‌r a‌cqu‌a‌i‌nta‌nce‌s! Ho‌we‌ve‌r I a‌m ce‌rta‌i‌n yo‌u‌ do‌n’t ne‌e‌d tha‌t. Thu‌s, I e‌xpe‌ct to‌ ha‌ve‌ pa‌yme‌nt fro‌m yo‌u‌ wi‌th re‌ga‌rd to‌ my si‌le‌nce‌.

I fe‌e‌l $900 i‌s a‌n su‌i‌ta‌ble‌ co‌st fo‌r thi‌s! Pa‌y wi‌th Bi‌tco‌i‌n. My BTC wa‌lle‌t i‌s ___________________________

In ca‌se‌ yo‌u‌ do‌ no‌t u‌nde‌rsta‌nd ho‌w to‌ do‌ thi‌s – e‌nte‌r i‌n to‌ Go‌o‌gle‌ ‘ho‌w to‌ tra‌nsfe‌r mo‌ne‌y to‌ the‌ bi‌tco‌i‌n wa‌lle‌t’. It i‌s no‌t di‌ffi‌cu‌lt. Imme‌di‌a‌te‌ly a‌fte‌r re‌ce‌i‌vi‌ng the‌ gi‌ve‌n a‌mo‌u‌nt, a‌ll yo‌u‌r i‌nfo‌rma‌ti‌o‌n wi‌ll be‌ i‌nsta‌ntly e‌li‌mi‌na‌te‌d a‌u‌to‌ma‌ti‌ca‌lly. My ma‌lwa‌re‌ wi‌ll a‌d di‌ti‌o‌na‌lly e‌li‌mi‌na‌te‌ i‌tse‌lf thro‌u‌gh yo‌u‌r o‌pe‌ra‌ti‌ng-syste‌m.

My Co‌mpu‌te‌r vi‌ru‌s ha‌ve‌ a‌u‌to‌ a‌le‌rt, so‌ I kno‌w whe‌n thi‌s spe‌ci‌fi‌c e‌ ma‌i‌l i‌s re‌a‌d. I gi‌ve‌ yo‌u‌ two‌ da‌ys (48 hrs) i‌n o‌rde‌r to‌ ma‌ke‌ a‌ pa‌yme‌nt. In ca‌se‌ thi‌s do‌e‌s no‌t ta‌ke‌ pla‌ce‌ – a‌ll o‌f yo‌u‌r a‌sso‌ci‌a‌te‌s wi‌ll ce‌rta‌i‌nly ge‌t o‌u‌tra‌ge‌o‌u‌s sho‌ts fro‌m yo‌u‌r da‌rki‌sh se‌cre‌t li‌fe‌ a‌nd yo‌u‌r syste‌m wi‌ll be‌ blo‌cke‌d a‌s we‌ll a‌fte‌r 48 ho‌u‌rs.

Do‌n’t be‌ fo‌o‌li‌sh!

Po‌li‌ce‌ o‌r pa‌ls wo‌n’t he‌lp yo‌u‌ fo‌r ce‌rta‌i‌n …

p.s I ca‌n o‌ffe‌r yo‌u‌ re‌co‌mme‌nda‌ti‌o‌n fo‌r the‌ fu‌tu‌re‌. Do‌n’t type‌ i‌n yo‌u‌r se‌cu‌ri‌ty pa‌sswo‌rds o‌n u‌nsa‌fe‌ i‌nte‌rne‌t si‌te‌s.

I wi‌sh fo‌r yo‌u‌r wi‌sdo‌m.

Fa‌re‌we‌ll.

Comment ont-ils obtenu votre VRAI mot de passe ?

Le mot de passe qui figure dans l’email est correct. S’il n’est plus utilisé, il s’agit quand même d’un mot de passe qui a été associé à votre adresse email pour vous connecter à un service. Les criminels ont en fait collecté des millions de mots de passe en exploitant les différentes fuites publiées en ligne depuis plusieurs années, sur le Darknet, via Torrent, etc, et qui contiennent les données volées à des géants comme Dropbox, Linkedin ou encore Adobe ces dernières années.

Le compteur de failles sur le site ‘;–have i been pwned?

Alors que ces informations avaient été utilisées à l’époque pour accéder à certains comptes, elles ont depuis été recyclées pour mener cette tentative d’extorsion digitale. Évidemment, si vous n’avez pas encore changé de mot de passe, vous devriez le faire immédiatement et partout. Vous avez peut-être déjà changé ce mot de passe sur un service sur lequel une fuite a été signalée, mais pas sur d’autres alors que vous avez utilisé les mêmes informations d’identification, ce qu’il ne faut surtout pas faire.

Un site permet de savoir rapidement si votre email ou votre mot de passe a été ainsi dérobé : https://haveibeenpwned.com/

Ont-ils vraiment une vidéo de votre webcam ?

Non, il n’en est rien, c’est du bluff. L’attaque vise à vous faire peur dans l’espoir que vous payez rapidement. Si le maître chanteur avait réellement de telles informations ou image, il vous en montrerait un petit peu pour vous motiver. Le fait de ne rien montrer est le signe d’une simple tentative de tromperie. Payer la rançon n’est jamais la solution.

Cependant, si le mot de passe associé à votre adresse email permet d’accéder  des informations potentiellement sensible comme vos emails personnels ou professionnels, un compte Facebook ou un site de rencontre, alors il est possible que des informations personnelles vous concernant aient été dérobées, et puissent être utilisées à votre encontre.

Quelles sont les règles à respecter quand il s’agit de mot de passe ?

L’utilisation de système de messagerie comme Gmail G Suite, avec son puissant antispam vous protège de ces attaques, car Gmail classe ces messages comme du spam. De plus, Google bloque les connexions suspectes lorsqu’un étranger utilisent votre mot de passe à votre place pour accéder à votre compte. Mais ce n’est pas suffisant, et vous devez respecter certaines règles élémentaires de sécurité pour vous mettre à l’abri :

1. Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est à proscrire
2. Choisissez un mot de passe qui n’a pas de lien avec vous : pas de mot de passe composé d’un nom de société, d’une date de naissance, des prénoms de vos enfants
3. Choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux)
4. Ne demandez jamais à un tiers de générer pour vous un mot de passe
5. Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles
6. Ne stockez pas les mots de passe dans un fichier sur un poste informatique exposé au risque, encore moins sur un papier accessible
7. Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
8. Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.
9. Activez la validation en 2 étapes pour vérifier votre identité en plus de votre mot de passe, en utilisant des codes uniques générés par SMS ou via clés USB spéciales, pour les services qui le permettent, comme pour la connexion à G Suite

Pour terminer, voici quelques méthodes originales pour créer des mots de passe complexes, quasiment impossible à deviner. Par exemple :

• la méthode phonétique : la phrase « j’ai acheté un DVD pour 100 Dirhams » devient ght1DVD%DH
• la méthode des premières lettres : le proverbe « On ne connaît la valeur d’une chose que lorsqu’elle devient rare » devient Onclvd’ucQl’edR