Parmi la gamme d’outils à la disposition du cybercriminel, l’escroquerie est peut-être l’un des moins techniques, mais reste d’une efficacité surprenante.Vieille comme le monde, on retrouve trace de ce type d’arnaque jusqu’au XVIIIe siècle, avec les fameuses « lettres de Jérusalem » envoyées par les forçats des bagnes français. L’évolution technique a changé les règles, mais en substance le principe est toujours la même : jouer sur la crédulité d’une victime innocente pour tenter de lui soutirer de l’argent.

 

L’une des escroqueries les plus populaires prend la forme d’un chantage à la webcam : le message est envoyé par mail et tente de faire croire à l’internaute qu’un cybercriminel a pris le contrôle de sa machine, plus particulièrement de sa webcam. La victime est sommée de payer une rançon en bitcoin afin d’éviter la diffusion d’images compromettantes prises grâce à la webcam prétendument piratée. Bien évidemment, il n’en est rien et les cybercriminels n’ont jamais pris le contrôle de la machine de la cible, mais comptent sur sa crédulité.

La technique n’a rien de particulièrement nouveau et était déjà utilisée sous diverses formes par le passé. Mais le mois de janvier a été l’occasion d’une recrudescence de ces mails. La plateforme cybermalveillance.gouv.fr a ainsi tiré la sonnette d’alarme à la fin du mois pour signaler ces campagnes, indiquant que celles-ci visaient notamment des utilisateurs français. Et les cybercriminels visent large et n’hésitent pas à bombarder aussi les emails d’entreprises. Nous en avons évidemment reçu à la rédaction, et un ingénieur IT expliquait récemment à ZDNet recevoir des mails de ce type toutes les heures, provenant d’IP différentes, mais qui présentent tous les mêmes caractéristiques.

Ça s’en va et ça revient

Pour rendre leurs menaces plus convaincantes, les pirates utilisent néanmoins une technique originale. En récupérant dans les nombreux piratages récents des couples identifiants/mots de passe, ils personnalisent le mail afin de présenter à la victime un de ses mots de passe, « preuve » selon les cybercriminels que leur machine a été piratée. Une autre technique également très en vogue consiste à contrefaire l’adresse email de l’expéditeur afin de lui présenter sa propre adresse et donc lui faire croire que son adresse email est également sous le contrôle des cybercriminels.

Rien de très sorcier à tout ça néanmoins. Le mot de passe généralement affiché a probablement été récupéré dans l’un des nombreux fichiers compilant des identifiants et mots de passe volés lors de piratage de services. Le mois de janvier a notamment été marqué par la révélation des Collections 1-5, cinq fichiers compilant à eux seuls plusieurs milliards d’identifiants. Une ressource inestimable pour les cybercriminels, qui peuvent y récupérer de vieux mots de passe effectivement utilisés par les internautes. Quant à l’affichage de l’adresse email de la victime comme l’expéditeur, il s’agit ici d’une simple modification du champ d’en-tête de l’email, qui permet d’afficher ce que l’on veut et donc de renforcer la confusion chez la victime.

Pas de solution miracle

Pour les entreprises qui voient arriver des flots d’emails de ce type, les mesures de protection à prendre ne sont pas toujours techniques. « Les filtres antispam en bloquent une partie, mais il y aura toujours certains mails qui passeront entre les mailles du filet » précise ainsi Luis Corrons évangéliste sécurité chez Avast.

En effet, lors des récentes vagues de mails on a par exemple pu voir des mails dont le texte était affiché dans une image, sans la moindre trace de texte dans le corps du mail. Une astuce probablement utilisée pour contourner les filtres de protections antispam. « La meilleure parade reste d’en parler avec ses collaborateurs, de les avertir que ce genre de mail peut arriver. Dans ce cas, le meilleur cas de figure reste de le supprimer directement » explique Luis Corrons. Pour rassurer, on peut également se rabattre sur les bonnes pratiques en matière de sécurité informatique via la mise en place d’une authentification à double facteur.

« Le fait est qu’on voyait déjà ce type d’arnaque il y a plus de dix ans, mais que les cybercriminels se sont largement perfectionnés depuis. S’il était facile de reconnaître un mail contrefait à son style un peu brouillon à l’époque, c’est moins évident aujourd’hui » explique ainsi Luis Corrons. Le niveau de langue des mails en question rend en effet la missive bien plus crédible. Mais comme le remarque l’expert en sécurité, on retrouve le même type de campagne dans toutes les langues :

« Les cybercriminels font des efforts pour rendre leurs messages plus crédibles et le fait d’utiliser la langue adaptée y contribue. C’est une preuve de la professionnalisation de ces groupes, qui ont amélioré leurs compétences en matière de traduction » explique Luis Corrons. Plusieurs entreprises ciblées ont reçu des emails en français sur les noms de domaines en .fr, et les mêmes mails arriver en italien sur les noms de domaines en .it. Comme toute bonne startup qui se respecte, les cybercriminels lorgnent évidemment sur une expansion à l’international.