Une escroquerie par e-mail de longue date connue sous le nom de canular « Hello pervers » a refait surface, utilisant un langage et un design mis à jour pour effrayer les victimes et les inciter à payer de l’argent. Les chercheurs en sécurité affirment que cette campagne d’extorsion se propage par le biais de la distribution massive d’e-mails et repose entièrement sur la manipulation psychologique plutôt que sur le piratage réel.
Les e-mails arrivent généralement dans la boîte de réception d’une personne avec une ligne d’objet conçue pour choquer. L’e-mail prétend ensuite que l’expéditeur a eu accès à l’ordinateur ou au smartphone du destinataire et l’a enregistré à l’aide de sa webcam. L’attaquant présumé menace d’envoyer ces images à ses amis, à sa famille ou à ses employeurs à moins qu’une rançon ne soit payée en crypto-monnaie dans un court laps de temps.
Ce qui rend l’arnaque efficace, c’est son apparence d’authenticité technique. Dans la plupart des cas, l’e-mail semble avoir été envoyé à partir de la propre adresse de la victime. Ceci est réalisé grâce à une technique simple appelée usurpation d’adresse e-mail, où l’adresse de l’expéditeur est falsifiée pour ressembler à celle du destinataire. L’effet est destiné à convaincre la cible que son compte a été compromis.
Fausses allégations d’infection de l’appareil
Le corps du message contient généralement des déclarations alarmantes et techniques. L’escroc peut prétendre avoir installé un logiciel espion ou un outil d’accès à distance tel que Pegasus ou njRAT sur l’ordinateur de la victime. Ils allèguent que ce logiciel leur a permis d’enregistrer des activités privées via l’appareil photo, de surveiller l’historique de navigation et de capturer les frappes au clavier ou les mots de passe.
Ces affirmations sont entièrement fausses. Il n’y a aucune preuve que les expéditeurs de ces messages aient un accès réel aux appareils des victimes. Le même modèle de message est envoyé à des milliers d’adresses e-mail à la fois. Rien dans l’e-mail n’est spécifique au destinataire, sauf, dans certains cas, un mot de passe réutilisé obtenu à partir d’une ancienne violation de données.
C’est ce petit détail qui convainc souvent les gens de paniquer. L’inclusion d’un ancien mot de passe crée un faux sentiment de preuve. De nombreuses victimes voient le mot de passe, supposent qu’un véritable piratage a eu lieu et craignent immédiatement d’être exposées. En réalité, ces mots de passe sont largement disponibles via des bases de données publiques ou des fuites de données souterraines.
Exploiter la peur et la honte
L’escroquerie fonctionne parce qu’elle cible l’émotion humaine, et non la technologie. La peur de l’embarras, de la perte de réputation ou des dommages professionnels peut amener des individus par ailleurs rationnels à agir rapidement. Le langage de l’escroc est conçu pour créer une urgence. Ils insistent sur le fait que la victime doit payer immédiatement ou s’exposer à l’humiliation, renforçant ainsi le sentiment d’isolement qui empêche les victimes de demander conseil.
L’objet « Hello pervers » est délibéré. Il joue sur la culpabilité et la honte, que le destinataire ait fait quelque chose de compromettant ou non. L’accusation elle-même suffit à générer la panique, ce qui conduit certains destinataires à payer la rançon demandée juste pour éviter la possibilité d’être exposés.
Dans la plupart des cas, la demande de rançon se situe entre plusieurs centaines et plusieurs milliers de dollars, payée en crypto-monnaie. Les messages incluent souvent une adresse de portefeuille Bitcoin et un compte à rebours pour augmenter le stress. Les escrocs répondent rarement une fois l’argent envoyé, et il n’y a aucune preuve qu’un enregistrement réel existe.
Pourquoi l’escroquerie continue de se propager
Bien qu’il s’agisse d’une vieille tactique, cette arnaque continue de circuler car elle ne coûte presque rien à envoyer et produit toujours des résultats. Les campagnes d’e-mail de masse peuvent atteindre des millions d’utilisateurs en une seule journée. Même si seule une petite fraction des destinataires paie, les attaquants font des bénéfices.
L’arnaque évolue également avec le temps. Les versions antérieures étaient mal écrites et pleines de fautes d’orthographe. Les variantes récentes utilisent un formatage professionnel, une grammaire plus claire et des descriptions techniques plus réalistes. Certains font même référence à des systèmes d’exploitation ou à des outils antivirus spécifiques pour paraître légitimes.
Une autre raison de la persistance de l’escroquerie est sa profondeur psychologique. Les victimes signalent rarement l’incident parce qu’elles se sentent gênées ou qu’elles pensent qu’elles sont les seules visées. Ce silence permet aux escrocs de continuer à opérer sans être détectés.
Reconnaître les signes d’e-mails de sextorsion
Il y a des signes cohérents qu’un e-mail fait partie de cette escroquerie. Les indicateurs les plus courants sont les suivants :
- Le message prétend provenir de votre propre adresse e-mail.
- Il commence par une phrase accusatrice telle que « Bonjour pervers » ou « Je sais ce que tu as fait ».
- Il mentionne l’accès à un logiciel espion ou à une webcam sans offrir de preuve spécifique.
- Il exige le paiement en crypto-monnaie dans un court délai.
- Il comprend un ancien mot de passe qui a peut-être été utilisé des années plus tôt.
- Il ne contient aucun détail permettant d’identifier le produit au-delà de ce qui aurait pu être tiré d’une fuite de données.
Comprendre ces caractéristiques aide les utilisateurs à séparer les faits de la peur. Si un e-mail contient ces éléments, il s’agit presque certainement d’un canular de masse, et non d’un piratage ciblé.
Comment les victimes devraient réagir
L’étape la plus importante est de rester calme et d’éviter de dialoguer avec l’expéditeur. Si vous répondez, vous confirmez que votre compte de messagerie est actif, ce qui peut entraîner un ciblage supplémentaire. Les victimes ne doivent jamais payer la rançon ou tenter de négocier. Le paiement ne garantit pas que la menace s’arrêtera et peut encourager l’attaquant à revenir.
Ensuite, il est conseillé de changer les mots de passe de tous les comptes, en particulier si le message comprend un mot de passe qui est encore utilisé. Activez l’authentification multifacteur dans la mesure du possible et évitez de réutiliser les mots de passe entre plusieurs services.
Il est également important de signaler l’e-mail au service des abus du fournisseur et aux forces de l’ordre locales. Bien que les autorités ne puissent pas récupérer les fonds perdus, elles peuvent suivre les modèles d’escroquerie récurrents et bloquer les domaines connexes. Le fait de transmettre le message à un centre national de cybersécurité ou à une agence de signalement des fraudes peut également contribuer à améliorer les renseignements sur les menaces.
Si vous craignez qu’une véritable violation se soit produite, exécutez une analyse de logiciels malveillants à l’aide d’un logiciel de sécurité réputé. Dans la plupart des cas, aucune infection ne sera détectée, mais confirmer que votre système est propre peut vous rassurer.
Le rôle de la sensibilisation en ligne
Cette escroquerie met en évidence la facilité avec laquelle la peur peut l’emporter sur la pensée critique. Les campagnes de sensibilisation du public sont essentielles pour la prévention. Les gens doivent comprendre que les escrocs s’appuient sur des émotions humaines universelles, la peur, la culpabilité et la panique, plutôt que sur des compétences de piratage sophistiquées.
Les professionnels de la sécurité conseillent aux utilisateurs de traiter toutes les menaces non sollicitées avec scepticisme. Les autorités authentiques n’émettent pas de chantage par e-mail, et les alertes de sécurité légitimes n’exigent jamais de paiements en crypto-monnaie.
Sur les lieux de travail, la formation de sensibilisation à la cybersécurité devrait inclure des exemples d’escroqueries par sextorsion. Les employés qui savent à quoi s’attendre sont moins susceptibles de tomber dans le piège des tactiques d’intimidation. Les organisations doivent également rappeler au personnel qu’il est possible de signaler en toute sécurité les messages suspects sans craindre d’être embarrassé.
L’importance de l’hygiène numérique
De bonnes habitudes en ligne peuvent réduire considérablement l’exposition aux escroqueries. Évitez de partager publiquement vos coordonnées personnelles et utilisez des mots de passe uniques pour chaque compte. Gardez les logiciels à jour, car les vulnérabilités des clients de messagerie ou des navigateurs peuvent rendre les messages usurpés plus convaincants.
Une autre étape pratique consiste à vérifier si des informations personnelles ont été exposées dans le cadre d’une violation de données connue. Des services tels que Have I Been Pwned permettent aux utilisateurs de vérifier si leur adresse e-mail ou leur mot de passe est apparu dans des bases de données divulguées. Si c’est le cas, ces références doivent être modifiées immédiatement.
Enfin, les utilisateurs peuvent couvrir les webcams lorsqu’elles ne sont pas utilisées. Bien que l’escroquerie elle-même implique rarement un enregistrement réel, des précautions physiques peuvent aider à créer une tranquillité d’esprit et à se protéger contre des risques d’atteinte à la vie privée sans rapport.