Previous Story
Virus sur ton ordinateur pendant que tu visitais un site pour adulte
Posted On 22 Fév 2019
Piégé par un pirate sur un site pour adulte ? Ce que je craignais depuis plusieurs semaines vient d’arriver. L’arnaque « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte » prend une nouvelle dimension avec un moyen de faire payer les internautes de manière plus … efficace.
Mise à jour 29/05/2019 : ZATAZ a collecté 2.048 versions différentes de mails exploitant cette arnaque !
Piégé par un pirate sur un site pour adulte ? Depuis le mois d’avril 2018, ZATAZ vous alerte de l’arnaque « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte« . Il aura fallu plusieurs mois pour que la presse et les autorités se penchent sur ce problème devenu un véritable fléau. Depuis que ZATAZ enquête sur ce sujet, nous avons collecté plus de 1.500 versions différentes de cette escroquerie par courriel.
Il y a eu « j’ai piraté ton Facebook » ; « J’ai piraté votre PC » ; « J’ai piraté votre webcam » ; « Je vous ai vu sur un site de cul » ; « Je t’ai vu te masturber » ; des version proposent même… de vous tuer ! La grande tendance étant la version « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte« .
Je le rappelle, avant de revenir sur une nouvelle version qui inquiète au plus au point ZATAZ, ce mail n’a qu’un seul but, vous faire flipper, vous faire peur… avec du bluff ! NON, les escrocs n’ont rien sur vous. Ils jouent sur la peur ; la honte ; …
Version 1 502 : piégé sur site pour adulte ?
La nouvelle version de ma « Collection » débute par deux informations qui accrochent le lecteur : « Tu ne me connais pas mais moi je te connais, ainsi que ton mot de passe : 92829, et ton IP : 01.01.01.001« . Autant dire que le lecteur de la missive devient très attentif. « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte favori, ce qui me permet de te voir, et de t’écouter depuis maintenant 2 mois. » les propos suivants sont, ensuite, toujours les mêmes dans 95% des versions collectées depuis avril 2018.
L’escroc parle de « Remote Desktop » ; de « Keylogger »… Des actions pirates qui auraient « donné accès à ton écran, ainsi qu’à ta webcam.« . Le pirate, un escroc parmi plus d’une centaine qui gravitent autour de cette arnaque, ne demande plus 8000€ ; 3000€ ; 520€ ; 500€. Cette fois, il réclame pour son silence, 250€.
Pour convaincre de payer, il réutilise la technique du « Tu souhaites avoir une preuve, répond « preuve » à ce mail. Je t’envoie une preuve, ainsi qu’à 8 de tes contacts.« . Autant dire que le tour de passe-passe est comique. Une personne « honteuse » n’ira pas demander à son maître chanteur d’envoyer les informations à 8 contacts. Autant envoyer sa bite soit même à ses amis ! A noter que si vous répondez « oui » ; « preuve » … l’escroc ne vous répondra pas. L’adresse mail est soit la votre, soit celle d’une autre victime qui va flipper encore plus !
Pour rappel, un pirate, un vrai, qui souhaite vous faire chanter vous montrera ce qu’il a en main. À l’image des maîtres chanteurs Rex Mundi ou encore Dark Overlord !
Nouveau moyen de paiement
Ce qui m’inquiète le plus dans cette nouvelle version est le nouveau mode d’emploi pour faire payer les internautes contactés. Qui je rappelle, n’ont pas été infiltrés, n’ont pas de données dans les mains d’un quelconque pirate.
L’escroc propose une vidéo qui explique comment acheter des bitcoins avec sa carte bancaire et/ou Paypal. Un mode d’emploi efficace. Nous avons testé ce mode d’emploi sur 5 personnes âgées de 12 à 69 ans. Des utilisateurs lambdas. Tous et toutes ont réussi à acheter des bitcoins.
La missive du maître chanteur se termine toujours par ce compte à rebours mental qui va en faire craquer plus d’un : « Tu as 48 heures pour faire la transaction. Ne soit pas en retard <3 J’ai placé un pixel spécial dans ce mail qui me permet de savoir que tu l’as lu. » ! Du bluff, encore !
Comment se protéger ?
Si vous recevez ce mail, direction la poubelle. Pas d’inquiétude, cet escroc n’a rien sur vous. Cependant, comment a-t-il pu sortir votre IP, un mot de passe qui semble bien être à vous ?
Comme expliqué dans cet article « Business des bases de données piratées » les informations sont tirées d’espaces web piratés, de compilations réalisées à partir de phishing. Des bases de données connues car diffusées/utilisées un peu partout sur le web (Projet fantôme, Troy Hunt, …). Les escrocs n’ont qu’à les récupérer/acheter, les copier et les utiliser.
Il existe d’autres compilations et bases de données dites 0Days, celles que ZATAZ traque via son service veille. C’est ainsi que nous avons pu repérer un grand nombre de sites piratés. Dont les informations ont été exfiltrées sans que personne ne le sache.
A noter que ZATAZ propose un service veille qui permet de surveiller, pour vous, les sites/espaces pirates (black market, …) afin de vous alerter sur la moindre fuite de données personnelles (mails, téléphones, photos, mots de passe, informations volées sur des sites web …) pouvant vous concerner.
Excellent le coup du « J’ai placé un pixel spécial dans ce mail qui me permet de savoir que tu l’as lu » !
Mais il est vrai que nous n’avons pas tous un niveau en info qui nous permette de distinguer le vrais du « pipotron »…
damien/dipisoft.
bonjour,
je lis avec interet vos messages. Si on sait ou part l’argent ( bitcoin ou autre ) pourquoi ne pouvons nous pas savoir qui l empoche?
bien a vous
sacha
Bonjour,
La force des cryptomonnaies se trouve justement dans la capacité de rendre les transactions « anonymes ».
Je confirme … depuis la mise en vente de la base de donnée suite au piratage de linkdin je reçois une 10aine de mail par mois….
Fais suer linkdin !
Pour ma part, c’est la faille de DISQUS (faille de 2012 révélée en 2017 de mémoire) qui est à l’origine des nombreux mails que je reçois.
J’en suis à 22 tentatives reçues depuis le 08/10/2018 : 20 en anglais, 1 en japonais, 1 en français. Et ça s’intensifie depuis la semaine dernière avec 1 mail quotidien minimum.
J’ai jeté un coup d’œil aux IP d’origine mais à part quelques exceptions (des débutants qui font ça de chez eux ?) la plupart du temps ça passe par des VPN.
Ce qui est effrayant c’est de constater, en « traçant les adresses bitcoin » utilisées, que ceux qui font ça s’enrichissent vraiment. Car un des « avantages » de ces monnaies est que l’on peut facilement visualiser les transactions qui concernant une adresse. Souvent on peut tomber sur des adresses qui ont collecté plusieurs milliers de dollars. Il y a donc pas mal de crédules qui tombent dans les filets, ce qui encourage les « pirates » à continuer dans ce business facile mais incite également des « amateurs » à tenter de rentrer dans la danse…
Bref, tout ça pour dire que l’on n’est pas prêts de voir le phénomène disparaître. Il va falloir créer des filtres dans nos messageries pour traquer ces mails et les mettre directement à la poubelle.
damien/dipisoft.
J’ai pu constater récemment une variante encore plus vicieuse où le « hacker » avait prétendument tous les mots de passe de la personne et en donnait « un » pour preuve.
Et effectivement, il s’agissait bien d’un mot de passe utilisé par la personne qui m’avait transmise le mail.
Il s’avère qu’un check sur haveibeenpwnd.com montrait que son email faisait partie d’un dump de fin 2016 qui contenait également des mots de passe (peut-être un seul…) de je ne sais quel site.
Ca ajoute encore énormément à la crédibilité pour une personne lambda.
OK j’avais un peu sauté la partie de l’article « Tu ne me connais pas mais moi je te connais, ainsi que ton mot de passe : 92829, et ton IP : 01.01.01.001 ».
La version que j’ai vue était structurée légèrement différemment, en 3 images sur un site, avec le mdp inséré en texte, et plein de tag dans le source en demandant de mémoire 450€ ou 490€, mais un peu trop gourmand avec 3 mails (expédiés d’IP provenant d’inde et d’indonésie, j’imagine issues d’un botnet).
Bonjour,
Pouvez-vous nous envoyer ces versions par mails, merci 🙂
Bonjour,
Oui, c’est la méthode d’avril 2018.
A noter que notre service veille est capable de retrouver des données qui ne sont pas encore publiées sur le web. Nous n’attendons pas qu’elles sortent en mode « public » mais nous allons les dénicher dans le black market. Voici le bouton « Service Veille » en haut de cette page.
bonsoir damien,
j’ai reçu cette e-mail et qui se trouve dans les indesirables.
dans ce mail ip ainsi que le mot de passe n’apparait pas!!!!
merçi de nous informer comme d’habitude.
cordialement.
Excellent article !
0899.274.448*
ou est le texte de l’étoile ? C’est un numéro surtaxé ?
Bonjour,
Oui, cela est notifié, dans toutes les pages, en bas du site !
Nous rappelons si le cas est grave.
Cordialement
bonjour
je viens de tomber sur votre site fort intéressant
je vous contacte car j’ai été la victime hier soir de ce genre d’escroquerie : « tu ne me connais pas et moi je te connais bla bla bla , et me demande pour son silence 525 euros en bitcoints »
sur le moment j’ai flippé et là je me dis c’est bizarre car je ne possède pas de webcam sur mon PC
mais je vous avons que j’ai mal dormi
merci pour toutes vos info
Cordialement
Didier
Pingback: ZATAZ 3e vague de docs volés par le maître chanteur The Dark Overlord - ZATAZ
Bonjour
Tres bon article, j’ai justement recu se type de mail, come quoi le hasard est bine fait.
Merci pour ces informatioo
Bonjour
Merci pour vos informations. j’ai reçus aussi ce genre de message; « vous vous demandez comment vous pouvez recevoir un mail de votre propre adresse mail….etc…payez 450€ … » par contre comment font-ils pour que l’expéditeur soit sa propre adresse ?
Merci
Bonjour,
J’explique ici https://www.zataz.com/escroquerie-mail-porno-chantage/ et là https://www.zataz.com/chantage-par-mail-1100-versions-de-lescroquerie-je-tai-vu-te-masturber/
Bonjour,
J’explique ici https://www.zataz.com/escroquerie-mail-porno-chantage/ et là https://www.zataz.com/chantage-par-mail-1100-versions-de-lescroquerie-je-tai-vu-te-masturber/
J’en reçois aussi,c’est comique,j’ai la variante mailbomber (dans le style) je reçois des mails avec mon adresse et d’autre avec des adresse créé a l’arrache (suite de lettres tapé au hasard,ça ce vois),du coup je répond en leur disant que j’ai mis toute mes infos bancaire dans une pièces jointe chargé comme jamais depuis hier…
Je me demande surtout si ça vient pas des vendeurs chinois via amazon,depuis que j’achète en chine je reçois pas mal de merde dans ma boite mail.
Bonjour,
Après 5 jours de « relâche », j’ai reçu un nouveau mail hier.
Petite nouveauté : le corps du message n’est plus du texte mais une image. Le mail est donc beaucoup plus « lourd » (258Ko contre environ 8Ko habituellement) mais surtout très difficile à identifier comme pourriel par les filtres antispam des messageries…
Cordialement,
damien/dipisoft.
Pingback: ZATAZ Black market : bitcoins à vendre - ZATAZ
J’ai été assez impressionné par la qualité du français utilisé dans le dernier mail de ce type reçu ce matin même.
Comme le souligne Damien, c’est le manque de logique de l’ensemble qui permet au néophyte de se rassurer. En regardant le source du mail, j’ai trouvé un relai depuis une adresse d’un domaine qui existe vraiment. Ce qui me laisse croire que le serveur, la machine ou l’adresse du propriétaire de ce domaine ont été piratés et utilisés pour cette campagne de phishing.
Ensuite, le mot de passe indiqué était exact et n’était pas un mot de passe bateau. Je ne l’avais utilisé que sur un seul site qui est d’ailleurs le seul référencé sur Haveibeenpawned avec l’adresse email sur laquelle j’ai reçu le message. Et bien sûr les données de ce site compromis sont depuis longtemps diffusées sur le net : LinkedIn.
bonjour
le virus et installer dans le site ou t inscrit
je partage mon expérience
j’ai postuler pour une formation j’ai reçu 2 email 1 de pole emploi le vrai et le 2eme spam avec mon propre adresse et mon identifiant de pole emploi
le spam et plus rapide que pole emploi
le vrai pole emploi
Pôle Emploi
Mer 01/05/2019 18:06
ei?u=http%3A%2F%2Fpole-emploi.tsce.net%2
Bonjour,
Nous avons bien reçu votre message et nous allons procéder à l’examen de votre demande.
Votre conseiller référent vous répondra dans les meilleurs délais.
Saviez-vous que des informations personnalisées et des services en ligne sont disponibles sur votre espace personnel Pôle emploi en ligne ?
Vous pouvez notamment :
– consulter l’état d’avancement de votre demande d’allocation, de vos paiements et trop-perçus
– transmettre vos bulletins de salaire, arrêts maladie ou autre document, de façon dématérialisée via la rubrique :
« Envoyer un document »
Cordialement,
L’équipe Pôle emploi.
spam
Le demandeur d’emploi (65*****R) vous sollicite suite à son entrée en formation : Référence n°07_23749
Ce courrier a été identifié comme étant du courrier indésirable. Nous le supprimerons après 10 jours. Courrier légitime | Afficher le contenu bloqué
***@***MAIL.FR
Mer 01/05/2019 18:05
Référence du demandeur d’emploi :
Identifiant : 2041207829
Nom :
Prénom :
Adresse électronique : ***@***MAIL.FR
Demande de contact sur pole-emploi.fr
Bonjour,
Ce demandeur d’emploi souhaite faire un point sur sa formation: 07_23749.
Souhait(s) de sa demande de contact :
concernant le financement ou la rémunérationconcernant mes démarches administratives pendant la formationpour faire le point pendant ma formation
Nous vous remercions de la prise en compte de sa demande.
Cordialement,
L’équipe Pôle emploi
© 2017 Pôle emploi. Tous droits réservés.
Ce courriel vous est envoyé automatiquement, merci de ne pas utiliser la fonction « répondre à l’expéditeur ».
Une question ? Consultez notre FAQ
Vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent auprès de Pôle emploi conformément à la loi du 6 janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés.
bonjour
j ai reçu se genre de message lundi soir
Est ce du pipeau ou inquiétant
merci
Bonjour,
comme indiqué dans l’article, pas d’inquiétude, du bluff !
Il faut juste vous demander où il a pu avoir votre adresse mail.
Bonjour
Merci votre réponse
Et de cet article qui explique bien pour les novices en la matière
Pingback: ZATAZ Data leak : découverte d'un espace de stockage de données piratées : +9000 sites concernés - ZATAZ
Pingback: ZATAZ Chantages 2.0 : J'ai piraté votre appareil et vous avez un problème maintenant - ZATAZ