Non, votre boîte email n’est pas hackée par un pirate du darknet

Edit 07/2019 : après avoir reçu ce type de spam plusieurs centaines de fois, une nouvelle version, en spear-phishing est apparue. Nouvel article ici.

En ce moment tournent pas mal des messages inquiétants comme quoi votre compte email a été hacké. Un de mes client l’a reçu, sa femme aussi, d’autres connaissances également. Quand je l’ai reçu à mon tour, je me suis dit que c’était le moment de faire un point là dessus. Avant de paniquer, regardons en face les éléments disponibles.

Voici le mail en question (cliquez dessus pour le voir en grand)

Vous pouvez y lire que c’est envoyé avec une de mes adresses email, et qu’un hacker du darknet (bouh !)  m’a infecté depuis de nombreux mois et a accès a tous mes fichiers et a pris des vidéos de moi allant sur des sites peu recommandables. Si je ne veux pas que toutes ces datas honteuses ne soient envoyées à mon entourage, j’ai 48h pour payer 850$ sur un portefeuille en bitcoins.

Bon, on respire un grand coup et on regarde en détail ce qui est présent dans l’email. Vous aussi, vous pourrez faire pareil c’est le but de l’article 😉

Le contenu de l’email

Déjà, je regarde le contenu du mail et y’a des trucs qui collent pas :

  • Le mot de passe ne correspond à aucun de mes mot de passe. Déjà c’est pas de bol pour le pirate. Attention, un de vos vrai mot de passe peut avoir fuité et alors c’est bien un de vos vieux mot de passe qui apparait, cela ne veut pas dire que vous soyez infecté pour autant ! Pour mon client, c’était son ancien mot de passe Linkedin qui a été changé suite à leur leak.
  • Il m’a pris en photo et vidéo depuis ma caméra. Pas de bol pour lui, mon ordi n’a pas de camera. Mais bon, quand je suis en mode nomade, je récupère mes mails aussi sur téléphone et tablette et là il y a bien des caméras. Continuons de regarder…
  • Je n’ai que du texte et aucune preuve qu’il a accès à mes données. Pas un fichier joint pour preuve ni même une copie de mon arborescence de disque, ou simplement une liste des fichiers présents dans un dossier spécifique… où même une image de moi qui pourrait me mettre un peu de pression, rien de tout cela. Vous imaginez un maître chanteur qui viendrait vous taper du pognon parce qu’il a des photos compromettantes de vous mais ne vous en montre aucune ? Comment le prendre au sérieux ?

L’enveloppe du mail

Quand on regarde d’un peu plus près l’enveloppe, on peut voir :

  • Que l’émetteur écrit est bien mon adresse, reprise dans le sujet du mail. Mais nous savons que le protocole SMTP n’est pas sécurisé et que ces éléments là peuvent facilement être forgés.
  • Le pour (to) est bien mon adresse mais le libellé est 33077343 qui est, précisément, mon fameux mot de passe qu’il essayaient d’utiliser en preuve. Je ne vois pas un humain utiliser ceci comme nom de destinataire, preuve que ce mail a été traité automatiquement, ce qui ne penche pas pour une extorsion particulièrement ciblée. Il y a eu d’autres champs remplis automatiquement, comme le mot de passe, le nickname du hacker et mon email. On est dans de l’emailing avec de la personnalisation simple.
  • Je n’ai pas de signature dkim dans le mail. Mais bon, si le mail part effectivement du même domaine, cela est possible.
  • Je n’ai pas de trace de ce mail envoyé dans ma liste des messages envoyés. Cela signifie que le mail n’est pas parti de ma boîte et donc que le hacker n’y a pas accès. Cela pourrait clore le dossier. Ou alors il a effacé ses traces après l’envoi mais c’est idiot de sa part car cela l’empêche de confirmer ses dires.
  • J’ai un received from d5152e1dc.static.telenet.be ([81.82.225.220]) qui n’est pas mon serveur ni mon domaine, et c’est depuis cette IP que l’enveloppe forgée à mon nom a été envoyée. Cela confirme que le hacker n’a pas accès à mes messages, qu’il n’envoie pas depuis mon serveur, et donc que ce qu’il avance n’est pas vrai.

J’ai donc tout lieu de croire que ce mail est juste un spam d’extorsion, envoyé en masse et jouant sur la non connaissance technique des gens, et sur leur peur de voir dévoilée la face cachée de leurs activités sur le web.

Il y a bien des vrais pirates, qui envoient de vrais messages d’extorsion, parce qu’ils ont vraiment hacké un système, mais ceux ci apportent généralement des preuves de leurs dires afin d’être pris au sérieux. Encore une fois dans notre cas, le spammeur joue sur la statistique qui fait que sur le nombre de mails qui arrivera a destination, il y a bien un petit pourcentage des destinataires qui ne sera pas doué en informatique, visitant des sites peu recommandables ou qui font des choses privées en face de leur caméra. Ce sont ces personnes qui, par honte et par peur, peuvent être enclines à payer, et tant qu’il y aura de l’argent à se faire, il y aura des spammeurs pour spammer. 🙂

Articles proches :

Soumettre un commentaire

Votre adresse email n'est jamais publiée ni partagée. Les champs requis sont marqués par *

*
*