Une belle tentative d’arnaque 13 février 2019 17 février 2019 Frédéric Genevey

Chers collègues,

J’ai reçu le mail ci-dessous: que je vous invite à lire intégralement avant de continuer la lecture de ce message.

De: frederic.genevey@vdXXXXXX

Objet: [SPAM] Votre compte a été piraté!

Date: 12 février 2019 à 21:44:36 UTC+1

À: frederic.genevey@vd.educanet2.ch


Je vous salue!

J’ai de mauvaises nouvelles pour vous.
10/11/2018 – ce jour-là, j’ai piraté votre système d’exploitation et obtenu un accès complet à votre compte à partir: frederic.genevey@vdXXXXXX

Pas la peine de changer le mot de passe, mon logiciel malveillant l’intercepte à chaque fois.

Comment c’était:
Le logiciel du routeur auquel vous étiez connecté ce jour-là comportait une vulnérabilité.
J’ai d’abord piraté ce routeur et y ai placé mon code malveillant.
Lorsque vous êtes entré sur Internet, mon cheval de Troie était installé sur le système d’exploitation de votre appareil.

Après cela, j’ai effectué une sauvegarde complète de votre disque (j’ai tout votre carnet d’adresses, 
l’historique des sites de visionnage, tous les fichiers, les numéros de téléphone et les adresses de tous vos contacts).

Il y a un mois, je voulais verrouiller votre appareil et demander un peu d’argent pour le déverrouiller.
Mais j’ai jeté un œil sur les sites que vous visitez régulièrement, et j’ai eu grand plaisir à voir vos ressources préférées.
Je parle de sites pour adultes.

Je veux dire – tu es un grand pervers. Vous avez une fantaisie débridée!

Après cela, une idée m’est venue à l’esprit.
J’ai fait une capture d’écran du site Web intimeoù vous contentez-vous (Comprends-tu ce que je veux dire?).
Après cela, j’ai fait une vidéo de votre plaisir (en utilisant la caméra de votre appareil). Il s’est avéré magnifique!

Je suis fermement convaincu que vous ne voudriez pas montrer ces photos à vos parents, amis ou collègues.
Je pense que 386€ est une très petite somme pour mon silence.
En plus, j’ai passé beaucoup de temps sur toi!

J’accepte de l’argent uniquement en Bitcoins.
Mon portefeuille BTC: 12EMAbSboa1nvg518vcjvogSL4aDwaUCv9

Vous ne savez pas comment reconstituer un portefeuille Bitcoin?
Dans n’importe quel moteur de recherche, écrivez « comment envoyer de l’argent à un portefeuille de la BTC ».
C’est plus facile que d’envoyer de l’argent à une carte de crédit!

Pour le paiement, vous avez un peu plus de deux jours (exactement 50 heures).
Ne vous inquiétez pas, la minuterie commencera au moment où vous ouvrez cette lettre. Oui, oui .. cela a déjà commencé!

Après paiement, mon virus et vos photos sales avec vous s’autodétruisent automatiquement.
Si je ne reçois pas le montant spécifié de votre part, votre appareil sera bloqué et tous vos contacts recevront une photo avec vos « joies ».

Je veux que tu sois prudent.
– N’essayez pas de trouver et de détruire mon virus! (Toutes vos données sont déjà téléchargées sur un serveur distant)
– N’essayez pas de me contacter (ce n’est pas faisable, je vous ai envoyé un email depuis votre compte)
– Divers services de sécurité ne vous aideront pas. formater un disque ou détruire un périphérique ne vous aidera pas non plus, puisque vos données sont déjà sur un serveur distant.

P.S. Je vous garantis que je ne vous dérangerai plus après le paiement, car vous n’êtes pas ma seule victime.
C’est un code d’honneur des hackers.

À partir de maintenant, je vous conseille d’utiliser de bons antivirus et de les mettre à jour régulièrement (plusieurs fois par jour)!

Ne soyez pas en colère contre moi, tout le monde a son propre travail.
Adieu.

C’est bon, vous l’avez lu? Je vous informe donc que vous devez vous attendre d’ici peu à recevoir des photos de moi, faisant du poney déguisé en licorne rose.
Trêve de plaisanterie: nous sommes déjà plusieurs à avoir reçu ce mail sur notre boîte Educanet2, en provenance de notre propre messagerie Educanet2 (du moins en apparence….). Il est même possible que nous l’ayons tous reçu. Alors je vous rassure: n’allez pas plus loin, vous pouvez le jeter. C’est une arnaque. Vous pouvez aussi reprendre votre souffle et fermer cette page de recherche Google pour savoir comment faire un paiement en bitcoins. Fin de l’histoire.
Maintenant, pour ceux qui veulent en savoir un peu plus sur cette arnaque (et comment la déjouer), je vous invite à lire ce qui suit.
Premièrement, ce mail est très pervers; il joue sur le fait que nous avons tous quelque chose à cacher sur nos ordinateurs (comme faire du poney déguisé en licorne rose). Or, on nous confronte directement à cela, avec la menace d’une diffusion non pas simplement dans le grand fatras anonyme d’Internet, mais directement à notre carnet d’adresses (famille, amis, collègues, supérieurs, clients,…). Bon, personnellement, j’assume assez bien mon côté licorne rose. Mais admettons.
Deuxième peur: le fait d’avoir un accès complet à notre ordinateur; à notre correspondance, mais aussi à tous nos documents financiers, administratifs, e-banking. Après le coeur, on s’attaque au porte-monnaie. Là, on sent n’importe quel banquier (suisse) défaillir.
Enfin, la dernière peur et celle de la perte des données, avec le verrouillage de notre ordinateur: perte des photos, des souvenirs, de notre travail (aaaah, mon QCM sur le C’est pas Sorcier en VHS sur les hommes de Neandertal!).
On est déjà là à un niveau anxiogène proche de ma mauvaise fois quand je vous réponds « Ton email? Quel email? Je n’ai pas reçu d’email de ta part ».
Pour en rajouter une couche, cet email est BIEN ÉCRIT! Avec un français plus que correct, des phrases complexes et des formes de politesse qui, vues les circonstances, sont tout à fait dignes d’un gentleman. Or, la première règle que vous avez apprise pour repérer une tentative de fishing sur Internet, c’est de vous méfier des messages truffés de fautes d’orthographe (autant vous dire que professionnellement, certains de nos élèves risquent d’avoir de la peine à être pris au sérieux! C’est peut-être aussi mon cas).
Mais surtout, il y a un storytelling digne d’un livre d’espionnage; avec des révélations, des confidences; bref, le pseudo-hacker vous fait entrer dans son schéma de pensée. Ce faisant, il instaure avec vous une proximité qui vous donne l’impression qu’il regarde par-dessus votre épaule. Le basculement se fait avec le changement entre le vouvoiement et le tutoiement. C’est très habile. Intimité = tutoiement = connivence. Dès qu’il s’agit de considérations techniques pour le paiement (on est entre adultes responsables), le vouvoiement réapparaît.
On tient un maître en la matière, un Azerty Lupin, gentleman-hacker. Ce d’autant plus que la demande est plus que raisonnable: 386 €. Qui prendrait le risque, même infime, de ruiner sa réputation pour une somme pareille? Je serais presque tenté de payer, mais pour récompenser la performance littéraire. Mais moi, je suis radin et en plus j’ai pris les devants en faisant mon coming out concernant mes chevauchées sauvages en poney déguisé en licorne rose (avec des paillettes).
Reprenons donc: l’email est bien écrit. Il est envoyé depuis ma propre adresse. Cette adresse est nommément citée dans l’email. J’ai quelque chose à cacher (comme tout le monde! Heureusement!). Je panique et je paie. Voilà donc le fonctionnement d’une telle arnaque. Surtout que le délai est très court et ne permet pas la réflexion.
Laissons les peurs de côté et redevenons un peu rationnels. Et pour cela, rien ne vaut la connaissance technologie; c’est-à-dire une certaine éducation aux médias qu’on devrait faire à toute la population (à commencer par nos élèves).
Premier réflexe: je copie le début de l’email et je le googelise. Voici les trois premiers résultats:

Je vous invite à aller voir le troisième lien (https://seenthis.net/messages/759700). On y retrouve mot pour mot notre email, avec la personne qui l’a reçu et qui publie les photos d’où elle était le jour du piratage: à l’hôpital…Moi, on m’a (soi-disant) piraté le 10 novembre 2018. C’était un samedi. Ce jour-là, je vivais dans un chalet, sans connexion à Internet. J’avais assez à faire à essayer de me réchauffer devant un feu de bois.
Ensuite, oui, j’admets, je prends pour un compliment la reconnaissance de ma fantaisie débridée. Et oui, j’aime maltraiter des imprimantes 3D; je suis un vrai pervers. J’aime aussi « m’amuser » avec les pseudo-hackers et les démarcheurs téléphoniques.


Revenons donc à notre enquête. Une recherche Google démontre qu’il s’agit d’une arnaque. D’un côté technique, le modus operandi (© Anne) est douteux: le piratage de routeur existe, mais l’installation d’un cheval de Troie dès qu’on se connecte à Internet à cause d’un routeur vérolé est… peu probable. Mais possible (https://www.kaspersky.fr/blog/switcher-trojan-attacks-routers/6477/). Mais mon Mac possède un bon antivirus (je vous recommande Avast ou Bitdefender. Kaspersky est aussi bon). J’ai un logiciel qui surveille toutes les connexions de mon Mac (Little Snitch). Mon firewall est activé. Celui du routeur aussi. Mon Mac est à jour, le firmware de mon routeur aussi. Bref, tout cela réduit la crédibilité des allégations de cet email à quasi zéro.


« Oui, mais il a eu accès à ta messagerie Educanet2 pour t’envoyer l’email, ce n’est pas la preuve, ça? ». Oui, mais non. Dans Educanet2, mais aussi dans le logiciel Mail, vous pouvez accéder au code source du mail. Dans mail, il faut double-cliquer sur le mail pour l’ouvrir, puis aller dans le menu Présentation/Message/Contenu brut (cmd-option-U). Voici ce que cela donne:

Received: from mailwallXXXXXX ([::ffff:194.60.217.81])  (TLS: TLSv1/SSLv3,256bits,AES256-GCM-SHA384)  by educanet2.ch with ESMTPS; Tue, 12 Feb 2019 20:56:44 +0100  id 00000000001CC14A.000000005C6324FC.0000422CReceived: from localhost (localhost [127.0.0.1]) by mailwallXXXXXX (Postfix) with ESMTP id A289660DF1 for <frederic.genevey@vdXXXXXX>; Tue, 12 Feb 2019 20:56:44 +0100 (CET)X-Virus-Scanned: Debian amavisd-new at mailwallXXXXXXX-Spam-Flag: YESX-Spam-Score: 13.502X-Spam-Level: +++++++++++++X-Spam-Status: Yes, score=13.502 tagged_above=-9999 required=5 tests=[BAYES_00=-1.9, CK_HELO_DYNAMIC_SPLIT_IP=0.001, CK_HELO_GENERIC=0.249, HELO_DYNAMIC_IPADDR2=3.607, HTML_MESSAGE=0.001, PYZOR_CHECK=1.392, RCVD_IN_BRBL_LASTEXT=1.449, RCVD_IN_PBL=3.335, RCVD_IN_PSBL=2.7, RCVD_IN_RP_RNBL=1.31, RCVD_IN_XBL=0.375, RDNS_DYNAMIC=0.982, TVD_RCVD_IP=0.001] autolearn=no autolearn_force=noReceived: from mailwallXXXXXX ([127.0.0.1]) by localhost (mailwallXXXXXX [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id FJaeMvf_Wf20 for <frederic.genevey@vdXXXXXX>; Tue, 12 Feb 2019 20:56:43 +0100 (CET)Received: from 89-64-48-217.dynamic.chello.pl (89-64-48-217.dynamic.chello.pl [89.64.48.217]) by mailwallXXXXXX (Postfix) with ESMTP id 8955960DD0 for <frederic.genevey@vdXXXXXX>; Tue, 12 Feb 2019 20:56:39 +0100 (CET)Message-ID: <0772ECC081995EADD8466A2B33F40772@2DVJGFF>From: frederic.genevey@vdXXXXXXTo: frederic.genevey@vdXXXXXX Subject: [SPAM] Votre compte a =?UTF-8?Q?=C3=A9t=C3=A9_pirat=C3=A9!?=Date: 12 Feb 2019 20:44:36 +0000MIME-Version: 1.0Content-Type: multipart/alternative; boundary="----=_NextPart_000_0045_01D4C315.04453DD8"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Windows Live Mail 15.4.3508.1109X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3508.1109
This is a multi-part message in MIME format.
------=_NextPart_000_0045_01D4C315.04453DD8Content-Type: text/plain; charset="cp-850"Content-Transfer-Encoding: quoted-printable
Je vous salue!
J'ai de mauvaises nouvelles pour vous.

Je vous épargne la suite. Mais regardez bien la ligne suivante:
Received: from 89-64-48-217.dynamic.chello.pl (89-64-48-217.dynamic.chello.pl [89.64.48.217])
Le message provient d’une adresse en Pologne, avec l’adresse IP 89.64.48.217. Un petit tour via un site de traceroute (qui est un outil qui permet de remonter géographiquement une adresse IP, par exemple celui-ci: https://www.ip2location.com/free/traceroute), montre que le mail a été envoyé de la région de Katowice, en Pologne. Ne vouez pas immédiatement aux gémonies les hackers d’Europe de l’Est, avides de vos bitcoins et de vos selfies dénudés; j’ai reçu plusieurs fois cet email; le précédent provenait du Brésil. Mais pas d’Educanet2… notre messagerie n’a pas été piratée… juste nos listes de diffusion.

Je ne suis pas spécialiste en la matière. Mon ami Decio (note pour mes collègues qui se reconnaîtront: oui, le beau Tessinois à l’accent charmant et qui ressemble à Aragorn dans le film le Seigneur des Anneaux, mais dont on ne comprend plus rien dès qu’il parle informatique), qui nous lit en copie, pourra sans doute aller bien plus loin dans l’investigation.
Bref, c’est un très joli mail de chantage. Mais c’est du bluff. Donc poubelle. Par contre, c’est une très jolie analyse de texte à faire avec des élèves de 10 ou 11h. Vous ferez en plus des MITIC.

PS: si vous aussi, vous êtes adeptes de chevauchées à dos de poney, déguisés en licorne rose (avec des paillettes!), contactez-moi
PPS: si vous avez des collègues dans d’autres établissements, n’hésitez pas à leur envoyer cet email.
PPPS: si vous êtes enseignant de français, avec une belle plume, mais que vous ne voulez plus subir les affres de la maîtrise de classe, reconvertissez-vous en pseudo-hacker… si sur 1’000’000 d’emails envoyés automatiquement en 5 secondes, il n’y a que 1% qui paient 386 €, ça fait 3.860 millions d’€ de gagnés. En 5 secondes. Mais je ne suis pas prof de math… je me suis peut-être trompé.

EDIT: on peut suivre en direct le nombre de versements sur le compte Bitcoin ici: https://www.blockchain.com/fr/btc/address/12EMAbSboa1nvg518vcjvogSL4aDwaUCv9

Il y a pour le moment 12 personnes qui ont payé. Il n’y a plus qu’à prendre du 🍿 et de profiter du spectacle.

EDIT 17 février: il y a pour le moment 19 pigeons tombés dans le panneau, pour un total de 1.88621539 BitCoin, soit 6820 CHF.