Blog

L’histoire troublante de chantage d’une femme montre les dangers du spear phishing

Avertissement : cet article contient des grossièretés et décrit un crime de nature sexuelle.
phishing sur Reddit 1



« Il commence par me dire qu’il ne veut pas de drame ni de larmes. Bien sûr, j'étais désemparé au début, mais ensuite je me suis calmé et je lui ai demandé ce qu'il voulait. Il m'a dit qu'il connaissait le genre de personne que je suis. Il a vu toutes mes photos, lu tous mes iMessages et discussions WhatsApp. Vu des photographies classées X. Il a accès à beaucoup de mes informations que je ne voudrais pas qu'elles soient partagées. Il me dit que je suis une mauvaise fille, que j'ai fumé de l'herbe et fait l'amour. Que si mes parents savaient ce qu’il a fait, ils seraient heureux […] de savoir que leur fille est punie pour ses « méfaits ».

C'est l'histoire de l'utilisateur de Reddit Zedevile, qui a parlé à Comparitech sous couvert d'anonymat. Elle est victime de spear phishing. Malgré la nature troublante et privée de sa rencontre, Zedevile-Zed, en abrégé, a écrit sur son épisode avec le criminel qui l'a fait chanter et a publié l'histoire. sur Reddit . Elle dit que son intention est de toucher le plus de personnes possible afin que ce qui lui est arrivé ne se reproduise pas.



«Il a dit que j'étais une salope à cause du nombre de relations que j'avais entretenues/de personnes avec qui je sortais depuis que j'ai ce téléphone. Je lui ai demandé s'il voulait de l'argent, quelque chose de ce genre. Il a dit qu'il pouvait m'acheter avec de l'argent, donc je devrais laisser tomber ça. Alors je lui ai demandé ce qu’il attendait de moi.

« Il m’a demandé de me déshabiller et de me toucher devant lui sur FaceTime. Satisfaire-le. Ce n’est qu’à ce moment-là qu’il rendrait mes comptes.



Tout a commencé lorsqu'un pirate informatique se faisant passer pour une connaissance familière a contacté Zed sur Facebook, lui demandant de voter en ligne pour un concours de mannequins. Elle a remis ses identifiants Apple et Google pour être ajoutée à un groupe. Puis les choses ont mal tourné. Un bug dans le système a empêché l’ami de Zed d’ajouter quelqu’un d’autre au groupe. Elle devait supprimer Zed du groupe pour résoudre ce problème, et pour ce faire, un mot de passe était nécessaire.

«Sa carrière était en jeu pour l'amour de Dieu, suppliait-elle. Après avoir fait quelques allers-retours… j’ai merdé. Je lui ai fait confiance. Je pensais qu'il n'y avait aucun mal et je changerais simplement le mot de passe juste après. C’était le mot de passe d’un identifiant Gmail que je n’utilise jamais de toute façon, sauf pour m’inscrire sur des sites Web aléatoires sur lesquels je ne veux pas recevoir de spam mais où je dois créer un compte, vous savez que nous en avons tous un.

Au moment où Zed a divulgué son mot de passe, l’attaque a été un succès.

Hameçonnage

Le phishing utilise la psychologie comportementale pour inciter les victimes à faire confiance à l'attaquant afin d'obtenir des informations sensibles. Quiconque utilise régulièrement Internet a probablement été confronté à des tentatives de phishing. Ils apparaissent sous la forme de liens douteux dans de faux e-mails, de faux sites Web financiers qui demandent des informations de connexion et d'appels téléphoniques suspects de banques et d'hôpitaux à des personnes âgées. La plupart des tentatives de phishing ciblent un public massif – souvent des milliers de personnes – et espèrent qu’une petite poignée d’entre elles seront trompées.

Hameçonnage est moins répandu, mais beaucoup plus dangereux. Le spear phishing cible un individu ou un petit groupe de personnes. L'attaquant peut recueillir des informations personnelles sur sa cible pour se forger une personnalité plus crédible. 95 pour cent de toutes les attaques réussies contre les réseaux d’entreprise sont le résultat du spear phishing, selon un chercheur du SANS Institute. 91 pour cent des répondants dans un Enquête Cloudmark ont déclaré avoir été victimes d'attaques de spear phishing.

Les spear phishers ciblent généralement les cadres supérieurs et les administrateurs informatiques chargés de protéger les bases de données sensibles. Les cybercriminels usurpent les comptes de messagerie des entreprises pour se faire passer pour des dirigeants et inciter les employés de la comptabilité ou des ressources humaines à transférer de l'argent ou à envoyer des informations confidentielles. Mais l’histoire de Zed montre à quel point cela peut arriver à n’importe qui.

Comparitech a examiné plusieurs captures d'écran de la conversation de Zed avec le pirate informatique ainsi que plusieurs fils de discussion transférés par courrier électronique de ses conversations avec le support client de Microsoft, Instagram et Facebook pour vérifier son histoire. Nous avons également appelé un conseiller client de Microsoft auprès des Global Escalation Services de la société à son numéro personnel, fourni par Zed, pour vérifier son identité.

Le mot de passe de messagerie que Zed a remis à l'imposteur n'était pas seulement un compte de courrier indésirable. Il s'agissait également de l'e-mail de récupération de son compte de messagerie principal sur Hotmail. Peu de temps après l'échange, elle a reçu des e-mails concernant une connexion en provenance du Pakistan. En quelques minutes, l’attaquant l’a déconnectée de plusieurs comptes.

« Chaque compte que j'ai sur Internet, s'il est important, est lié à Hotmail. Comptes bancaires, Facebook, LinkedIn, Squarespace, Amazon, etc. Il a modifié le mot de passe Hotmail, l'e-mail de récupération et le téléphone. Mon Hotmail était aussi mon identifiant Apple.

Une fois que l’attaquant a pris le contrôle du compte Hotmail de Zed, il avait tout.

Il a modifié son numéro de téléphone de récupération, son adresse e-mail, son anniversaire et ses questions de sécurité pour son identifiant Apple. Zed n'a pas activé la vérification en deux étapes, ce qui nécessite une forme secondaire de vérification, généralement par SMS lors de la connexion à partir d'un nouvel appareil, configuré sur ses comptes.

'Je n'ai pas pu vérifier mon identité car mes réponses étaient incorrectes, la dame au téléphone n'a pas pu me laisser entrer.'

L’attaquant a pris le contrôle du compte Facebook de Zed. En utilisant son petit ami comme proxy, Zed a établi un appel sur Facebook Messenger avec lui. C’est alors que le chantage a commencé. L’agresseur n’était pas intéressé par l’argent.

Il lui a dit que si elle ne cédait pas à sa demande, il publierait des photos compromettantes de son iCloud sur Facebook comme photo de profil. Il a dit qu’il s’en fichait si elle le dénonçait aux forces de l’ordre.

Zed a refusé.

«[…] J'ai commencé à m'énerver lors de cet appel, et je lui ai dit qu'il n'avait pas le droit de me surveiller moralement et que je pouvais avoir autant de relations que je veux et coucher avec qui je veux et que ce ne sont pas ses affaires. Cela l'a mis en colère. Il m’a dit : « Vérifiez votre [image affichée] dans deux minutes ».

L’agresseur a mis sa menace à exécution. Il a posté la photo. Le petit ami de Zed avait constitué une équipe d’amis pour surveiller son compte et signaler la photo sur Facebook dès qu’elle apparaissait.

phishing sur Reddit 2

«J'étais en larmes. Quelques minutes plus tard, un ami au hasard à qui je parle à peine a appelé sur mon téléphone et m'a demandé si je savais ce qu'il y avait sur mon Facebook. Elle m'a entendu pleurer et j'ai dit que je ne pouvais pas parler. Mes amis faisaient des reportages, des reportages, des reportages. J'ai vu mon profil changer. C’était foutu.

Son profil a été désactivé en moins de 10 minutes, mais cela a suffi à faire quelques dégâts.

«Je pense qu'au moins 15 personnes ont dû le voir. Au moins 5 à 7 personnes m'ont contacté immédiatement, par une méthode ou une autre.

Récupération

Zed a passé le mois suivant à reconstituer sa vie en ligne.

L’agresseur avait utilisé son compte Facebook pour envoyer des messages à 20 à 25 amies de Zed sur Facebook. Il a réussi trompé l'un d'eux , qui a également tout perdu. 'En fait, il l'a appelée au téléphone, mais son petit ami lui a parlé et ils ont eu une sorte de dispute, à la fin de laquelle il a semblé abandonner', raconte Zed.

phishing sur Reddit 3

La police a dit à Zed qu’elle ne pouvait pas faire grand-chose. La criminelle était censée se trouver au Pakistan et son cas « n’était pas assez important pour une enquête sur la cybercriminalité ».

Zed note qu'Apple, Facebook, Instagram et Google disposaient tous d'un service client raisonnable et réactif pour l'aider à récupérer ses comptes. Microsoft – qui possède Hotmail – et Snapchat bénéficiaient d'un support « terrible », et elle n'a pas pu récupérer ces comptes.

L’histoire de Zed souligne non seulement que le spear phishing peut cibler n’importe qui, mais qu’il est probablement plus courant que la plupart des gens ne le pensent. Zed a été courageuse non seulement parce qu'elle n'a pas cédé, mais aussi parce qu'elle a choisi de partager son histoire sur Reddit et avec Comparitech pour mettre en garde les autres. Elle constitue cependant une exception à la norme. Il est très probable que ce type d’attaques personnelles passe souvent inaperçu, tant auprès des forces de l’ordre que des médias.

Comment se protéger

Zed termine son message sur Reddit avec un simple conseil solide : 'Les choses vont mieux maintenant, mais n'oubliez pas, les enfants : NE JAMAIS divulguer vos informations personnelles, même à un ami proche ou à un être cher.'

Mots de passe

Les mots de passe, en particulier, doivent être étroitement surveillés. Si vous insistez pour partager un compte avec quelqu'un, comme un compte familial Netflix, saisissez vous-même le mot de passe en son nom. Ne les notez pas sur votre ordinateur, votre smartphone ou même votre ordinateur portable. Ne communiquez pas votre mot de passe à quelqu’un par téléphone ou par SMS. Ces supports ne sont souvent pas cryptés et on ne sait jamais vraiment qui les reçoit.

Les mots de passe doivent également être forts et variés. Créer un mot de passe fort signifie utiliser une combinaison aléatoire de lettres, de chiffres et de symboles d'au moins 12 caractères. Vous pouvez en savoir plus sur comment créer des mots de passe forts ici .

N'utilisez jamais le même mot de passe pour plusieurs comptes. Si vous avez du mal à vous souvenir de vos mots de passe, utilisez un gestionnaire de mots de passe. Les gestionnaires de mots de passe chiffrent et stockent tous vos mots de passe dans une application ou une extension de navigateur. Vous n'avez donc besoin de mémoriser qu'un seul mot de passe principal pour accéder à tous vos comptes.

'J'ai étudié un gestionnaire de mots de passe comme Keepass ou LastPass depuis qu'ils ont été recommandés par d'autres Redditors sur le fil, mais je n'en ai pas encore installé', explique Zed. 'Je veux quand même faire quelques recherches avant de me lancer là-dedans.'

Enfin, modifiez vos mots de passe le cas échéant. Les anciennes directives de sécurité suggéraient de changer les mots de passe tous les 30 à 180 jours en fonction du temps nécessaire pour forcer un mot de passe (pour deviner toutes les combinaisons possibles de caractères), mais le meilleur conseil est désormais de les changer chaque fois qu'une violation de données a affecté une entreprise avec lequel vous avez un compte. Encore une fois, les gestionnaires de mots de passe peuvent s’avérer utiles ici. Certains vous aident non seulement à stocker des mots de passe, mais peuvent également générer des mots de passe uniques et aléatoires en votre nom.

2FA et 2SV

Activez toujours l'authentification à deux facteurs (2FA) et/ou la vérification en deux étapes sur vos comptes lorsque cela est possible. Ces mesures de sécurité exigent que toute personne se connectant à l'un de vos comptes à partir d'un appareil nouveau ou inconnu vérifie son identité par d'autres moyens.

2FA inclut des technologies telles que les cartes à puce, les Yubikeys et les analyses biométriques pour vérifier votre identité.

Un exemple courant de 2SV se produit lorsque, après avoir saisi votre nom d'utilisateur et votre mot de passe, vous devez également saisir un code PIN ou un code envoyé à votre appareil par SMS. Google Authenticator et Authy sont des applications fiables utilisées pour 2SV et constituent une bonne option si vous n'avez pas de numéro de téléphone ou si vous changez fréquemment de numéro.

La vérification des e-mails est une autre forme de 2SV, mais c'est l'option la plus faible. La vérification des e-mails n’aurait pas aidé Zed au moment où son agresseur avait pris le contrôle de ses comptes de messagerie.

'J'utilise [2FA/2SV] sur tous les comptes que je possède et qui le proposent', explique Zed.

Liens et logiciels malveillants

À notre connaissance, l’attaquant de Zed n’a pas infecté ses appareils avec des logiciels malveillants, mais tromper les utilisateurs vers des sites d’imitation où ils saisissent des informations privées ou sont amenés à télécharger et à installer des logiciels malveillants est une tactique courante. Pour les dirigeants et le personnel informatique en particulier, c’est souvent l’objectif du criminel.

Les logiciels malveillants peuvent endommager les systèmes informatiques, voler des données et même chiffrer des disques entiers et les conserver contre une rançon. Ce dernier, connu sous le nom de « ransomware », est particulièrement populaire et efficace ces derniers temps. Les organisations peuvent perdre l’accès à des données vitales et sont obligées de payer d’énormes sommes de bitcoins aux pirates informatiques en échange d’un mot de passe permettant de décrypter leurs appareils.

Il est important de toujours se méfier des liens. Ne cliquez pas sur des liens dans des e-mails, des messages ou des pages Web que vous ne reconnaissez pas. L'usurpation des adresses à partir desquelles les e-mails sont envoyés ou auxquelles on répond est courante. En savoir plus sur comment repérer les e-mails de phishing ici .

Sur les navigateurs de bureau, vous pouvez survoler un lien hypertexte pour afficher où il mène réellement dans le coin inférieur gauche de la fenêtre du navigateur. Méfiez-vous des sous-domaines utilisés pour donner l'impression que les URL sont légitimes. Par exemple, le site Web de Paypal est « www.paypal.com ». Un site Web imposteur peut mettre « paypal » comme sous-domaine et un domaine de premier niveau d'apparence officielle, il utilise donc l'URL « paypal.official-paypal.com ».

Utilisez toujours un anti-malware avec une analyse en temps réel et maintenez-le à jour.

^