Tout le monde aujourd'hui reçoit des spams.
Je suis fréquemment contacté par des personnes affolées ou inquiètes qui me demandent si "leur compte n'a pas été piraté" !
Vous trouverez sur Internet de multiples articles qui vous expliquent comment vous prémunir simplement de différentes escroqueries concernant les spams, je vais aller un peu plus loin techniquement pour vous expliquer comment vous permettre d'analyser et comprendre les emails que vous recevez afin de vérifier si cela correspond à une réalité ou une simple escroquerie.
J'ai piraté votre compte email !
Je ne sais pas si vous avez reçu récemment un email vous indiquant que votre compte email avait été piraté, le pirate demandant alors à ce que vous lui versiez une somme d'argent en BitCoint sans quoi il livrera votre vie privé à tout le monde. Je vais donc prendre cet email en exemple, mais la procédure reste la même pour les autres emails de ce type.
Cet email en anglais est présenté comme ceci :
Hello! I have very bad news for you. 19/08/2018 - on this day I hacked your OS and got full access to your accountCette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. So, you can change the password, yes... But my malware intercepts it every time. How I made it: In the software of the router, through which you went online, was a vulnerability. I just hacked this router and placed my malicious code on it. When you went online, my trojan was installed on the OS of your device. After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts). A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock. But I looked at the sites that you regularly visit, and I was shocked by what I saw!!! I'm talk you about sites for adults. I want to say - you are a BIG pervert. Your fantasy is shifted far away from the normal course! And I got an idea.... I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?). After that, I made a screenshot of your joys (using the camera of your device) and glued them together. Turned out amazing! You are so spectacular! I'm know that you would not like to show these screenshots to your friends, relatives or colleagues. I think $754 is a very, very small amount for my silence. Besides, I have been spying on you for so long, having spent a lot of time! Pay ONLY in Bitcoins! My BTC wallet: 1MbdGY1LVr6gEjyN3Rok5HQDQcjWbYmLds You do not know how to use bitcoins? Enter a query in any search engine: "how to replenish btc wallet". It's extremely easy For this payment I give you two days (48 hours). As soon as this letter is opened, the timer will work. After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically. If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your "enjoys". I hope you understand your situation. - Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server) - Do not try to contact me (this is not feasible, I sent you an email from your account) - Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server. P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment! This is the word of honor hacker I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation. Do not hold evil! I just do my job. Have a nice day!
La traduction de ce message nous donne ceci :
Salut! J'ai de très mauvaises nouvelles pour vous. 19/08/2018 - ce jour-là, j'ai piraté votre système d'exploitation et obtenu un accès complet à votre compteCette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Donc, vous pouvez changer le mot de passe, oui ... Mais mon programme malveillant l'intercepte à chaque fois. Comment je l'ai fait: Le logiciel du routeur, via lequel vous êtes allé en ligne, comportait une vulnérabilité. Je viens de pirater ce routeur et d'y placer mon code malveillant. Lorsque vous êtes allé en ligne, mon cheval de Troie a été installé sur le système d'exploitation de votre appareil. Après cela, j'ai effectué une sauvegarde complète de votre disque (j'ai tout votre carnet d'adresses, l'historique des sites de visionnage, tous les fichiers, les numéros de téléphone et les adresses de tous vos contacts). Il y a un mois, je voulais verrouiller votre appareil et demander une petite quantité de bitcoint pour le déverrouiller. Mais j'ai regardé les sites que vous visitez régulièrement et j'ai été choqué par ce que j'ai vu !!! Je vous parle de sites pour adultes. Je veux dire - vous êtes un grand pervers. Vos fantasmes sont loin d'être normaux ! Et j'ai eu une idée… J'ai fait une capture d'écran des sites pour adultes où vous vous amusez (vous comprenez de quoi il s'agit, hein?). Après cela, j'ai fait une capture d'écran de votre jouissance (en utilisant la caméra de votre appareil) et je les ai collées ensemble. Le résultat est incroyable! Vous êtes tellement spectaculaire! Je sais que vous ne voudriez pas montrer ces captures d'écran à vos amis, parents ou collègues. Je pense que 754 $ est une très petite somme pour mon silence. En plus, comme je vous espionnais depuis longtemps, j'y ai passé beaucoup de temps! Payez SEULEMENT en Bitcoins! Mon portefeuille BTC: 1MbdGY1LVr6gEjyN3Rok5HQDQcjWbYmLds Vous ne savez pas comment utiliser les bitcoins? Entrez une requête dans n’importe quel moteur de recherche: "comment reconstituer le portefeuille de la BTC". C'est extrêmement facile Pour ce paiement, je vous donne deux jours (48 heures). Dès que cet email sera ouvert, le décompte sera lancé. Après le paiement, mes captures réalisé à partir de mes virus et les saletés concernant vos plaisirs s’autodétruiront automatiquement. Si je ne reçois pas de votre part le montant spécifié, votre appareil sera verrouillé et tous vos contacts recevront une capture d'écran avec vos "jouissances". J'espère que vous comprenez votre situation. - N'essayez pas de trouver et de détruire mon virus! (Toutes vos données, fichiers et captures d'écran sont déjà téléchargés sur un serveur distant) - N'essayez pas de me contacter (ce n'est pas faisable, je vous ai envoyé un email depuis votre compte) - Divers services de sécurité ne vous aideront pas. formater un disque ou détruire un périphérique ne vous aidera pas, car vos données sont déjà sur un serveur distant. P.S. Vous n'êtes pas ma seule victime. alors, je vous garantis que je ne vous dérangerai plus après le paiement! C'est la parole d'honneur d'un pirate Je vous demande également de mettre à jour régulièrement vos antivirus à l’avenir. De cette façon, vous ne tomberez plus dans une situation similaire. Ne me prenez pas pour un méchant ! Je fais juste mon travail. Bonne journée!
Waoo ! Cela fait peur non ?
Nous allons commencer par démonter le message en lui-même.
"...Le 19 août, j'ai piraté votre système d'exploitation et obtenu un accès complet à votre messagerie..."
Ah... le 19 août ? Mmmm... ok... mais déjà, comment est-ce possible ? Mon poste était éteint le 19 août... Bon, peut être que le pirate peut accéder à mon poste éteint à distance... même quand il n'est pas branché sur le Net...
"...Vous êtes un grand pervers..."
Euh... d'accord... il faut que j'arrête de naviguer sur Google ? C'est pas bien Google ?
"...J'ai une capture écran de votre jouissance via votre webcam.."
Ah bah ça ! Il faut que j'arrive à trouver cette fameuse webcam alors ! Je croyais que je n'en avais pas !! A moins qu'il ne puisse utiliser mon clavier pour me voir...
"... Je vous donne deux jours, dès que cet email sera ouvert, le décompte sera lancé..."
Zut, même si je n'envoie pas de confirmation de lecture, cet incroyable pirate va savoir que j'ai ouvert mon email dans mon client email... Quelle terrible menace !
Analysons la situation...
Bon, je ne vais pas continuer de vous montrer les énormes ficelles présentes mais je vais maintenant vous expliquer un point important : et si le pirate avait réellement piraté mon email ???
En effet, lorsque vous recevez cet email, celui-ci semble avoir été envoyé avec votre propre compte !
Et c'est souvent là que les personnes me contactent pour me demander si leur boite n'a pas été piratée.
Pour vérifier cela, je vais demander alors à voir le code source du message. Utilisant Thunderbird, je vais utiliser le raccourci "CTRL+U" ce qui va alors me donner la source du message.
Le code source va vous donner principalement les entêtes qui vont nous permettre de vérifier si l'email est vraiment parti de mon compte ou pas.
Au niveau du code source, je trouve plusieurs lignes intéressantes :
et
Que signifie ces lignes de code ?
Pour vérifier qu'un email n'est pas du spam, les serveurs vérifient la plupart du temps 2 choses principalement : le SPF et la clé DKIM.
Le SPF (Sender Policy Framework) va vérifier si le serveur qui a envoyé l'email est bien autorisé à le faire. Cela signifie en clair que quand un email part par exemple du domaine xlformation.com, le serveur de mon destinataire va alors demander le SPF au serveur qui l'a envoyé pour vérifier que le serveur qui envoie a bien le droit de le faire. Cette information est indiquée dans les informations du domaine (DNS) que seul le propriétaire du domaine (ou la personne qui le gère) peut modifier. Ainsi, pour xlformation.com, seul mon serveur a autorité pour envoyer un email.
La clé DKIM est une clé qui va permettre de signer un email : cette clé est séparée en 2 parties, une partie est envoyée dans l'email (et donc accessible), l'autre est "privée" et stockée sur le serveur qui est donc le "seul" à le connaitre. Lorsqu'un email est réceptionné par le serveur d'un destinataire, si le mail est signé avec DKIM, il y a alors vérification entre ces 2 clés pour que le mail soit authentifié comme légitime. Si le mail n'est pas signé, cette vérification n'a pas lieu mais l'email peut alors être considéré comme "suspicieux".
La majorité des emails utilisent ces 2 mécaniques (et d'autres donc je ne parlerai pas ici), ce qui permet d'authentifier l'email comme légitime.
Revenons à notre code source : si vous regardez bien celui-ci, vous pouvez voir que le mail est étiqueté en spam par mon serveur de réception :
OVH Spam Reason (raison de l'étiquetage comme spam) : dkim : disabled (signature dkim désactivée) - spf : disabled (signature spf désactivée).
Comme mon serveur signe les emails avec ces 2 éléments, il y a déjà une forte suspicion de fraude !
L'information la plus intéressante est celle-ci :
Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=189.216.182.77; helo=customer-189-216-182-77.cablevision.net.mx; envelope-from=Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. ; receiver=<UNKNOWN> Authentication-Results: in54.mail.ovh.net; dkim=none; dkim-atps=neutral Received: from customer-189-216-182-77.cablevision.net.mx (unknown [189.216.182.77])
L'email sensé être parti de mon domaine a été émis de "customer-189-216-182-77.cablevision.net" ! et avec une enveloppe (le nom de l'expéditeur) "
Nous avons ici la preuve qu'il y a une tentative d'usurpation d'identité : une personne ayant envoyé un email depuis cablevision.net tente de me faire croire que le mail est parti de ma propre boite email !
Au niveau de l'adresse IP, j'ai une information (même si on sait déjà que c'est une ridicule tentative d'escroquerie) : on va regarder simplement la geolocalisation de celle-ci à l'aide de https://www.iplocation.net/
En cliquant sur le bouton rouge "IP Lookup", j'obtiens alors :
Ah bah voilà ! Je ne vous l'avais pas dit mais je me trouvais à Mexico pour m'envoyer cet email !
Amusez-vous !
Pour essayer cette technique appelée "Email Forgery" ("email forgé de toute pièce"), vous pouvez aller sur ce site : https://emkei.cz/
Vous pourrez alors tenter de vous envoyer en vous faisant passer pour quelqu'un d'autre. Sachez par contre que si le destinataire a un serveur qui applique les règles de vérification, l'email risque de ne pas arriver sur la boite de votre destinataire. Envoyez vous un email à vous même avec votre propre nom pour tester !
Conclusion
Il existe différentes manières de vérifier l'authenticité d'un envoi mais la première reste votre sens critique !
Avant de prendre peur, analysez sereinement l'email. Il peut arriver que vous subissiez un piratage de votre boite email (c'est même fréquent pour beaucoup mais souvent dù à une "fausse page de connexion" sur laquelle vous saisissez vos identifiants en étant persuadé que vous êtes sur la bonne page), mais même dans ce cas, le pirate ne va pas vous dire qu'il a piraté votre boite mais plutôt utiliser celle-ci pour envoyer un email à tous vos contacts pour demander de l'aide "parce qu'il est perdu à l'étranger sans papier ni argent ni téléphone" ! (ici aussi, votre sens critique doit jouer ! Comment votre "ami" peut il vous contacter sans argent, papier, téléphone ?????)
En espérant que ceci vous aide à éviter de vous faire avoir, ou au moins vous permette d'avoir une approche plus sereine des messages qui intoxiquent nos boite emails !