Que faire en cas d'e-mail de chantage ? -

Que faire en cas d’e-mail de chantage ?

Le choc lors de la réception d’un e-mail de chantage peut être puissant. Doit-on se plier aux exigences ? Chercher de l’aide ? Cet article explique ce qui se cache derrière de tels e-mails et livre les conseils de BEE SECURE pour réagir de la meilleure façon possible.

Beaucoup de personnes ont vu la crise du coronavirus comme une occasion de gagner beaucoup d’argent. Il ne s’agit pas seulement des escrocs qui commercialisent en ligne et à prix élevé des masques « sûrs et à haute efficacité » ou qui vendent des dispositifs médicaux contrefaits contre la COVID-19 (voir le N°75 du magazine Aktiv am Liewen de l’année dernière, pp. 32-33).

De nombreux escrocs profitent des peurs des internautes plus âgés et de leur manque d’expérience pour leur envoyer des e-mails de chantage.

Ces derniers temps, BEE SECURE a enregistré un nombre croissant de demandes à propos des e-mails de chantage via la BEE SECURE Helpline (8002 1234) gratuite. Qu’est-ce qui caractérise ces « nouveaux e-mails de chantage » ?

L’e-mail de chantage « typique »

Les e-mails de chantage utilisent souvent le même principe :

L’expéditeur affirme avoir en sa possession des informations sensibles sur le destinataire (p. ex. des photos ou vidéos qui auraient été prisent en secret via la webcam de l’ordinateur) avec lesquelles il peut faire chanter le destinataire.

Si ce dernier n’a pas réglé une certaine somme (en argent ou bitcoins, une cryptomonnaie) dans le délai imparti sur le compte mentionné, lesdites vidéos et photos seront envoyées à tous les contacts du destinataire.

Il est facile de s’imaginer à quel point le choc peut être fort. Et ce n’est pas le seul problème : de nombreuses victimes ont naturellement peur pour leur vie privée et ont honte de chercher de l’aide face à un tel e-mail. Le destinataire pense que l’e-mail de chantage est vrai car il est brodé avec d’autres détails pour lui faire croire qu’il s’agit de la vérité.

Mais comment ?

C’est aussi facile que d’envoyer une carte postale avec le nom d’une autre personne.

Cette « nouvelle » vague d’e-mails de chantage qui circule en ce moment contient quelques nouveaux éléments. Il est plus difficile pour le destinataire de différencier l’e-mail de chantage d’un e-mail sérieux.

Les escrocs font d’abord croire au destinataire que son adresse e-mail privée a été piratée. Ils envoient comme preuve un e-mail qui aurait été envoyé depuis le compte de la victime. La falsification d’une adresse e-mail est en réalité très facile à réaliser. C’est aussi simple que d’envoyer une carte postale au nom de quelqu’un d’autre. Toutefois, de nombreuses personnes sont naturellement convaincues que l’e-mail de chantage est crédible.

Le problème va plus loin : l’escroc dévoile l’un des vrais mots de passe de la victime et lui donne ainsi l’impression qu’il a réellement accès à ses e-mails.

Mais comment est-ce possible ?

Les cybercriminels s’emparent régulièrement de données comme des adresses (e-mails) et des mots de passe provenant de sites peu sécurisés comme des boutiques en ligne ou des forums qui utilisent des protocoles de sécurité obsolètes. Les données dérobées (nom d’utilisateur et mot de passe, par exemple) sont proposés sur des plateformes de vente.

Une chose est sûre : créer un e-mail de chantage n’est pas si difficile qu’on le croit. Mais quels détails contiennent les nouveaux e-mails de chantage ?

Une combine perfide

Les escrocs affirment que le destinataire a été filmé lors de la visite sur un site pornographique à l’aide d’un logiciel malveillant (un programme informatique développé pour exécuter des fonctions involontaires ou nuisibles). Ils expliquent avoir créé une « vidéo split-screen » : on peut voir sur cette vidéo le site web visité ainsi qu’un petit cadre dans le coin de la vidéo dans laquelle apparaît la personne qui regarde le contenu du site. Ensuite, les escrocs affirment avoir accès à tous les contacts Facebook et e-mails de la victime.

Les e-mails de chantage contiennent en outre un programme invisible (un « pixel espion »), qui signale aux escrocs que la victime a ouvert l’e-mail. Ensuite, le destinataire a un délai compris entre 24 et 72 heures pour verser au maître chanteur un montant de 4 chiffres en Bitcoins, sans quoi la vidéo sera envoyée à tous les contacts.

Le destinataire se sent alors pris au piège, à juste titre. Alors, que peut-on faire ?

Ce que BEE SECURE recommande

Changez votre mot de passe (de votre adresse e-mail) et ne payez le montant demandé en aucun cas. Il s’agit ici clairement d’une histoire fictive.

Les e-mails de chantage ont été examinés et ils ne contiennent pas de logiciels malveillants qui permettent d’informer l’escroc de l’ouverture de l’e-mail par la victime.

En cas de questions ou de doutes, contactez la BEE SECURE Helpline (Tél : 8002 1234), l’aide est gratuite, anonyme et confidentielle.

Grâce aux appels passés à la BEE SECURE Helpline, nous pouvons conclure qu’il existe plusieurs variantes de ces e-mails de chantage. Ils sont disponibles en plusieurs langues telles qu’en anglais, en allemand, en français et même en luxembourgeois. Parfois, ils renoncent à divulguer le mot de passe privé. Ces e-mails de chantage ont toutefois un point commun : ils veulent faire douter le destinataire et le placer dans un état de choc tel qu’il aura honte de demander de l’aide et cèdera aux escrocs.

A quoi reconnait-on ces e-mails de chantage ?

En 2018, les portails internet WEB.de et GMX.de ont enregistré un nombre de 150 millions de spams envoyés par jour en Allemagne. Seuls 3 % d’entre eux sont des e-mails de chantage et seul 1 % des personnes qui les reçoivent cède en payant le montant indiqué. Cela permet donc d’estimer l’argent que peuvent gagner les cybercriminels avec ce type de combine.

Le terme « phishing » (ou hameçonnage) désigne dans le jargon la méthode avec laquelle quelqu’un essaie, via des sites contrefaits, des e-mails ou de courts messages, de se faire passer pour un interlocuteur digne de confiance. Le but de cette arnaque est, par exemple, d’obtenir les données personnelles d’un internaute ou d’obtenir de l’argent. Un terme qui entre dans la catégorie du terme générique « phishing » est le « grandchild-trick », qui consiste à se faire passer pour le petit-enfant d’une personne âgée inconnue et de lui demander de l’argent.

Vous pouvez reconnaître les e-mails de chantage ou de « phishing » grâce aux caractéristiques suivantes :

Les affirmations dans cet e-mail décrivent-elles la réalité ou sont-elles inventées ? Vérifiez tout d’abord si les affirmations présentes dans l’e-mail sont vraies ou si elles ne sont pas fondées.
Les erreurs dans langage et les fautes d’orthographes : un expéditeur sérieux ne ferait pas d’erreurs de syntaxe, de grammaire ou d’orthographe.
Des expéditeurs suspects provenant de l’étranger : l’adresse e-mail vous est inconnue ou elle contient un nom différent que celui présent dans l’e-mail.
Demande de données personnelles : un expéditeur sérieux ne vous demandera jamais vos données personnelles (code PIN, mot de passe, photo de votre carte d’identité, etc.) par e-mail. Ne donnez jamais ces informations.
Demande d’argent : s’il s’agissait vraiment d’une personne de votre entourage proche (grandchild-trick) qui a un besoin urgent d’argent, elle vous en parlerait directement. Attention cependant : les pirates peuvent quand même utiliser le compte de l’un de vos contacts pour vous demander de l’argent. Il faut toujours demander directement à la personne concernée si elle a bien envoyé cet e-mail.

Pour en savoir plus sur le thème du « hameçonnage », consultez le site de BEE SECURE : www.bee-secure.lu