Nous joindre par : 0756ZATAZ0

J’ai installé un virus sur ton ordinateur pendant que tu visitais un site pour adulte

Ce que je craignais depuis plusieurs semaines vient d’arriver. L’arnaque « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte » prend une nouvelle dimension avec un moyen de faire payer les internautes de manière plus … efficace.


Mise à jour 03/03/2019 : ZATAZ a collecté 1.741 versions différentes. 1.741 mails différents (Français, Anglais, Allemand, Coréen …) exploitant cette arnaque !


Depuis le mois d’avril 2018, ZATAZ vous alerte de l’arnaque « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte« . Il aura fallu plusieurs mois pour que la presse et les autorités se penchent sur ce problème devenu un véritable fléau. Depuis que ZATAZ enquête sur ce sujet, nous avons collecté plus de 1.500 versions différentes de cette escroquerie par courriel.

Il y a eu « j’ai piraté ton Facebook » ; « J’ai piraté votre PC » ; « J’ai piraté votre webcam » ; « Je vous ai vu sur un site de cul » ; « Je t’ai vu te masturber » ; des version proposent même… de vous tuer ! La grande tendance étant la version « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte« .

Je le rappelle, avant de revenir sur une nouvelle version qui inquiète au plus au point ZATAZ, ce mail n’a qu’un seul but, vous faire flipper, vous faire peur… avec du bluff ! NON, les escrocs n’ont rien sur vous. Ils jouent sur la peur ; la honte ; …

Version 1 502

La nouvelle version de ma « Collection » débute par deux informations qui accrochent le lecteur : « Tu ne me connais pas mais moi je te connais, ainsi que ton mot de passe : 92829, et ton IP : 01.01.01.001« . Autant dire que le lecteur de la missive devient très attentif. « J’ai installé un virus sur ton ordinateur pendant que tu visitais ton site pour adulte favori, ce qui me permet de te voir, et de t’écouter depuis maintenant 2 mois. » les propos suivants sont, ensuite, toujours les mêmes dans 95% des versions collectées depuis avril 2018.

L’escroc parle de « Remote Desktop » ; de « Keylogger »… Des actions pirates qui auraient « donné accès à ton écran, ainsi qu’à ta webcam.« . Le pirate, un escroc parmi plus d’une centaine qui gravitent autour de cette arnaque, ne demande plus 8000€ ; 3000€ ; 520€ ; 500€. Cette fois, il réclame pour son silence, 250€.

Pour convaincre de payer, il réutilise la technique du « Tu souhaites avoir une preuve, répond « preuve » à ce mail. Je t’envoie une preuve, ainsi qu’à 8 de tes contacts.« . Autant dire que le tour de passe-passe est comique. Une personne « honteuse » n’ira pas demander à son maître chanteur d’envoyer les informations à 8 contacts. Autant envoyer sa bite soit même à ses amis ! A noter que si vous répondez « oui » ; « preuve » … l’escroc ne vous répondra pas. L’adresse mail est soit la votre, soit celle d’une autre victime qui va flipper encore plus !

Pour rappel, un pirate, un vrai, qui souhaite vous faire chanter vous montrera ce qu’il a en main. À l’image des maîtres chanteurs Rex Mundi ou encore Dark Overlord !

Nouveau moyen de paiement

Ce qui m’inquiète le plus dans cette nouvelle version est le nouveau mode d’emploi pour faire payer les internautes contactés. Qui je rappelle, n’ont pas été infiltrés, n’ont pas de données dans les mains d’un quelconque pirate.

L’escroc propose une vidéo qui explique comment acheter des bitcoins avec sa carte bancaire et/ou Paypal. Un mode d’emploi efficace. Nous avons testé ce mode d’emploi sur 5 personnes âgées de 12 à 69 ans. Des utilisateurs lambdas. Tous et toutes ont réussi à acheter des bitcoins.

La missive du maître chanteur se termine toujours par ce compte à rebours mental qui va en faire craquer plus d’un : « Tu as 48 heures pour faire la transaction. Ne soit pas en retard <3 J’ai placé un pixel spécial dans ce mail qui me permet de savoir que tu l’as lu. » ! Du bluff, encore !

Comment se protéger ?

Si vous recevez ce mail, direction la poubelle. Pas d’inquiétude, cet escroc n’a rien sur vous. Cependant, comment a-t-il pu sortir votre IP, un mot de passe qui semble bien être à vous ?

Comme expliqué dans cet article « Business des bases de données piratées » les informations sont tirées d’espaces web piratés, de compilations réalisées à partir de phishing. Des bases de données connues car diffusées/utilisées un peu partout sur le web (Projet fantôme, Troy Hunt, …). Les escrocs n’ont qu’à les récupérer/acheter, les copier et les utiliser.

Il existe d’autres compilations et bases de données dites 0Days, celles que ZATAZ traque via son service veille. C’est ainsi que nous avons pu repérer un grand nombre de sites piratés. Dont les informations ont été exfiltrées sans que personne ne le sache.

A noter que nous proposons un numéro de téléphone 0899.274.448* qui permet de vous aider, en temps réel, en cas de doute/inquiétude à ce sujet. La ligne est disponible 7 jours sur 7. Nous proposons aussi un service veille qui permet de surveiller, pour vous, les sites/espaces pirates (black market, …) afin d’alerter sur la moindre fuite de données personnelles pouvant vous concerner.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr - Journaliste - Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. damien/dipisoft. Reply

    Excellent le coup du « J’ai placé un pixel spécial dans ce mail qui me permet de savoir que tu l’as lu » !

    Mais il est vrai que nous n’avons pas tous un niveau en info qui nous permette de distinguer le vrais du « pipotron »…

    damien/dipisoft.

    • sacha Reply

      bonjour,

      je lis avec interet vos messages. Si on sait ou part l’argent ( bitcoin ou autre ) pourquoi ne pouvons nous pas savoir qui l empoche?

      bien a vous
      sacha

      • Damien Bancal Reply

        Bonjour,
        La force des cryptomonnaies se trouve justement dans la capacité de rendre les transactions « anonymes ».

  2. Sky Reply

    Je confirme … depuis la mise en vente de la base de donnée suite au piratage de linkdin je reçois une 10aine de mail par mois….

    Fais suer linkdin !

    • damien/dipisoft. Reply

      Pour ma part, c’est la faille de DISQUS (faille de 2012 révélée en 2017 de mémoire) qui est à l’origine des nombreux mails que je reçois.

      J’en suis à 22 tentatives reçues depuis le 08/10/2018 : 20 en anglais, 1 en japonais, 1 en français. Et ça s’intensifie depuis la semaine dernière avec 1 mail quotidien minimum.

      J’ai jeté un coup d’œil aux IP d’origine mais à part quelques exceptions (des débutants qui font ça de chez eux ?) la plupart du temps ça passe par des VPN.

      Ce qui est effrayant c’est de constater, en « traçant les adresses bitcoin » utilisées, que ceux qui font ça s’enrichissent vraiment. Car un des « avantages » de ces monnaies est que l’on peut facilement visualiser les transactions qui concernant une adresse. Souvent on peut tomber sur des adresses qui ont collecté plusieurs milliers de dollars. Il y a donc pas mal de crédules qui tombent dans les filets, ce qui encourage les « pirates » à continuer dans ce business facile mais incite également des « amateurs » à tenter de rentrer dans la danse…

      Bref, tout ça pour dire que l’on n’est pas prêts de voir le phénomène disparaître. Il va falloir créer des filtres dans nos messageries pour traquer ces mails et les mettre directement à la poubelle.

      damien/dipisoft.

  3. moiiii Reply

    J’ai pu constater récemment une variante encore plus vicieuse où le « hacker » avait prétendument tous les mots de passe de la personne et en donnait « un » pour preuve.
    Et effectivement, il s’agissait bien d’un mot de passe utilisé par la personne qui m’avait transmise le mail.
    Il s’avère qu’un check sur haveibeenpwnd.com montrait que son email faisait partie d’un dump de fin 2016 qui contenait également des mots de passe (peut-être un seul…) de je ne sais quel site.
    Ca ajoute encore énormément à la crédibilité pour une personne lambda.

    • moiiii Reply

      OK j’avais un peu sauté la partie de l’article « Tu ne me connais pas mais moi je te connais, ainsi que ton mot de passe : 92829, et ton IP : 01.01.01.001 ».
      La version que j’ai vue était structurée légèrement différemment, en 3 images sur un site, avec le mdp inséré en texte, et plein de tag dans le source en demandant de mémoire 450€ ou 490€, mais un peu trop gourmand avec 3 mails (expédiés d’IP provenant d’inde et d’indonésie, j’imagine issues d’un botnet).

      • Damien Bancal Reply

        Bonjour,
        Pouvez-vous nous envoyer ces versions par mails, merci 🙂

    • Damien Bancal Reply

      Bonjour,
      Oui, c’est la méthode d’avril 2018.
      A noter que notre service veille est capable de retrouver des données qui ne sont pas encore publiées sur le web. Nous n’attendons pas qu’elles sortent en mode « public » mais nous allons les dénicher dans le black market. Voici le bouton « Service Veille » en haut de cette page.

  4. k1 Reply

    bonsoir damien,
    j’ai reçu cette e-mail et qui se trouve dans les indesirables.
    dans ce mail ip ainsi que le mot de passe n’apparait pas!!!!
    merçi de nous informer comme d’habitude.
    cordialement.

  5. Fred Reply

    Excellent article !

  6. Gambetta Reply

    0899.274.448*
    ou est le texte de l’étoile ? C’est un numéro surtaxé ?

    • Damien Bancal Reply

      Bonjour,
      Oui, cela est notifié, dans toutes les pages, en bas du site !
      Nous rappelons si le cas est grave.
      Cordialement

  7. didier Reply

    bonjour
    je viens de tomber sur votre site fort intéressant
    je vous contacte car j’ai été la victime hier soir de ce genre d’escroquerie : « tu ne me connais pas et moi je te connais bla bla bla , et me demande pour son silence 525 euros en bitcoints  »
    sur le moment j’ai flippé et là je me dis c’est bizarre car je ne possède pas de webcam sur mon PC
    mais je vous avons que j’ai mal dormi
    merci pour toutes vos info
    Cordialement
    Didier

  8. Pingback: ZATAZ 3e vague de docs volés par le maître chanteur The Dark Overlord - ZATAZ

  9. Ludwig Reply

    Bonjour
    Tres bon article, j’ai justement recu se type de mail, come quoi le hasard est bine fait.
    Merci pour ces informatioo

  10. Jacquout le croqueur Reply

    Bonjour
    Merci pour vos informations. j’ai reçus aussi ce genre de message; « vous vous demandez comment vous pouvez recevoir un mail de votre propre adresse mail….etc…payez 450€ … » par contre comment font-ils pour que l’expéditeur soit sa propre adresse ?
    Merci

  11. personne Reply

    J’en reçois aussi,c’est comique,j’ai la variante mailbomber (dans le style) je reçois des mails avec mon adresse et d’autre avec des adresse créé a l’arrache (suite de lettres tapé au hasard,ça ce vois),du coup je répond en leur disant que j’ai mis toute mes infos bancaire dans une pièces jointe chargé comme jamais depuis hier…
    Je me demande surtout si ça vient pas des vendeurs chinois via amazon,depuis que j’achète en chine je reçois pas mal de merde dans ma boite mail.

  12. damien/dipisoft. Reply

    Bonjour,

    Après 5 jours de « relâche », j’ai reçu un nouveau mail hier.

    Petite nouveauté : le corps du message n’est plus du texte mais une image. Le mail est donc beaucoup plus « lourd » (258Ko contre environ 8Ko habituellement) mais surtout très difficile à identifier comme pourriel par les filtres antispam des messageries…

    Cordialement,

    damien/dipisoft.

  13. Pingback: ZATAZ Black market : bitcoins à vendre - ZATAZ

  14. BenGee Reply

    J’ai été assez impressionné par la qualité du français utilisé dans le dernier mail de ce type reçu ce matin même.
    Comme le souligne Damien, c’est le manque de logique de l’ensemble qui permet au néophyte de se rassurer. En regardant le source du mail, j’ai trouvé un relai depuis une adresse d’un domaine qui existe vraiment. Ce qui me laisse croire que le serveur, la machine ou l’adresse du propriétaire de ce domaine ont été piratés et utilisés pour cette campagne de phishing.
    Ensuite, le mot de passe indiqué était exact et n’était pas un mot de passe bateau. Je ne l’avais utilisé que sur un seul site qui est d’ailleurs le seul référencé sur Haveibeenpawned avec l’adresse email sur laquelle j’ai reçu le message. Et bien sûr les données de ce site compromis sont depuis longtemps diffusées sur le net : LinkedIn.

  15. youssef001 Reply

    bonjour
    le virus et installer dans le site ou t inscrit
    je partage mon expérience

    j’ai postuler pour une formation j’ai reçu 2 email 1 de pole emploi le vrai et le 2eme spam avec mon propre adresse et mon identifiant de pole emploi
    le spam et plus rapide que pole emploi

    le vrai pole emploi
    Pôle Emploi
    Mer 01/05/2019 18:06
    ei?u=http%3A%2F%2Fpole-emploi.tsce.net%2

    Bonjour,

    Nous avons bien reçu votre message et nous allons procéder à l’examen de votre demande.

    Votre conseiller référent vous répondra dans les meilleurs délais.

    Saviez-vous que des informations personnalisées et des services en ligne sont disponibles sur votre espace personnel Pôle emploi en ligne ?
    Vous pouvez notamment :
    – consulter l’état d’avancement de votre demande d’allocation, de vos paiements et trop-perçus
    – transmettre vos bulletins de salaire, arrêts maladie ou autre document, de façon dématérialisée via la rubrique :
    « Envoyer un document »

    Cordialement,

    L’équipe Pôle emploi.

    spam

    Le demandeur d’emploi (65*****R) vous sollicite suite à son entrée en formation : Référence n°07_23749
    Ce courrier a été identifié comme étant du courrier indésirable. Nous le supprimerons après 10 jours. Courrier légitime | Afficher le contenu bloqué
    ***@***MAIL.FR
    Mer 01/05/2019 18:05

    Référence du demandeur d’emploi :
    Identifiant : 2041207829
    Nom :
    Prénom :
    Adresse électronique : ***@***MAIL.FR
    Demande de contact sur pole-emploi.fr

    Bonjour,

    Ce demandeur d’emploi souhaite faire un point sur sa formation: 07_23749.

    Souhait(s) de sa demande de contact :
    concernant le financement ou la rémunérationconcernant mes démarches administratives pendant la formationpour faire le point pendant ma formation

    Nous vous remercions de la prise en compte de sa demande.

    Cordialement,
    L’équipe Pôle emploi

    © 2017 Pôle emploi. Tous droits réservés.

    Ce courriel vous est envoyé automatiquement, merci de ne pas utiliser la fonction « répondre à l’expéditeur ».

    Une question ? Consultez notre FAQ

    Vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent auprès de Pôle emploi conformément à la loi du 6 janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés.

  16. a.j.a Reply

    bonjour
    j ai reçu se genre de message lundi soir
    Est ce du pipeau ou inquiétant
    merci

    • Damien Bancal Reply

      Bonjour,
      comme indiqué dans l’article, pas d’inquiétude, du bluff !
      Il faut juste vous demander où il a pu avoir votre adresse mail.

  17. a.j.a Reply

    Bonjour
    Merci votre réponse
    Et de cet article qui explique bien pour les novices en la matière

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.