Cofense, une entreprise membre du conseil d'administration de National Cyber Security Alliance (NCSA), a annoncé avoir publié une base de données de plus de 200 millions de comptes email compromis ciblés par des escroqueries au chantage sexuel.

Les escroqueries impliquent des emails envoyés via un grand botnet « à louer » que Cofense a découvert en juin. L'entreprise partage la base de données pour aider les individus et les employeurs à éviter de devenir des victimes. Pour en savoir plus sur le chantage sexuel et la découverte du botnet, la NCSA a parlé avec Tonia Dudley, Directrice, Conseillère en Solutions de Sécurité chez Cofense et membre du conseil de la NCSA.

Qu'est-ce que le chantage sexuel et comment ça fonctionne ?

Le chantage sexuel englobe une large gamme de cybercrimes impliquant des formes de coercition non physiques. En général, le chantage sexuel signifie la menace de divulguer des images ou informations sexuelles pour extorquer des cryptomonnaies. En général, une victime reçoit un email d'un cybercriminel menaçant d'envoyer des informations compromettantes supposées – comme des photos ou vidéos sexuelles – aux amis et à la famille à moins que la victime n'accepte de payer une rançon en bitcoin. Ce qui rend l'email particulièrement crédible, c'est que pour prouver leur légitimité, les « chantageurs » commencent par vous montrer un mot de passe que vous avez déjà utilisé ou que vous utilisez actuellement.

Qu'est-ce qu'un botnet et comment l'escroquerie est-elle distribuée ?

Le terme « bot » est une abréviation du terme « robot », relié au « net » comme dans « réseau ». Un botnet est un réseau d'ordinateurs infectés par un logiciel qui attendra des instructions de son contrôleur. Cela permet à un attaquant de contrôler un grand nombre d'ordinateurs. La bonne nouvelle est que nous savons que ce botnet n'infecte PAS les ordinateurs pour acquérir de nouveaux ensembles de données. Il recycle simplement les adresses email acquises de diverses manières au fil du temps.

Pourquoi était-il important de publier la liste des comptes compromis ?

Nous voulions aider les victimes à éviter l'anxiété de devoir déterminer s'il fallait payer la rançon en bitcoin demandée. Rien que dans la première moitié de 2019, Cofense Labs, notre branche nouvellement formalisée de R&D, a analysé plus de 7 millions d'emails liés au chantage sexuel. Cela concerne potentiellement beaucoup de personnes. Le botnet que nous surveillons est un botnet « à louer » utilisé expressément pour le chantage sexuel. Si le botnet ingère de nouvelles adresses email, nous pouvons les voir et les ajouter à la base de données. Nous surveillons également l'activité du botnet pour voir quel logiciel malveillant il utilise. Nous examinons quotidiennement les nouvelles pièces de logiciels malveillants qu'il pourrait utiliser.

Que devraient faire les individus et les entreprises si leurs comptes email font partie des 200 millions compromis ?

En tant qu'individu, si votre adresse email apparaît sur la liste mais que vous n'avez pas reçu d'email de chantage sexuel, soyez sur vos gardes ! Le chantageur pourrait bien vous contacter. Ne soyez pas alarmé par la menace dans l'email. L'alarme et la panique sont précisément la réaction que l'attaquant espère provoquer avec des menaces de honte publique si vous ne répondez pas. Les emails de chantage sexuel ne comportent généralement pas d'éléments de phishing classiques comme un lien malveillant ou une pièce jointe. Cependant, si vous en voyez, ne cliquez pas. Supprimez simplement le message. Pour les entreprises, nous recommandons de prendre certaines actions, que vos domaines soient répertoriés ou non. Nous ajoutons toujours plus d'adresses email à mesure que la menace évolue.

• Surveillez vos domaines via le site web cofense.com/sextortion/. Si la base de données n'affiche actuellement aucun résultat, vous devriez continuer à vérifier périodiquement. Ces attaques sont continues et dynamiques, donc les résultats sont susceptibles de changer

• Créez des filtres de passerelle pour bloquer les termes clés utilisés dans les emails de chantage sexuel. Restez informé sur les messages utilisés car les attaquants mettront régulièrement en œuvre de nouveaux messages. C'est le jeu classique du chat et de la souris

• Écrivez des règles YARA pour analyser vos serveurs de messagerie, à la recherche d'indicateurs de compromission (IOCs) liés à ces campagnes

• N'oubliez pas que de nombreux emails de chantage sexuel, comme ceux des campagnes de compromission des emails professionnels (BEC), n'incluent pas de lien ou de pièce jointe – ils cherchent juste une réponse qu'ils peuvent exploiter

Que doivent faire les utilisateurs s'ils reçoivent un email de chantage sexuel ?

Que vous soyez ou non sur la liste, nous recommandons toujours les mêmes actions. Les acteurs malveillants utiliseront les données disponibles pour cibler les utilisateurs avec des emails de phishing pour ce type de campagne ou pour accéder aux comptes.

Comment les utilisateurs peuvent-ils éviter d'être exposés au chantage sexuel ?

Malheureusement, il n'y a rien que les individus puissent faire pour empêcher d'être exposés, c'est pourquoi nous recommandons toujours d'utiliser des noms d'utilisateur et des mots de passe uniques pour chacun de vos sites web ou des applications que vous téléchargez sur votre appareil mobile. Ces types de campagnes exploitent des listes déjà exposées provenant de précédentes violations de données. Lorsque vous recevez un email indiquant que votre compte a été inclus dans une violation de données, prenez immédiatement des mesures pour changer votre mot de passe et mettez en œuvre une authentification multi-facteurs lorsqu'elle est disponible.

Biographie de l'auteur

Tonia Dudley est Directrice, Conseillère en Solutions de Sécurité chez Cofense et membre du conseil de la NCSA. Dans ce rôle, elle se concentre sur la défense contre le phishing tout en démontrant comment les solutions Cofense aident les organisations du monde entier à minimiser l'impact des attaques tout en réduisant le coût des opérations.