Une nouvelle campagne de sextorsion a été lancée contre les propriétaires de caméras de sécurité à domicile Google Nest.
Alors que de nombreux cybercriminels utilisent des méthodes telles que le phishing et les ransomwares pour extraire de l’argent des victimes, un autre système souvent utilisé est la sextorsion. Selon un récent rapport, une nouvelle campagne utilisant cette technique de chantage a été lancée contre les propriétaires de caméras de sécurité à domicile Google Nest.
Pour ceux qui ne le savent pas, les escroqueries par e-mail de sextorsion impliquent généralement quelqu’un prétendant avoir obtenu une vidéo explicite d’une personne et menaçant de la partager à moins que de l’argent ne soit payé – une version populaire affirme que la webcam d’une victime a été piratée et qu’elle a été surprise en train de regarder de la pornographie. En réalité, l’agresseur n’a presque jamais aucune des images présumées, mais certaines personnes paient par peur.
Computer Weekly écrit que des chercheurs de la société de cybersécurité Mimecast ont découvert une campagne de sextorsion qui a commencé début janvier et ciblait près de 1 700 utilisateurs Nest, dont la plupart étaient basés aux États-Unis.
Contrairement aux arnaques similaires, celle-ci était légèrement plus complexe. Plutôt que de contenir un lien vers, par exemple, un portefeuille Bitcoin où la victime peut payer de l’argent, l’e-mail initial prétend uniquement avoir les images et n’explique pas ce que veulent les maîtres-chanteurs.
Le message contient un mot de passe pour se connecter à un compte de messagerie externe, qui contient un e-mail avec un lien vers un site qui présente des images authentiques téléchargées à partir du site Nest de Google. Cependant, les images ne sont pas prises depuis l’appareil de la victime.
Les victimes sont ensuite dirigées vers une autre boîte de réception par e-mail, où elles sont prévenues que les images seront publiées dans une semaine, sauf si la rançon est payée. Dans un exemple, les criminels ont exigé environ 500 euros (556 $) en bitcoins, « ou des cartes-cadeaux échangeables chez des détaillants tels qu’Amazon et iTunes, mais aussi dans les chaînes de magasins américaines Best Buy et Target ».
« La campagne exploite le fait que les gens savent que ces appareils [IoT] peuvent être piratés très facilement et s’attaquent aux craintes de cela », a déclaré Kiri Addison, responsable de la veille informatique de Mimecast, à Kiri Addison, à Computer Weekly.
«Il est désormais largement connu que de nombreux appareils IoT (Internet des objets) manquent de sécurité de base et sont vulnérables au piratage, ce qui signifie que les victimes sont plus susceptibles de croire les allégations des fraudeurs, car la possibilité que leur appareil ait vraiment été piraté est hautement plausible. «
Comme c’est le cas avec la plupart des campagnes de sextorsion, les pirates n’ont pas les images compromettantes prétendues des victimes, et tout e-mail doit être ignoré. Et bien que les failles de sécurité de nombreux appareils IoT soient authentiques, il n’y a eu aucune violation dans ce cas.
