Hier soir, un proche m’appelle pour me demander un avis sur un e-mail bizarre qu’il venait de recevoir. Voici le mail en question :
Bonsoir!
J’espère que tu vas bien. J’ai urgemment besoin de ton aide au Sénégal, je suis dans une situation assez compliquée que je voudrais t’expliquer pour avoir ton aide. S’il te plait c’est capital et je compte énormément sur ta disponibilité. Je reste connecté en attendant ta réponse, puisque je suis injoignable téléphoniquement.
BisesSonia
Ce type d’arnaque est extrêmement classique et connu. Voila comment ça marche si vous ne connaissez pas.
- Le scammer (africain, souvent en Côte d’Ivoire ou au Nigeria) pirate une boite e-mail (via la question secrète ou en testant plein de mots de passe très basiques) ;
- Il écrit un e-mail, type : « au secours, je suis à l’étranger et j’ai besoin d’argent car on m’a volé mes papiers ! » ;
- Il l’envoie à tous les contacts de l’adresse e-mail piratée et attend qu’un pigeon morde à l’hameçon.
Oui mais voila, l’attaque d’hier soir était bien plus évoluée.
1. Une adresse bidon
Tout d’abord, le scammer n’a pas utilisé l’adresse piratée pour envoyer ses scams. Il a crée une seconde adresse e-mail très proche de l’adresse piratée. Voici un exemple :
- Adresse réelle piratée : [email protected] ;
- Seconde adresse e-mail, créée et utilisée par le scammer : [email protected] (avec deux « i » à sonia) ;
Une fois l’adresse de « Sonia Dumoulin » piratée, il récupère son carnets de contacts et il envoie les e-mails depuis la seconde adresse, pour ne pas éveiller les soupçons de la victime. C’est extrêmement malin.
2. Un doxing très étudié
La deuxième spécificité de cette attaque est extrêmement ingénieuse, c’est là que j’ai été scié. Le scammer a pris soin d’étudier les déplacements de sa victime avant de pirater son adresse e-mail.
En effet, la victime (Sonia) est RÉELLEMENT en vacance au Sénégal. Après une petite séance de doxing, j’ai découvert qu’elle s’était inscrite à un groupe Facebook en lien avec son voyage au Sénégal. J’imagine qu’en étant ami avec elle sur Facebook (ce n’est pas mon cas), on savait depuis plusieurs semaines à quelle date elle allait s’y rendre.
Autrement dit : les scammers africains suivent désormais des groupes Facebook, probablement des groupes de voyage (« Les expatriés français en _______ » par exemple), et attaquent les personnes qui y participent. Effet garanti : mon proche commençait vraiment à s’angoisser pour son amie Sonia qu’il savait au Sénégal cette semaine.
Que faut-il en conclure ?
Il faut retenir 3 choses de cette histoire :
- Raconter sa vie ouvertement sur Internet est dangereux (surtout dans des groupes Facebook publics) ;
- Utiliser des mots de passe trop simples pour sa boite mail est dangereux (idem pour les questions secrètes) ;
- Lorsqu’un e-mail paraît suspect, il faut toujours s’y prendre à 2 fois pour vérifier l’e-mail de l’expéditeur. Deux « i » à la suite sont difficiles à voir la première fois.
Grâce au Tracking Link Creator, j’ai pu obtenir l’IP du scammer et son pays (Côte d’Ivoire). J’ai aussi tenté un Facebook Stealer mais malheureusement, il n’était pas connecté à son compte Facebook durant sa session de surf, ça aurait été drôle 🙂
1 commentaire
Pierre
15 décembre 2015 à 21 h 43 minJ’ai vécu cette expérience en tant que contact (email sensé avoir été envoyé par ma soeur) : ma soeur et son ami G avaient dû partir en urgence en afrique et s’étaient fait agresser; il devait débourser une certaine somme sur place pour se faire opérer et « ma soeur » me demandait de lui envoyer des brouzoufs. Lui ayant posé une question dont seule ma soeur pouvait connaitre la réponse, je n’ai plus eu bizarrement de nouvelle de ce scammeur … Evidemment, panique dans mon entourage, mes cousins et cousines ayant aussi reçu la missive ….