Hello!
I am a hаckеr who has аccess to your operating system.
I also have full аccess to your account.
...

C'est le genre de message que l'on reçoit (malheureusement) de plus en plus souvent... Il va s'en dire qu'il s'agit d'un SPAM. Il a d'ailleurs été classifié comme tel par gmail. Le texte est rédigé dans un Anglais parfait. Problème : la cible ne parle pas forcément cette langue. Dans le doute ils tentent quand même...

Les arguments déployés sont de nature à mettre le destinataire en état de stress :

• L'ordinateur a été piraté par un cheval de Troie (trojan)
• Le pirate a pris des photos intimes via la caméra (sans pour autant joindre des preuves)
• Le cheval de Troie est indétectable par un anti virus car il est polymorphe (et il utilise le driver ?)
• Le pirate va envoyer les photos à tous nos contacts et les publier sur les réseaux sociaux
• Son email est intraçable
• Le pirate ne fait pas d'erreur
• Si on tente de prévenir quelqu'un d'autre, il mettra ses menaces à exécution

La rançon (parce que c'est le plus important) est de 1300 dollars (1200 €) à payer dans les 52 heures sur une adresse bitcoin (soit 0,000016 bitcoin). Il n'y a pas de lien étrange dans ce SPAM.

Là où ça devient intéressant et qui est souvent un critère de détection des SPAM : l'adresse email d'émission semble parfaitement valide : Hope Mcknight info@protonmail.com. Proton Mail offre des solutions (mail, calendrier, espace de stockage, VPN, gestionnaire de mot de passe, gestionnaire de crypto monnaie) sécurisées et garantissant la vie privée (du moins sur le papier). Elle est basée en Suisse, à Genève. Hope Mcknight semble être une personne réelle, même si on peut se douter que l'adresse "info" ne correspond pas à une adresse personnelle. Il s'agit donc d'une technique appelée "spoofing" ou usurpation d'identité. Elle consiste à afficher une adresse valide qui ne correspond pas à l'émetteur réel.

Maintenant, si l'on regarde avec attention le message original du mail avec toutes les entêtes, on peut noter :

Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning info@protonmail.com does not designate 45.95.146.101 as permitted sender) 

et surtout l'auteur original :

Received: from linkmasters.ru (linkmasters.ru [45.95.146.101])

Ces deux messages sont très intéressants car ils nous disent, d'une part, que l'adresse IP d'émission ne correspond pas à un serveur de Proton Mail (ses adresses sont référencées dans ses entrées DNS) et, d'autre part, qu'il vient en fait d'une société d'envoi d’email "linkmasters" d'origine Russe. L'IP du serveur émetteur (45.95.146.101) correspond quant à elle à un hébergeur de serveurs Néerlandais, ce qui augmente les chances de passer à travers les filtres anti-spam.

Ce message nous ramène donc directement à l'actualité. Pour passer outre les sanctions internationales et le désengagement Occidental en Russie, un des moyens de financer la guerre est de rançonner la population. C'est le genre de message qui ne coûte quasiment rien à envoyer et peut rapporter gros car la somme demandé est importante, mais en adéquation avec ce que serait prêt à payer les personnes pour protéger leur intimité. Il est le plus souvent l’œuvre d'un groupe de hackers malveillants plus ou moins sponsorisé par leur gouvernement respectif. Les champions en la matière sont Russes, mais aussi Chinois, Nord Coréen et bien d'autres.

Pour éviter que ses clients ne se fassent abuser, tout hébergeur de mail un tant soit peu sérieux se doit donc de vérifier les paramètres SPF et si possible DKIM (qui utilise une signature cryptographique) des messages entrants.

Malheureusement, dans la panique et parmi la masse de personnes touchées, certaines peuvent céder et payer la rançon.