Sextortions Bitcoin : comment et pourquoi tant de personnes ont été victimes

Sextorsion est un mot assez nouveau. Tout comme les «selfies» et les «memes», la sextorsion est un ajout à la langue anglaise en raison de la croissance de la technologie. Mais contrairement à l’autoportrait d’un  » visage de canard  » ou à un mot mal prononcé représentant l’humour pictural, la sextorsion est beaucoup plus néfaste et pas du tout drôle.

L’extorsion sexuelle implique de retenir des informations sensibles de dizaines de personnes dans des positions compromettantes, menaçant pour le rendre public si une rançon n’est pas payée. Bien que le mode opératoire du crime soit traditionnel, le mode de paiement ne l’est pas. Les criminels dans la raquette de sextorsion préfèrent une forme de paiement et une seule forme de paiement – Bitcoin.

Changement de directionClassé sous les arnaques de  » chantage « , en raison du support utilisé, un rapport de Chainalysis, l’a classé comme la sixième arnaque de crypto-monnaie la plus puissante, sur la base de la taille moyenne des transferts, derrière les offres de pièces frauduleuses, les arnaques de phishing et les stratagèmes de ponzi. Le rapport 2020 sur l’état du crime cryptographique | Source : Chainalysis Le rapport a en outre souligné que la sextorsion dans le monde des crypto-monnaies avait un «faible taux de réussite», étant donné le faible nombre de paiements réussis au nombre élevé d’arnaques envoyées.Les chercheurs de Cornell qui ont étudié les campagnes de sextorsion pendant près d’un an ont conclu que « une seule entité », contrôle« la majorité des campagnes de sextorsion », qui ont généré un énorme 1,3 million de dollars en Bitcoin volé.

Leur conclusion a sonné l’alarme pour la communauté des crypto-monnaies dans son ensemble, « Nous concluons que le spam de sextorsion est une entreprise lucrative et les spammeurs continueront probablement à envoyer des e-mails en masse qui tentent d’extorquer de l’argent via des crypto-monnaies. » Les escroqueries du point de vue des «campagnes de spam» ont déclaré que la sextorsion est «l’une des plus rentables», étant donné le faible coût d’infrastructure de la possibilité de paiement. Plus profond qu’il n’y paraît De septembre 2019 à janvier 2020, Sophos, une société de sécurité logicielle, a produit un rapport détaillant comment les criminels utilisent les messages de spam dans ces campagnes de sextorsion et acheminent des millions de victimes.

Sextorsion à la variabilité du spam | Source : rapport Sophos de sextorsionHoraireBien que la sextorsion puisse être classée comme spam, sa proportion varie. Le rapport indique que pour toute la période d’étude, seulement 4,23% de tous les courriers indésirables peuvent être attribués à la sextorsion, mais certains jours, la proportion a bondi à 20%. Le trafic des e-mails de sextorsion a augmenté au cours de l’automne et a culminé pendant les mois d’hiver.

Entre le 24 et le 26 décembre, il y a eu un pic isolé, le rapport indiquant que les escrocs «préfèrent envoyer leurs messages [sextortion emails] lorsque leurs objectifs pourraient ne pas être au travail.  » PropagéLa source des courriels était répandue, car les escrocs utilisaient des botnets à partir d ‘«ordinateurs personnels compromis» pour envoyer des cibles par courrier électronique. Étonnamment, le Vietnam avait la part unique la plus élevée avec 7% du routage total.

Sophos a noté que la messagerie était «sophistiquée». «Certains des messages montraient de nouvelles méthodes utilisées par des spammeurs sophistiqués pour échapper aux logiciels de filtrage.»CacherCompte tenu de l’approche scattershot du ciblage et de la nature cachée de la messagerie, les escrocs sous-tendent les e-mails avec quelques lacunes dans le code, pour la personnalisation.

Afin d’échapper à la détection de texte, le rapport a trouvé une «obfuscation basée sur l’image», qui comprenait la rupture des chaînes et l’utilisation de caractères non ASCII, des ordures blanches invisibles pour «décomposer le texte du message.Tuer le MessagerLa messagerie est au cœur des escroqueries de sextorsion. Dans le corps de l’e-mail de spam / sextorsion, l’escroc doit induire en erreur les victimes du fait que des vidéos ou des photos d’eux se livrant à des «actes privés» ont été capturées et seront partagées si aucun paiement n’est effectué.

Étant donné que de nombreux cas de sextorsion sont des «spams», les menaces sont creuses et les escrocs bluffent. Cependant, ils utilisent une multitude de raisonnements pour tromper les cibles en leur faisant croire que leur système était compromis. La recherche Cornell susmentionnée a répertorié 15 «caractéristiques distinctives» des campagnes de sextorsion.

Caractéristiques de la campagne de sextorsion | Source : Sextortion dans l’écosystème Bitcoin, rapport Voici une autre image du message exact conçu pour une arnaque de sextorsion. L’escroc déclare qu’il a placé un «malware» sur un site Web pornographique visité par la victime, le navigateur Web a agi comme un «Bureau à distance», permettant à l’escroc d’accéder à l’écran d’affichage et à la webcam. De plus, des informations de contact ont été volées pour divulguer ces informations à des parties sensibles.

Plus tard, l’escroc menace la victime de la fuite d’un écran partagé montrant ledit «porno», la cible se livrant à «des choses désagréables». La rançon de 750 $ [in this case] est présenté avec un [redacted] Adresse Bitcoin. Notez la langue générale de l’e-mail, sans mentionner le nom de la victime, les sites Web visités, le type spécifique de contenu consulté ou la date de la violation.

Comme mentionné précédemment, ces messages sont envoyés à plusieurs identifiants de messagerie sans méfiance. Exemple de message de sextorsion | Source : rapport Sophos de sextorsionSentiers de papier Une fois la messagerie établie, vient le paiement. La plupart des victimes appellent le bluff des escrocs et n’envoient pas la rançon Bitcoin.

Dans l’étude de 5 mois de Sophos, seules 328 adresses de portefeuille ont reçu des paiements, sur un total de 50000 adresses de portefeuille Bitcoin uniques dans les e-mails interceptés. Le rapport indique que «seulement un demi pour cent [0.65 percent] de chaque message a convaincu les destinataires de payer.

»Les 328 adresses qui ont reçu le paiement ont vu un grand total de 96 Bitcoins générés, ce qui représente 864 000 $ par le taux de conversion du temps de presse. Cependant, seulement 81% des portefeuilles ont reçu un paiement au cours de la campagne de sextorsion, le montant restant étant attribué aux transferts précédents et ne faisant pas partie de l’arnaque. Par conséquent, les 261 adresses actives au cours de la période ont généré 50,98 Bitcoins, soit 459 000 $.

Chacune des 261 adresses actives a reçu en moyenne ~ 1 800 $. Les mouvements de et entre ces adresses étaient courants. Les escrocs «parcouraient régulièrement le portefeuille» pour chaque campagne, la durée de vie moyenne de chaque adresse étant de 2,6 jours avant de disparaître de la campagne de spam globale.

Mais si une adresse a «réussi», c’est-à-dire si elle a reçu un paiement, sa durée de vie a été prolongée à une moyenne de 15 jours.Suivez la pièceVient ensuite l’analyse de la blockchain pour suivre la façon dont le Bitcoin a été transféré et liquidé. Pour cela, Sophos a utilisé les spécialités de la société d’analyse de chaînes de blocs CipherTrace.

Sur les 328 adresses actives, 12 étaient «connectées» à des échanges en ligne et à d’autres services de portefeuille. Le rapport a ajouté que CipherTrace avait classé bon nombre de ces échanges comme «à haut risque» et donc «les rendant bien adaptés comme points de blanchiment de crypto-monnaie pour les criminels». S’adressant à AMBCrypto, Dave Jevans, PDG de CipherTrace, a déclaré que les échanges sont «à haut risque» s’ils ont «des procédures Know Your Customer (KYC) médiocres ou inexistantes» et sont déterminés à «faciliter les activités criminelles».

Une fois que les fonds sextortés ont été sous-évaluées dans ces échanges, aucun suivi supplémentaire n’a été possible. Le rapport indiquait: «Ces adresses précédemment attribuées n’ont pas été utilisées pour retracer davantage le flux de fonds provenant des campagnes, car les bourses combinent souvent les fonds des clients ensemble dans leur pool de dépôts, ce qui rend impossible le suivi de transactions spécifiques de la blockchain.» Cependant, 476 « des transactions de sortie »ont été produites, et parmi les destinations récurrentes se trouvaient des échanges de grands noms et P2P.

La source la plus élevée de «transactions de sortie» était avec Binance, avec environ 14,76% ou 70 transactions, suivie par LocalBitcoins, avec 10% ou 48 transactions. Les transactions restantes ont été distribuées à CoinPayments, aux portefeuilles de la campagne de sextorsion et aux «portefeuilles privés non hébergés». En termes de siphonnage 50,98 BTC [within the period of the scam], 44% ou 22,43 BTC sont allés aux échanges, un autre 15% ou 7,64 BTC aux échanges «à haut risque», 11% ou 5,6 BTC aux portefeuilles privés, 10% ou 5,09 BTC aux sites de cardage et le reste aux passerelles, aux jeux sites, mélangeurs Bitcoin et les marchés sombres.

Diffusion de Bitcoin à partir de portefeuilles de sextorsion | Source : rapport de sextorsion de Sophos Les échanges dans la plupart des transactions criminelles de ce type sont des participants inconscients. «Les échanges sont les principales rampes d’accès et de sortie», a déclaré Kim Grauer, responsable de la recherche chez Chainalysis, une firme de recherche sur la blockchain. Elle a ajouté qu’en 2019, plus de 2,8 milliards de dollars en Bitcoin ont été retracés des «entités criminelles» aux échanges.

Le rapport souligne que les bourses ne savent pas d’où vient l’argent et sont donc «des participants inconscients de ces dépôts». En cas de piratage, en cas de violation des portefeuilles d’échange et des clients, à partir desquels les fonds sont siphonnés aux fraudeurs, les portefeuilles des deux côtés, c’est-à-dire les victimes et les fraudeurs, sont signalés. Tout mouvement des fonds des portefeuilles des fraudeurs vers les échanges de tiers pour liquidation est retracé.

Cependant, dans le cas de la sextorsion, il n’y a ni obligation ni suivi structuré compte tenu de la répartition des victimes. Une fois qu’un échange est mis au courant du lien de sextorsion, il peut intervenir. Jevans a déclaré à AMBCrypto que CipherTrace « permet aux échanges de signaler les cas de sextorsion s’ils sont liés au criminel ».

Cependant, il n’y a pas d’application de la même chose jusqu’à ce que la loi entre en vigueur, « Il n’y a aucune obligation de faire quoi que ce soit avec la sextorsion jusqu’à ce qu’il y ait une plainte légale. » Enfin, il y a la question de la longévité – combien de temps les fonds sont-ils restés dans les adresses ? Bien que CipherTrace n’ait pas fourni le rythme auquel les fonds ont été liquidés, c’est-à-dire vendus au comptant, ils ont néanmoins révélé la «durée de vie» des portefeuilles. Compte tenu du fait que les 305 portefeuilles avaient une durée de vie moyenne de 32,28 jours, le rapport a déclaré que « quiconque était derrière les portefeuilles n’a pas laissé leur butin de crypto-monnaie rester longtemps ».

En supprimant les 9 valeurs aberrantes du portefeuille qui existaient depuis 200 jours, plus de 50% des 296 adresses restantes avaient une durée de vie plus courte de 19,93 jours. Sur ces 296 adresses, 143 adresses ou n’ont eu que deux transactions – une entrée et une sortie, ce qui fait que leur durée de vie est d’environ 8 jours. Sextortion BTC répond à la durée de vieRoute sombre devant Au-delà des échanges et des autres voies de dépôt des fonds sextortés, le suivi reste brumeux.

Le rapport Sophos a déclaré que 20 des 328 adresses avaient des adresses IP associées mais liées à des VPN ou des nœuds de sortie TOR, ce qui étouffait le suivi de la géolocalisation.Les escrocs opèrent selon une approche à grande échelle, en envoyant une diffusion d’e-mails menaçants. aux victimes vulnérables.

Alors que beaucoup ne répondent pas, une partie importante le fait, ce qui suffit aux escrocs pour générer des millions en Bitcoin. Cependant, le siphonnage des Bitcoins n’est pas la fin de la campagne, c’est peut-être le début de celle-ci. Le PDG de CipherTrace, Jevans, a conclu que les criminels impliqués dans la sextorsion sont probablement ceux qui mènent des escroqueries à grande échelle dans le monde de la crypto-monnaie et au-delà.

Il a déclaré : «Les cas de sextorsion sont souvent liés aux mêmes criminels qui commettent des ransomwares et du phishing. Il s’agit souvent de la même infrastructure utilisée pour l’encaissement des fonds, ainsi que pour l’envoi des e-mails. » Votre avis est important pour nous .

Tags: