{"id":16742,"date":"2021-04-14T12:45:41","date_gmt":"2021-04-14T12:45:41","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16742"},"modified":"2021-04-14T12:45:41","modified_gmt":"2021-04-14T12:45:41","slug":"cryptoscam-in-lightshot","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cryptoscam-in-lightshot\/16742\/","title":{"rendered":"Crypto-arnaque sur Lightshot via les captures d’\u00e9cran"},"content":{"rendered":"

Les arnaques aux cryptomonnaies semblent prendre de l\u2019ampleur chaque jour. Talonnant les escrocs qui ont pi\u00e9g\u00e9 les utilisateurs de Discord en offrant des sommes inexistantes sur de fausses plateformes d\u2019\u00e9change<\/a>, en inventant des histoires \u00e0 propos d\u2019heureux gagnants sur de faux sites d\u2019informations<\/a> et en simulant une monnaie h\u00e9licopt\u00e8re<\/a>, une nouvelle tactique exploite l\u2019application de partage de captures d\u2019\u00e9cran Lightshot afin d\u2019extorquer de l\u2019argent aux crypto-investisseurs trop curieux.<\/p>\n

Pratique ne signifie pas sans danger<\/h2>\n

Lightshot est un outil qui permet de cr\u00e9er, personnaliser et envoyer rapidement des captures d\u2019\u00e9cran. Il s\u2019agit d\u2019une application disponible sur Windows, macOS ou Ubuntu, mais aussi du portail Cloud prnt.sc, qui permet aux utilisateurs de partager des captures d\u2019\u00e9cran facilement et rapidement\u00a0: un seul clic ou un raccourci permet d\u2019envoyer l\u2019image sur le Cloud et d\u2019obtenir une adresse URL pour pouvoir la partager.<\/p>\n

Tout le monde a acc\u00e8s aux captures d\u2019\u00e9cran publi\u00e9es sans avoir \u00e0 s\u2019authentifier<\/a>. Vous n\u2019avez m\u00eame pas besoin d\u2019un compte Lightshot. Tout cela rend le service rapide et pratique, mais pas tr\u00e8s s\u00e9curis\u00e9.<\/p>\n

De plus, pour voir une capture d\u2019\u00e9cran, vous n\u2019avez m\u00eame pas besoin d\u2019avoir le lien exact car les URLs sont s\u00e9quentielles, donc si vous remplacez par exemple un caract\u00e8re par un autre qui suit, une autre image appara\u00eetra. Le processus peut m\u00eame \u00eatre automatis\u00e9. Quelques minutes suffisent \u00e0 cr\u00e9er un simple script pour brute-forcer l\u2019URL et t\u00e9l\u00e9charger le contenu.<\/p>\n

Une telle facilit\u00e9 d\u2019acc\u00e8s n\u2019est pas un bug\u00a0; le service avertit les utilisateurs que toute image t\u00e9l\u00e9charg\u00e9e est publique<\/a>. Cependant, \u00e9tant donn\u00e9 que des fuites de donn\u00e9es importantes sur Lightshot font souvent la une<\/a>, il est clair que tout le monde ne lit pas les petits caract\u00e8res.<\/p>\n

Comment faire fuiter des donn\u00e9es sur Lightshot<\/h2>\n

Qu\u2019est-ce que \u00e7a fait si les captures se retrouvent dans le domaine public\u00a0? Qui est-ce que \u00e7a int\u00e9resse de partager des records obtenus \u00e0 des jeux ou des blagues provenant de discussions de travail\u00a0? Faites preuve de cr\u00e9ativit\u00e9\u00a0: les donn\u00e9es des utilisateurs de Lightshot peuvent \u00eatre obtenues<\/a> de trois fa\u00e7ons.<\/p>\n

Prenez par exemple un employ\u00e9 qui prend une capture d\u2019\u00e9cran d\u2019une interface dans le but d\u2019obtenir de l\u2019aide pour installer un nouveau programme. Jusque-l\u00e0, \u00e7a va. Et si un document confidentiel est ouvert et en partie cach\u00e9 derri\u00e8re la fen\u00eatre de l\u2019application\u00a0? Ou bien si quelqu\u2019un partage un e-mail de travail hilarant et stupide avec un ami proche juste pour rire\u00a0? Ou si quelqu\u2019un montre une discussion intime mais oublie de flouter les noms et les adresses\u00a0?<\/p>\n

Partag\u00e9es avec Lightshot, ces captures d\u2019\u00e9cran peuvent avoir de s\u00e9rieuses cons\u00e9quences. Les fauteurs de troubles parcourent le net<\/a> \u00e0 la recherche de photos \u00e0 r\u00e9v\u00e9ler pour s\u2019amuser, les trolls peuvent les utiliser pour harceler l\u2019utilisateur, et les cybercriminels peuvent en tirer profit afin d\u2019extorquer de l\u2019argent aux victimes.<\/p>\n

Un pi\u00e8ge pour les fouineurs<\/h2>\n

D\u2019autre part, m\u00eame ceux qui r\u00e9ussissent \u00e0 garder les donn\u00e9es sensibles priv\u00e9es et v\u00e9rifient toujours les captures d\u2019\u00e9cran au cas o\u00f9 ils ne partageraient pas que \u00e7a, peuvent trouver que le service est quelque peu dangereux. Par exemple, le portail de Lightshot peut contenir \u00e0 n\u2019importe quel moment des images avec des informations permettant d\u2019acc\u00e9der \u00e0 un portefeuille de cryptomonnaies. Parfois, la capture d\u2019\u00e9cran semble sugg\u00e9rer que le compte a \u00e9t\u00e9 partag\u00e9 d\u00e9lib\u00e9r\u00e9ment. Certains demandent de l\u2019aide, d\u2019autres sont bizarres et sans rapport. Nous avons m\u00eame trouv\u00e9 une note de suicide.<\/p>\n

\"Captures

Captures d\u2019\u00e9cran de conversations qui partagent les identifiants de faux comptes de cryptomonnaies<\/p><\/div>\n

Dans d\u2019autres cas, cela ressemblerait \u00e0 des \u00ab\u00a0identifiants\u00a0\u00bb qui se sont retrouv\u00e9s sur Lightshot par erreur ou n\u00e9gligence. Par exemple, nous avons trouv\u00e9 des captures d\u2019\u00e9cran qui semblent \u00eatre les e-mails de r\u00e9cup\u00e9ration du mot de passe d\u2019un portefeuille de cryptomonnaies.<\/p>\n

\"Faux

Faux e-mail de r\u00e9cup\u00e9ration du mot de passe de comptes de cryptomonnaies tout aussi faux<\/p><\/div>\n

Si l\u2019utilisateur clique sur l\u2019URL de la capture d\u2019\u00e9cran croyant qu\u2019il s\u2019agit d\u2019argent facile, il est redirig\u00e9 vers un site Web qui se fait passer pour une plateforme d\u2019\u00e9change de cryptomonnaies. Apr\u00e8s avoir saisi les identifiants, l\u2019utilisateur arrive sur un faux compte qui semble poss\u00e9der une somme impressionnante de cryptomonnaies\u00a0; disons 0,8 BTC (plus de 37\u00a0000 \u20ac lors de la publication de cet article). Une fois \u00e0 l\u2019int\u00e9rieur du compte, la victime peut essayer de transf\u00e9rer les fonds sur son compte.<\/p>\n

Pour r\u00e9aliser l\u2019\u00e9change, la victime doit payer une petite commission. Ce ne sont que des miettes compar\u00e9 au montant total, mais c\u2019est une arnaque dont le seul but est de remplir les poches des escrocs. Et bien entendu, quand on dit \u00ab\u00a0miettes\u00a0\u00bb, c\u2019est relatif : une commission de 0,001 \u00e0 0,0015 BTC qui repr\u00e9sente 60-90 dollars selon la valeur actuelle des Bitcoins.<\/p>\n

En somme, ce syst\u00e8me semble bien fonctionner et il a une certaine \u00ab\u00a0classe\u00a0\u00bb. Au moment de la publication de cet article, environ 0,1 BTC (\u00e0 peu pr\u00e8s 5 000 \u20ac) a \u00e9t\u00e9 transf\u00e9r\u00e9 au portefeuille de \u00ab\u00a0commissions\u00a0\u00bb.<\/p>\n

Comment garder votre argent et s\u00e9curiser vos donn\u00e9es<\/h2>\n

Le fait que ce soit pratique n\u2019est pas synonyme de s\u00e9curit\u00e9 ou de respect de la vie priv\u00e9e, au contraire, et Lightshot est un tr\u00e8s bon exemple. Voici quelques conseils afin de manipuler les captures d\u2019\u00e9cran en toute s\u00e9curit\u00e9\u00a0:<\/p>\n