Les arnaques aux cryptomonnaies semblent prendre de l’ampleur chaque jour. Talonnant les escrocs qui ont piégé les utilisateurs de Discord en offrant des sommes inexistantes sur de fausses plateformes d’échange, en inventant des histoires à propos d’heureux gagnants sur de faux sites d’informations et en simulant une monnaie hélicoptère, une nouvelle tactique exploite l’application de partage de captures d’écran Lightshot afin d’extorquer de l’argent aux crypto-investisseurs trop curieux.
Pratique ne signifie pas sans danger
Lightshot est un outil qui permet de créer, personnaliser et envoyer rapidement des captures d’écran. Il s’agit d’une application disponible sur Windows, macOS ou Ubuntu, mais aussi du portail Cloud prnt.sc, qui permet aux utilisateurs de partager des captures d’écran facilement et rapidement : un seul clic ou un raccourci permet d’envoyer l’image sur le Cloud et d’obtenir une adresse URL pour pouvoir la partager.
Tout le monde a accès aux captures d’écran publiées sans avoir à s’authentifier. Vous n’avez même pas besoin d’un compte Lightshot. Tout cela rend le service rapide et pratique, mais pas très sécurisé.
De plus, pour voir une capture d’écran, vous n’avez même pas besoin d’avoir le lien exact car les URLs sont séquentielles, donc si vous remplacez par exemple un caractère par un autre qui suit, une autre image apparaîtra. Le processus peut même être automatisé. Quelques minutes suffisent à créer un simple script pour brute-forcer l’URL et télécharger le contenu.
Une telle facilité d’accès n’est pas un bug ; le service avertit les utilisateurs que toute image téléchargée est publique. Cependant, étant donné que des fuites de données importantes sur Lightshot font souvent la une, il est clair que tout le monde ne lit pas les petits caractères.
Comment faire fuiter des données sur Lightshot
Qu’est-ce que ça fait si les captures se retrouvent dans le domaine public ? Qui est-ce que ça intéresse de partager des records obtenus à des jeux ou des blagues provenant de discussions de travail ? Faites preuve de créativité : les données des utilisateurs de Lightshot peuvent être obtenues de trois façons.
Prenez par exemple un employé qui prend une capture d’écran d’une interface dans le but d’obtenir de l’aide pour installer un nouveau programme. Jusque-là, ça va. Et si un document confidentiel est ouvert et en partie caché derrière la fenêtre de l’application ? Ou bien si quelqu’un partage un e-mail de travail hilarant et stupide avec un ami proche juste pour rire ? Ou si quelqu’un montre une discussion intime mais oublie de flouter les noms et les adresses ?
Partagées avec Lightshot, ces captures d’écran peuvent avoir de sérieuses conséquences. Les fauteurs de troubles parcourent le net à la recherche de photos à révéler pour s’amuser, les trolls peuvent les utiliser pour harceler l’utilisateur, et les cybercriminels peuvent en tirer profit afin d’extorquer de l’argent aux victimes.
Un piège pour les fouineurs
D’autre part, même ceux qui réussissent à garder les données sensibles privées et vérifient toujours les captures d’écran au cas où ils ne partageraient pas que ça, peuvent trouver que le service est quelque peu dangereux. Par exemple, le portail de Lightshot peut contenir à n’importe quel moment des images avec des informations permettant d’accéder à un portefeuille de cryptomonnaies. Parfois, la capture d’écran semble suggérer que le compte a été partagé délibérément. Certains demandent de l’aide, d’autres sont bizarres et sans rapport. Nous avons même trouvé une note de suicide.
Dans d’autres cas, cela ressemblerait à des « identifiants » qui se sont retrouvés sur Lightshot par erreur ou négligence. Par exemple, nous avons trouvé des captures d’écran qui semblent être les e-mails de récupération du mot de passe d’un portefeuille de cryptomonnaies.
Si l’utilisateur clique sur l’URL de la capture d’écran croyant qu’il s’agit d’argent facile, il est redirigé vers un site Web qui se fait passer pour une plateforme d’échange de cryptomonnaies. Après avoir saisi les identifiants, l’utilisateur arrive sur un faux compte qui semble posséder une somme impressionnante de cryptomonnaies ; disons 0,8 BTC (plus de 37 000 € lors de la publication de cet article). Une fois à l’intérieur du compte, la victime peut essayer de transférer les fonds sur son compte.
Pour réaliser l’échange, la victime doit payer une petite commission. Ce ne sont que des miettes comparé au montant total, mais c’est une arnaque dont le seul but est de remplir les poches des escrocs. Et bien entendu, quand on dit « miettes », c’est relatif : une commission de 0,001 à 0,0015 BTC qui représente 60-90 dollars selon la valeur actuelle des Bitcoins.
En somme, ce système semble bien fonctionner et il a une certaine « classe ». Au moment de la publication de cet article, environ 0,1 BTC (à peu près 5 000 €) a été transféré au portefeuille de « commissions ».
Comment garder votre argent et sécuriser vos données
Le fait que ce soit pratique n’est pas synonyme de sécurité ou de respect de la vie privée, au contraire, et Lightshot est un très bon exemple. Voici quelques conseils afin de manipuler les captures d’écran en toute sécurité :
- Avant d’installer Lightshot, réfléchissez bien si vous voulez vraiment partager vos captures d’écran en les rendant publiques ;
- Si vous choisissez de continuer, rappelez-vous que les données confidentielles telles que les coordonnées bancaires, les mots de passe et autres informations personnelles sont le beurre et l’argent du beurre des cybercriminels. Utilisez des canaux sécurisés si vous voulez partager vos captures et non Lightshot ; ou mieux encore, ne les partagez pas du tout ;
- Si vous avez déjà utilisé Lightshot et regrettez d’avoir partagé certaines choses, obtenez l’URL en cherchant dans vos messages, ouvrez-la puis cliquez sur Signaler un abus ; ou bien envoyez une demande à support@skillbrains.com ;
- Utilisez les raccourcis et les outils intégrés de votre système d’exploitation pour faire des captures d’écran. Dans Windows, utilisez l’outil Capture d’écran ou bien appuyez sur la touche Impression écran. Pour ceux qui possèdent un Mac, vous pouvez appuyer sur Cmd-Shift-3 pour faire une capture complète de l’écran ou bien Cmd-Shift-4 pour sélectionner la zone à capturer.
Pour être clair, nous ne vous recommandons pas de vous connecter sur les comptes des autres, même par curiosité. Afin de ne pas donner par erreur vos identifiants de connexion aux cybercriminels, utilisez une solution de sécurité fiable qui vous alertera si vous visitez un site Web suspect.