Depuis la fin de 2024 et le début de ce crépuscule 2025, l’Espagne connaît une vague massive d’e-mails frauduleux qui varient selon tous types de cas. L'un d'eux, selon l'Institut espagnol de cybersécurité, publié aujourd'hui 2 décembre, est l'un des chantages les plus dévastateurs sur le plan psychologique : celui des prétendues vidéos privées à contenu sexuel.
Cette escroquerie, connue sous le nom de « sextorsion », exploite la panique, la honte et la pression sociale pour forcer les victimes à agir par terreur. Mais le plus sophistiqué est que leurs e-mails contiennent de véritables détails de la Banque d'Espagne, de fausses images qui « prouvent » la prétendue vidéo et même de vrais mots de passe qui ont déjà été divulgués.
C'est-à-dire qu'une couverture est créée qui semble extrêmement réelle, mais ce n'est pas le cas. INCIBE est déjà alertant officiellement sur son site Internet de cette campagne, avertissant que la grande majorité de ces types de menaces sont complètement vides de sens, aussi sophistiquées soient-elles. Les cybercriminels ne disposent pas de vidéo, mais la panique joue son propre rôle dans un grand pourcentage de cas payés par des utilisateurs effrayés.
Comment fonctionne la « sextorsion »
L'e-mail de sextorsion typique arrive avec une ligne d'objet telle que « En attente de paiement ». Et ils le font à partir d'expéditeurs falsifiés de domaines qui n'ont aucun lien avec la Banque d'Espagne, mais cela semble vraiment être le cas. En fait, ils incluent un pied de page avec de vrais liens de la banque pour simuler la légitimité du message.
Le message mélange l'espagnol et, parfois, l'anglais, sans fautes d'orthographe, mais avec une grammaire non officielle. L'attaquant joint une image, généralement au format PNG ou JPG, où il révèle la « preuve » de la prétendue vidéo qui compromet la victime. En guise d'explication, il indique que l'utilisateur a installé à un moment donné un logiciel malveillant indétectable sur son PC et qu'il a enregistré l'utilisateur dans ses propres situations intimes.
Parallèlement à tout cela, une menace évidente est exposée : soit vous payez via Bitcoin, soit la vidéo sera exposée sur tous les réseaux sociaux prétendument piratés dans 48 heures. Mais ce qui peut générer encore plus de terreur, c’est que certains de ces e-mails incluent de vrais mots de passe extraits de failles de sécurité pour les rendre encore plus crédibles. Ceci, ajouté à la pression temporelle de 24 à 48 heures, empêche la victime de raisonner calmement ou de demander de l'aide. Selon Avast lui-même, en 2025, l’utilisation de l’IA a encore sophistiqué ces types d’escroqueries et créé des deepfakes avec des messages plus efficaces.
Comment identifier la fraude et agir
L’une des clés les plus importantes est de vérifier le véritable expéditeur de l’e-mail. On ne parle pas du nom affiché, mais de la direction technique. Les e-mails de ce type de fraude proviennent d'un domaine qui n'a rien à voir avec celui de la Banque d'Espagne.
De plus, vous devez garder à l’esprit que l’institution officielle de la Banque d’Espagne ne demandera JAMAIS un paiement en Bitcoin ni ne demandera un paiement qui pourrait constituer un délit. Si l’on ajoute à cela la menace des 48 heures, vous pouvez être sûr que vous faites face à un cas de fraude. Mais vous pouvez être rassuré, car les escrocs ils n'ont pas de vidéos de toi. Ils envoient des millions d’e-mails identiques en espérant qu’un certain pourcentage rapportera des bénéfices.
Par conséquent, la première chose à faire dans ces cas est de bloquer l'expéditeur et de le signaler à INCIBE via la boîte aux lettres des incidents. Vous pouvez également choisir d'appeler la ligne d'assistance en matière de cybersécurité : 017. Ne répondez jamais et n’essayez jamais de contacter l’escroc, car cela confirmerait que votre compte est actif et pourrait faire de vous la cible d’autres cyberattaques à l’avenir.
Si vous avez payé avant de vous informer, rassemblez toutes les preuves (emails, adresses de paiement, conversations…) et contactez immédiatement les Forces et Organismes de Sécurité, comme le GC ou la Police Nationale. Enfin, scannez votre appareil avec un antivirus et appelez INCIBE 017 pour des conseils personnalisés. Mais rappelez-vous toujours : la grande majorité du temps, les contenus à caractère sexuel sont fictifs. Payer n'empêche rien.