Courrier indésirable (spam) et phishing au 3e trimestre 2016

Contenu

Courrier indésirable : particularités du trimestre

Courrier indésirable malveillant

Sur l’ensemble de l’année 2016, nous avons observé un volume important de spam contenant des pièces jointes malveillantes. Au 3e trimestre, ce chiffre a de nouveau enregistré une augmentation marquée. D’après les données du KSN, il y a eu 73 066 751 déclenchements de l’antivirus protégeant les e-mails au 3e trimestre. La majorité des pièces jointes malveillantes contenait des trojans downloader qui téléchargent des ransomwares.

spam_q3_2016_fr_1

Nombre de déclenchements de l’antivirus protégeant les e-mails, T1-T3 2016

Le volume de spam malveillant diffusé a atteint son pic en septembre 2016. D’après nos estimations, les seules diffusions du réseau de zombies Necurs au mois de septembre ont représenté près de 6,5 % de l’ensemble du spam. Pour rappel, ce type de spam télécharge le malware Locky sur l’ordinateur de l’utilisateur.

La majorité des messages avait un caractère neutre. Pour convaincre l’utilisateur d’ouvrir la pièce jointe, celle-ci était présentée comme une facture envoyée par une organisation quelconque, ou encore un reçu, des billets, des scans de documents, des notes vocales, des notifications de magasins en ligne, etc. Certains messages ne contenaient pas du tout de texte. Ceci s’inscrit dans la tendance observée ces dernières années dans le spam : les diffuseurs de spam tentent de moins en moins souvent d’étonner ou de faire peur à l’utilisateur pour le pousser à cliquer sur un lien malveillant ou à ouvrir une pièce jointe. Ils adoptent au contraire un contenu normal qui ne se distingue pas des autres messages personnels. Ils semblent compter sur le fait qu’une grande partie des utilisateurs maîtrise les rudiments de la sécurité sur Internet et est capable de faire la différence entre une vraie et une fausse menace. C’est la raison pour laquelle les pièces jointes malveillantes sont présentées de la manière la plus neutre possible.

spam_q3_2016_fr_2

Notons toutefois que le spam diffusé via le réseau de zombies Necurs possédait un modèle typique pour les en-têtes techniques des messages. Les modes de téléchargement du ransomware Locky, quant à eux, différaient fortement. Ainsi, dans les cinq exemples ci-dessus, nous pouvons identifier 4 méthodes différentes :

  • Un downloader JavaScript dans une archive Zip télécharge et lance Locky.
  • Locky est téléchargé via une macro dans un fichier .docm.
  • Une page HTML archivée contenant un script Javascript qui télécharge Locky.
  • Une page HTML archivée contenant un script Javascript qui télécharge l’objet chiffré Payload.exe qui, après déchiffrement, lancera Locky.

Méthodes et astuces : accent placé sur les liens

Obfuscation de l’adresse IP

Les diffuseurs de spam ont poursuivi au 3e trimestre leurs expériences au niveau de l’obfuscation des liens. Les diffuseurs de spam ont pris l’astuce de l’écriture des adresse IP en système hexadécimal ou octal et ont introduit différentes obfuscation. L’adresse IP dans le lien peut dès lors ressembler à ceci :

HTTP://@[::ffff:d598:a862]:80/

De plus, les diffuseurs de spam se sont mis à ajouter des caractères non alphabétiques et des barres obliques avant le domaine/l’adresse IP, comme par exemple :

http://0122.0142.0xBABD/

<a href=/@/0x40474B17

Services de redirection

Les diffuseurs de spam ont également joué avec les services de redirection en ajoutant du texte aléatoire entre des barres obliques. En voici un exemple :

spam_q3_2016_fr_3

Parfois, le texte était remplacé par d’autres liens :

spam_q3_2016_fr_4

Utilisation des requêtes de recherche

Certains diffuseurs de spam se sont rappelés de la dissimulation des adresses de leurs sites dans les requêtes de recherche. Cette astuce permet de résoudre deux problèmes d’un coup : déjouer les « listes noires » et rendre les liens uniques pour chaque message. Au 3e trimestre, les diffuseurs de spam sont allés encore plus loin et ont exploité la fonction « J’ai de la chance » du moteur de recherche Google. Cette option de recherche dirige l’utilisateur directement sur le site qui arrive en tête des résultats de recherche et pour l’activer, il suffit simplement d’ajouter « &btnI=ec » à la fin du lien. Quand l’utilisateur clique sur le lien dans le message, il est renvoyé non pas à la page des résultats de Google pour la requête en question, mais bien directement sur le site du spammeur. Bien évidemment, le site promu lui-même est optimisé afin d’être classé en premier pour cette requête de recherche. Il peut y avoir de nombreuses requêtes de ce genre dans le cadre d’une diffusion.

spam_q3_2016_fr_5

L’exemple ci-dessus exploite une astuce supplémentaire. La requête de recherche en elle-même est en cyrillique. Les lettres cyrilliques sont d’abord converties en code décimal (par exemple, le mot « авто » (auto) devient « Авто »), puis la requête entière au format décimal, y compris les caractères spéciaux, est convertie au format hexadécimal d’adresse Internet.

Faux sites connus

Au 3e trimestre, les auteurs d’attaques de phishing ont essayé de tromper les utilisateurs en misant sur des sites qui ressemblaient aux sites légitimes. Cette astuce n’est pas nouvelle mais alors que par le passé l’objectif était atteint en introduisant de légères modifications discrètes dans les noms authentiques, les auteurs d’attaques de phishing utilisent de plus en plus souvent maintenant des sous-domaines qui copient les noms authentiques ou de longs domaines avec des traits d’union. Ainsi, nous avons recensé les domaines suivants dans des attaques de phishing menées contre des utilisateurs de Paypal :

spam_q3_2016_fr_6

Ainsi que ces sites pour des attaques de phishing contre des clients d’Apple :

spam_q3_2016_fr_7

Qui plus est, les diffuseurs de spam profitent des nouvelles zones de domaines « parlantes » dans lesquelles un faux lien peut prendre un aspect plus authentique et plus fiable. En voici deux exemples :

spam_q3_2016_fr_8

Recherchons testeurs

Dans le trafic de messagerie du 3e trimestre, nous avons souvent vu des diffusions d’offres pour tester gratuitement un produit quelconque avec la possibilité de conserver ce dernier une fois les essais terminés. Les auteurs des messages que nous avons analysés proposaient de tester des articles très recherchés par le grand public. Il s’agissait principalement d’appareils électroménagers de luxe de marques connues (machines à café, robots aspirateur, de produits d’entretien, de produits cosmétiques et même des aliments). Nous avons également recensé de nombreux appels de testeurs pour des articles électroniques récents, dont le nouvel iPhone lancé à la fin du 3e trimestre 2016. « Register to test & keep a new iPhone 7S! Wanted: iPhone 7S Testers! » Tels étaient les en-têtes pour les messages de ces diffusions. Signalons que la sortie du nouveau téléphone s’est accompagnée d’une augmentation du nombre de spams consacrés exclusivement aux produits d’Apple.

Les expéditeurs de ces messages ne sont en rien liés aux grandes sociétés dont les produits sont utilisés en guise d’appât. De plus, ces envois sont réalisés au départ de fausses adresses électroniques dans des domaines vides pour la plupart, mais créés récemment.

spam_q3_2016_fr_9

Les auteurs promettent d’envoyer les articles à tester par la poste et c’est ainsi qu’ils demandent au destinataire de communiquer son adresse physique ainsi que d’autres données personnelles et l’adresse électronique. La personne intéressée par le rôle de testeur devra prendre à sa charge des frais minimes pour le port. Rien ne garantit que la personne recevra un article original de bonne qualité, voire qu’elle recevra quoi que ce soit. Qui plus est, on peut trouver sur Internet des commentaires d’utilisateurs qui n’ont jamais reçu les articles promis, même après avoir payé les frais d’envoi. Cela indique un élément d’escroquerie réelle : les cybercriminels reçoivent le montant des frais de port par virement, puis disparaissent.

Chèques cadeaux pour tous les goûts

Parmi les diffusions de spam que nous avons analysées au 3e trimestre, nous en avons identifiées quelques-unes intéressantes qui avaient choisi le thème des chèques-cadeaux. Le destinataire de ce genre de message est invité à participer à un sondage en ligne afin d’obtenir un bon de quelques dizaines, voire quelques centaines d’euros ou de dollars à faire valoir sur de grands sites commerciaux internationaux, des hypermarchés en ligne, des chaînes de magasin ou de restauration rapide et même de stations-service.

spam_q3_2016_fr_10

Dans certains cas, les expéditeurs des messages d’escroquerie s’appuyaient sur le fait qu’ils cherchaient à améliorer le service à la clientèle de l’organisation au nom de laquelle cette action généreuse était organisée, sans oublier la qualité des produits et services, comme en témoignaient les sondages à remplir. Dans d’autres cas, les auteurs évoquaient simplement le heureux hasard qui avait conduit à la sélection aléatoire de l’adresse électronique du destinataire en vue de lui faire parvenir un joli cadeau à titre de remerciement pour l’utilisation des produits ou des services de la marque. Les messages étaient envoyés à des bases d’adresses récoltées par les diffuseurs de spam et n’appartenaient pas forcément à des clients des sociétés évoquées dans les messages.

Pour confirmer la réception du chèque-cadeau, le destinataire devait cliquer sur le lien repris dans le message. Ce lien menait vers un domaine vide portant un nom du genre « gagnant du jour ». Par la suite, grâce à une redirection, l’utilisateur arrivait sur un site tout juste créé qui proposait une bannière dans le style de la marque derrière la diffusion. Cette page signalait à l’utilisateur que le nombre de chèques-cadeaux était réduit et que le nombre d’intéressés était élevé. Par conséquent, il disposait d’une minute et demie pour cliquer sur le lien et ainsi donner son accord à la réception du cadeau. Ensuite, après avoir répondu à quelques questions du genre « Selon quelle fréquence utilisez-vous nos services ? » et « Sur quoi avez-vous l’intention de dépenser votre chèque-cadeau ? », l’utilisateur était invité à saisir ses données personnelles dans un formulaire spécial. Et pour conclure,  » l’heureux  » gagnant était redirigé vers une page de paiement sécurisé sur laquelle il devait saisir les données de sa carte bancaire et payer des frais minimes (dans le cas que nous avons étudié, la somme s’élevait à 1 couronne).

D’après les commentaires relevés sur Internet, dans certaines versions de cette escroquerie aux chèques-cadeaux, la victime, après avoir cliqué sur le lien, est invitée à contacter un numéro donné pour répondre à des questions au lieu de réaliser un sondage en ligne. Ce mode d’escroquerie est également très répandu et consiste à faire attendre l’abonné pendant longtemps sur une ligne payante jusqu’à ce qu’il décide de mettre un terme à l’appel et d’abandonner l’idée de recevoir le cadeau promis.

A l’instar des offres pour tester différents produits, ces messages provenaient de fausses adresses sur des domaines vides ou tout juste créés et sans aucun rapport avec les organisations connues dont les chèques-cadeaux étaient promis par les individus malintentionnés.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

spam_q3_2016_fr_11

Part du courrier indésirable dans le trafic de messagerie mondial, 2e et 3e trimestre 2016

Au 3e trimestre 2016, le volume le plus élevé de spam a été enregistré en septembre (61,25 %). La part moyenne de spam dans le trafic de messagerie mondial a atteint 59,19 %, soit près de 2 points de pourcentage de plus qu’au trimestre antérieur.

Pays, source du courrier indésirable

spam_q3_2016_fr_12

Pays, sources de courrier indésirable dans le monde, 3e trimestre 2016

Au 3e trimestre 2016, la part de l’Inde a augmenté de 4 points de pourcentage (14,02 %), ce qui lui a permis de prendre la tête de notre classement des pays sources de courrier indésirable. Le Vietnam conserve la 2e position avec une progression d’un point de pourcentage (11,01 %). Il est suivi par les Etats-Unis (8,88 %) dont la part a quant à elle reculé de 1,9 point de pourcentage.

A l’instar du trimestre antérieur, nous retrouvons en 4e et 5e position la Chine (5,02 %) et le Mexique (4,22 %) respectivement. Viennent ensuite le Brésil (4,01 %), l’Allemagne (3,80 %) et la Russie (3,55 %). La Turquie referme le Top 10 avec 2,95 %. Elle avait déjà occupé cette place au trimestre précédent.

Taille des messages non sollicités

spam_q3_2016_fr_13

Tailles des messages non sollicités, 2e et 3e trimestres 2016

Les messages non sollicités les plus diffusés au 3e trimestre ont été les messages ne dépassant pas 2 Ko (55,78 %). Leur part a chuté sur l’ensemble de l’année et au 3e trimestre, ce recul a atteint 16 points de pourcentage. La part des messages dont la taille est comprise entre 10 et 20 Ko a enregistré une progression sensible et passe de 10,66 % à 21,19 %. Les autres catégories ont enregistré des modifications minimes.

Pièces jointes malveillantes dans le courrier

A l’heure actuelle, la majorité des malwares est détectée de manière proactive par des outils automatiques, ce qui complique sérieusement la collecte de statistiques sur les modifications concrètes des malwares. C’est la raison pour laquelle nous avons décidé d’adopter des statistiques plus informatives : Top 10 des familles de malwares par part d’une famille en particulier sur l’ensemble des déclenchements de l’antivirus protégeant les e-mails.

Top 10 des familles malveillantes

Au 3e trimestre 2016, la tête de notre classement est une fois de plus occupée par la famille Trojan-Downloader.JS.Agent (9,62 %). La 2e position revient à Trojan-Downloader.JS.Cryptoload (2,58 %) avec une progression de 1,34 point de pourcentage. Comme au trimestre dernier, la famille Trojan-Downloader.MSWord.Agent (2,34 %) referme le trio de tête.

La célèbre famille Trojan-Downloader.VBS.Agent (1,68 %) passe de la 2e à la 4e position après avoir enregistré un recul de 0,48 point de pourcentage. Trojan.Win32.Bayrob (0,94 %) est en 5e position.

spam_q3_2016_fr_14

Top 10 des familles de malwares diffusés au 3e trimestre 2016

Les nouveautés du 3e trimestre figurent dans la deuxième moitié de notre Top 10. Worm.Win32.WBVB (0,60 %) est en 7e position. Cette famille reprend des fichiers exécutables programmés en Visual Basic 6 (aussi bien mode P-code qu’en mode Native) qui ne sont pas considérés comme des fichiers de confiance par KSN. Seul le module antivirus protégeant les e-mails le détecte. L’Antivirus Fichiers attribue ce verdict à des objets dont le nom confond les utilisateurs comme AdobeFlashPlayer, InstallAdobe, etc.

Trojan.JS.Agent (0,54 %) occupe la 8e position. Les représentants typiques de cette famille sont les fichiers portant une des extensions suivantes : .wsf, .html, .js, etc. Ce malware permet d’obtenir des informations sur le navigateur, le système d’exploitation et le logiciel dont il va exploiter une vulnérabilité. Si la vulnérabilité requise n’existe pas, le script tente de lancer un script malveillant ou une application via le lien indiqué.

La 9e position est occupée par une autre nouveauté : Trojan-Downloader.MSWord.Cryptoload (0,52 %). Il s’agit en général d’un document portant l’extension .doc ou .docx contenant un script qui peut être exécuté dans MS Word (Visual Basic for Applications). Le script contient des procédures d’ouverture d’une connexion, de téléchargement, d’enregistrement et de lancement d’un fichier, en général un trojan ransomware.

La famille Trojan.Win32.Agent (0,51 %) referme le Top 10, en recul de la 7e position au trimestre dernier.

Pays, cibles des diffusions de malwares

spam_q3_2016_fr_15

Répartition des déclenchements de l’antivirus protégeant les e-mails par pays, 3e trimestre 2016.

Au 3e trimestre, la majorité des déclenchements de l’antivirus protégeant les e-mails a été enregistrée en Allemagne (13,21 %). Ce pays maintient sa position dominante malgré un nouveau recul de 1,48 point de pourcentage. Elle est suivie par le Japon (8,76%), en progression 2,36 points de pourcentage depuis la 3e position. La Chine (8,37 %) referme le trio de tête avec un recul de 5,23 points de pourcentage.

La Russie (5,54 %) occupe la 4e position au 3e trimestre. Elle progresse d’1,14 point de pourcentage. L’Italie est en 5e position avec 5,01 %. A l’instar du trimestre précédent, les Etats-Unis (4,15 %) sont en 7e position. L’Autriche referme le Top 10 (2,54%).

Phishing

Au 3e trimestre 2016, notre système « Anti-Phishing » nous a permis de déjouer 37 515 531 tentatives d’acheminement d’utilisateurs de produits de Kaspersky Lab vers des sites de phishing. Il s’agit d’une progression d’environ 5,2 millions de déclenchements par rapport au résultat du trimestre antérieur. Sur l’ensemble du trimestre, les auteurs d’attaques de phishing ont attaqué 7,75 % des utilisateurs uniques des produits de Kaspersky Lab à travers le monde.

Répartition géographique des attaques

La Chine, avec 20,21 %, demeure le pays comptant la plus grande part d’utilisateurs victimes d’attaques de phishing. Sa part au 3e trimestre a toutefois diminué de 0,01 point de pourcentage.

spam_q3_2016_fr_16

Géographie des attaques de phishing*, 3e trimestre 2016

*Pourcentage d’utilisateurs sur les ordinateurs desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.

La part d’utilisateurs attaqués au Brésil (18,23 %) a reculé de 0,4 point de pourcentage, tandis que la part en Afrique du Sud a progressé de 0,88 point de pourcentage (11,07 %). Ces deux pays occupent respectivement la 2e et la 3e position dans notre classement. Ils sont suivi par l’Australie (10,48 %, -2,29 points de pourcentage) et l’Arabie saoudite (10,13%, +1,5 point de pourcentage).

Top 10 des pays selon la part d’utilisateurs attaqués

Chine 20,21%
Brésil 18,23%
Emirats arabes unis 11,07%
Australie 10,48%
Arabie saoudite 10,13%
Algérie 10,07%
Nouvelle-Zélande 9,7%
Macao 9,67%
Territoires palestiniens 9,59%
Afrique du Sud 9,28%

La part des utilisateurs attaqués en Russie au 3e trimestre a atteint 7,74 %. Elle est suivie de près par le Canada (7,16 %), les Etats-Unis (6,56 %) et la Grande-Bretagne (6,42 %).

Organisations victimes du phishing

Classement des catégories des organisations victimes d’attaques de phishing

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements du module heuristique du système Anti-Phishing sur les ordinateurs des utilisateurs. Ce module détecte toutes les pages qui possèdent du contenu de phishing et auxquelles l’utilisateur a tenté d’accéder via des liens dans des messages ou sur Internet, alors que ces liens ne figurent pas encore dans les bases de Kaspersky Lab. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encore, suite à l’action d’un programme malveillant. Après le déclenchement du module, un message relatif à la menace potentielle s’affiche dans le navigateur.

Au 3e trimestre 2016, la part des utilisateurs d’organisations financières (banques, systèmes de paiement, magasins en ligne) attaqués a constitué plus de la moitié des attaques recensées. La part de la catégorie « Banques » a progressé d’1,7 points de pourcentage pour atteindre 27,13 %. Les parts des catégories « Magasins en ligne » (12,21 %) et « Systèmes de paiement » (11,55 %) ont progressé respectivement de 2,82 et 0,31 points de pourcentage.

spam_q3_2016_fr_17

Répartition des organisations victimes d’attaques de phishing, par catégorie, 3e trimestre 2016

Outre les organisations financières, les autres organisations les plus souvent victimes d’attaques de phishing au 3e trimestre auront été celles appartenant aux catégories « Portails Internet globaux » (21,73 %), « Réseaux sociaux et blogs » (11,54 %) et « Opérateurs de téléphonie et FAI » (4,57 %). Toutefois, par rapport au trimestre antérieur, leur part est restée pratiquement inchangée : les écarts au sein de chaque catégorie sont inférieurs à 1 point de pourcentage.

Sujets d’actualité du trimestre

Attaques contre les utilisateurs de systèmes de banque électronique

Au 3e trimestre, la part des utilisateurs attaqué dans la catégorie « Banques » a sensiblement augmenté (1,7 point de pourcentage). Quatre des banques dont les clients ont été le plus souvent victimes d’attaques se trouvaient au Brésil. Cela fait plusieurs années maintenant que ce pays s’est installé dans le classement des pays présentant les taux les plus hauts d’utilisateurs victimes d’attaques de phishing et qui plus est, il occupe souvent la tête de ce classement. Il est naturel que les utilisateurs des systèmes de banque électronique soient des cibles de choix pour les individus malintentionnés car les gains financiers à retirer d’une attaque réussie sont évidents.

Souvent, les liens vers les faux sites de page de banque électronique sont diffusés par courrier électronique.

spam_q3_2016_fr_18

Exemple de message de phishing envoyé au nom d’une banque brésilienne. Le lien du message mène vers une fausse page qui imite la page d’accès à l’espace client du système de banque électronique.

« Virus de pornographie » pour les utilisateurs de Facebook

Au début du trimestre dernier, les membres russophones de Facebook ont été attaqués par des escrocs. Près de six mois plus tard, les escrocs ont repris cette technique pour attaquer des utilisateurs européens. Les individus malintentionnés attiraient les victimes potentielles vers une vidéo provocante dont la lecture requérait l’accès à une fausse page Web (la plus répandue se trouvait sur le domaine xic.graphics) présentée sous les traits du portail Youtube.

spam_q3_2016_fr_19

Exemple d’avis d’étiquetage dans la publication avec la vidéo

Sur la page de phishing, l’utilisateur était invité à télécharger une extension pour le navigateur avec autorisation de lecture de toutes les données du navigateur. Les escrocs pouvaient obtenir ainsi les mots de passe, les noms d’utilisateur, les données des cartes bancaires et toutes autres informations confidentielles saisies par la victime, puis diffuser des liens vers cette page sur Facebook au nom de la nouvelle victime.

Pièges des auteurs d’attaques de phishing

Comme au 2e trimestre, nous allons continuer à évoquer les astuces préférées des escrocs sur Internet. L’objectif de ces astuces est élémentaire : convaincre la victime qu’elle se trouve sur un site légitime et éviter ainsi la détection par les filtres de la solution de protection. Il arrive souvent que plus la page est convaincante pour la victime, plus il est simple de la détecter à l’aide de diverses technologies de lutte contre les escrocs.

Jolis domaines

Nous avons évoqué ci-dessus l’astuce des diffuseurs de spam qui utilisent de jolis domaines dans leurs messages pour diffuser le contenu de phishing. Les individus malintentionnés adoptent souvent cette technique, quelle que soit la méthode de diffusion de la page de phishing. Ils essaient de tromper les utilisateurs qui font toujours attention à l’adresse reprise dans la barre d’adresses mais qui manquent de connaissances techniques pour déceler le truc.

Ainsi, le domaine principal de l’organisation dont les utilisateurs sont attaqués peut être représenté, par exemple, par un domaine de 13e niveau :

spam_q3_2016_fr_20

Ou il peut être utilisé dans des combinaisons d’autres mots comme secure :

spam_q3_2016_fr_21

Ces astuces permettent de tromper les victimes potentielles mais elles facilitent la tâche des solutions de protection.

Langues différentes selon les victimes

Sur la base de l’adresse IP des victimes potentielles, les auteurs d’attaques de phishing peuvent déterminer le pays où elles se trouvent. Dans l’exemple fourni ci-dessous, la réponse est obtenue via le service http://www.geoplugin.net/json.gp?ip=.

spam_q3_2016_fr_22

En fonction du pays dans lequel la victime a été localisée, les escrocs utilisent, pour afficher la page, un dictionnaire dont la langue correspond à celle de la victime.

spam_q3_2016_fr_23

Exemples de fichiers utilisés en guise de dictionnaires pour afficher la page de phishing dans la langue indiquée.

spam_q3_2016_fr_24

Dans notre exemple, il est prévu de présenter 11 versions différentes de la page en 32 langues :

spam_q3_2016_fr_25

Exemple de script utilisé par les auteurs d’attaques de phishing pour présenter une page pertinente en fonction de la localisation de la victime.

Top 3 des organisations ciblées par les auteurs d’attaques de phishing

Les escrocs concentrent la majeure partie de leurs efforts sur les clients des marques les plus populaires, ce qui augmente les chances de réussite de l’attaque de phishing. Plus de la moitié de l’ensemble des déclenchements du composant heuristique de notre système « Anti-Phishing » est imputable à des pages de phishing qui se dissimulent sous le nom de moins de 15 sociétés connues.

Le Top 3 des organisations attaquées au 3e trimestre rassemble 21,96 % de l’ensemble des déclenchements du composant heuristique.

Organisation % de déclenchements
Facebook 8,040955
Yahoo! 7,446908
Amazon.com 6,469801

Le leader des organisations exploitées par les auteurs d’attaques de phishing pour dissimuler leurs intentions aura été Facebook (8,1 %) au 3e trimestre. Sa part a progressé de 0,07 point de pourcentage. Microsoft, leader au trimestre antérieur, a quitté le Top 3. La 2e position revient au portail internet Yahoo! (7,45 %) qui progresse de 0,38 point de pourcentage et d’une position. Amazon (6,47 %) est la nouveauté de ce classement en 3e position.

Conclusion

Au 3e trimestre 2016, la part moyenne de spam dans le trafic de messagerie mondial a atteint 59,19 %, soit près de 2 points de pourcentage de plus qu’au trimestre antérieur. Le volume le plus élevé de spam a été enregistré en septembre (61,25 %). L’Inde (14,02 %) domine le classement des pays source de spam, alors qu’elle n’occupait que la 4e position au trimestre antérieur. Le reste du trio de tête est composé du Vietnam (11,01 %) et des Etats-Unis (8,88 %).

Le trio de tête des pays cibles de pièces jointes malveillantes n’a quant à lui pratiquement pas changé à l’issue du 3e trimestre. A l’instar des deux trimestres antérieur, la tête du classement est occupée par l’Allemagne (13,21 %), suivie de loin par le Japon (8,76 %) et la Chine (8,37 %).

Au cours du 3e trimestre 2016, les solutions de Kaspersky Lab ont bloqué plus de 37,5 millions de tentatives de redirection vers des sites de phishing. Il s’agit d’une progression de près de 5,2 millions de déclenchements par rapport au résultat du trimestre antérieur. Les individus malintentionnés ont ciblé principalement les organisations financières, et principalement les banques. Cette catégorie a comptabilisé 27,13 % des attaques. Les auteurs d’attaques de phishing s’en sont pris le plus souvent aux clients de quatre banques établies au Brésil.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *