Courrier indésirable et phishing au premier trimestre 2017

Contenu

Courrier indésirable : particularités du trimestre

Courrier indésirable via le réseau de zombies Necurs

Nous avons déjà évoqué la hausse sensible du volume de spam contenant des pièces jointes malveillantes, principalement des trojans ransomware. Le réseau de zombies Necurs, considéré à l’heure actuelle comme le plus grand réseau de zombies de diffusion de spam au monde, est la principale source de ce genre de courrier indésirable. Toutefois, à la fin du mois de décembre 2016, l’activité de ce réseau avait presque cessé et les faits allaient confirmer qu’il ne s’agissait pas d’une accalmie traditionnelle à l’occasion des fêtes de fin d’année. Le volume de spam diffusé par ce réseau de zombies s’est maintenu à un niveau très bas pendant presque tout le 1er trimestre 2017.

Quelle était la cause de cette interruption ? On sait que le réseau est actif et que les bots attendent des commandes. Il se peut que les criminels ont pris peur suite à la publication fréquente d’articles relatifs aux ransomwares et qu’ils ont décidé de suspendre temporairement les diffusions massives.

Ceci étant dit, nous observons toujours des diffusions malveillantes qui semblent provenir de Necurs, mais ce volume ne représente qu’un pourcentage des volumes diffusés en décembre :

Courrier indésirable et phishing au premier trimestre 2017

Nombre de messages malveillants capturés dans nos pièges et probablement envoyés via le réseau de zombies Necurs

A l’instar des campagnes antérieures, les messages évoquent différentes factures ou d’autres documents officiels :

Courrier indésirable et phishing au premier trimestre 2017

La pièce jointe du document ci-dessus était un document MS Word contenant une macro. Celle-ci chargeait sur l’ordinateur de la victime un ransomware de chiffrement de la famille Rack (détecté sous le nom Trojan.NSIS.Sod.jov).

Parmi les diffusions malveillantes organisées via ce réseau de zombies, nous avons également identifié une diffusion d’arnaque de type « pump & dump » :

Courrier indésirable et phishing au premier trimestre 2017

En général, les diffusions de ce genre impliquent des volumes importants pendant de brèves périodes. Cela est du au fait que les escrocs doivent parvenir à faire augmenter le cours de l’action et à vendre leurs parts rapidement avant que l’opération ne soit détectée sur les marchés. Ce type de manipulation boursière est punie par la loi et c’est la raison pour laquelle les criminels tentent de réaliser l’opération dans un délai de deux jours maximum. Le réseau de zombies Necurs est parfait pour ce genre de campagne en raison de sa puissance : les chercheurs estiment que le réseau de zombies compte actuellement plus de 200 000 bots.

Cette chute sensible du volume de spam malveillant contenant des ransomwares de chiffrement signifie-t-elle que ce type de diffusion a atteint son pic et qu’il va progressivement disparaître ? Malheureusement, ce n’est pas vraiment le cas.

Le volume global de malwares détectés dans le courrier a diminué par rapport au trimestre antérieur, mais cette réduction n’est pas vraiment remarquable. On parle ici d’une division par 2,4.

Courrier indésirable et phishing au premier trimestre 2017

Nombre de déclenchements du composant messagerie de l’antivirus chez les clients de Kaspersky Lab, T4 2016 et T1 2017

Les diffusions malveillantes sont toujours d’actualité et même si leur volume est en recul, les criminels exploitent différentes astuces pour tromper les solutions de protection et la vigilance des utilisateurs.

Messages malveillants avec archive protégée par un mot de de passe

Au cours du 1er trimestre 2017, nous avons observé une tendance qui se traduit par une détection plus difficile des messages malveillants en raison du compactage du malware dans une archive protégée par un mot de passe.

Pour amener la victime potentielle à ouvrir l’archive, les criminels emploient des astuces traditionnelles : ausses notifications relatives à une commande envoyées par un magasin connu, fausses factures, traductions et CV, promesses d’envoi d’une importante somme d’argent.

En règle générale, ces archives contenaient des documents Office avec des macros ou des scripts Javascript. L’ouverture de ces fichiers entraînait le téléchargement sur l’ordinateur de la victime d’autres malwares. Il est intéressant de constater que suite au ralentissement de l’activité du réseau de zombies Necurs, la « charge utile » malveillante diffusée via le spam est devenue très éclectique. Les individus malintentionnés ont en effet diffusé des malwares, des logiciels d’espionnage, des backdoors et une nouvelle version du tristement célèbre trojan Zeus.

Courrier indésirable et phishing au premier trimestre 2017

Les pièces jointes des exemples repris ci-dessus sont des documents Microsoft Word qui renferment des macros. Celles-ci téléchargent plusieurs modifications d’un trojan ransomware de chiffrement de la famille Cerber depuis des domaines Onion de différentes zones. Le malware sélectionne les données à chiffrer sur l’ordinateur de la victime, puis affiche la demande de rançon via un site dans le réseau Tor.

Courrier indésirable et phishing au premier trimestre 2017

L’archive du message contient le fichier Richard-CV.doc. Celui-ci renferme une macro qui télécharge un représentant de la famille de trojan espion Fareit depuis le domaine onion.ru. Ce trojan se spécialise dans la collecte d’informations confidentielles de l’utilisateur qu’il envoie à un serveur distant.

Courrier indésirable et phishing au premier trimestre 2017

Voici un autre cas de trojan espion téléchargé de la sorte. Cette fois-ci, il s’agit d’un membre de la famille Pinch. Le malware récolte les mots de passe, les adresses email, les informations relatives à la configuration du système et les paramètres du registre. Il récolte également les informations depuis les services de messagerie instantanée et dans les clients de messagerie. Les données obtenues de la sorte sont chiffrées et envoyées par message électronique aux individus malintentionnés. D’après les données que nous avons obtenues via le KSN, ce malware est répandu principalement en Russie, en Inde et en Iran.

Il est intéressant de constater que ces logiciels espion sont diffusés via des messages qui imitent des messages de correspondance commerciale. Ces messages sont envoyés au nom de P.M.E. qui existent vraiment, avec les signatures et les coordonnées et non pas au nom d’organisations abstraites.

A la différence des autres cas, ici l’archive n’est pas protégée par un mot de passe. La mention de la nécessité de saisir un mot de passe n’est qu’une ruse : il faut amener l’utilisateur à activer l’exécution de macros dans Word (désactivation par défaut) afin que le script malveillant puisse s’exécuter.

Courrier indésirable et phishing au premier trimestre 2017

Contenu de cet exemple : document protégé par un mot de passe qui contient un script Visual Basic qui va télécharger le bot Andromeda sur l’ordinateur de la victime. Ce bot établit une connexion avec le centre de commande et attend les instructions des individus malintentionnés. Ses fonctions sont très étendues et qui plus est, il peut télécharger d’autres malwares sur l’ordinateur de la victime.

Courrier indésirable et phishing au premier trimestre 2017

Ce message, qui se présente sous les traits d’une notification envoyée par un magasin, contient un script malveillant. Une fois que la victime a saisi le mot de passe et que le contenu malveillant est exécuté, le fichier Receipt_320124.lnk est créé dans le dossier %TEMP%. Ce fichier télécharge à son tour un trojan bancaire de la famille Sphinx, une modification de malware Zeus, plus ancien et plus connu.

Comme nous le voyons, les diffusions les plus diverses contenant des pièces jointes malveillantes contiennent maintenant des fichiers compactés dans une archive protégée par un mot de passe. Il ne fait aucune doute que cette tendance va se maintenir : pour le destinataire, un document protégé par un mot de passe semble plus légitime et il constitue un problème pour la solution de protection.

Spam via des services légaux

Les plateformes de communication virtuelles modernes (clients de messagerie instantanée, réseaux sociaux) sont également exploitées pour diffuser du spam publicitaire et d’escroquerie. Sur les réseaux sociaux, les individus malintentionnés créent des comptes spécialement pour diffuser du spam et afin de donner une touche de légitimité à leurs messages ; ils exploitent les mêmes astuces que celles employées dans le spam traditionnel (par exemple, les données personnelles reprises dans le compte et dans le message envoyé sont identiques. Les types de spam diffusés par courrier ou via les réseaux sociaux sont identiques : escroquerie à la nigériane, propositions pour gagner de l’argent, etc. La notification de la réception d’une message est généralement envoyée à l’adresse email de la victime et dans ce cas, l’en-tête technique du message est légitime. Le spam peut être détecté uniquement sur la base du contenu du message. Le spam diffusé directement par courrier électronique peut être identifié sur la base de cet en-tête technique. La détection de tels messages n’a rien de sorcier pour les filtres antispam, ce qui n’est pas le cas lorsque les messages sont envoyés via des services légitimes, surtout si l’adresse de ce service figure dans la liste des adresses de confiance composée par l’utilisateur.

Courrier indésirable et phishing au premier trimestre 2017

Les filtres antispam modernes utilisés dans le courrier détectent efficacement le spam diffusé via les méthodes traditionnelles. C’est la raison pour laquelle les diffuseurs de spam sont obligés de trouver de nouvelles astuces pour contourner les filtres.

Courrier indésirable festif

Au cour du 1er trimestre, le courrier indésirable festif s’est inspiré du Nouvel An, de la Saint-Patrick, de Pâques et de la Saint-Valentin. Les petites et moyennes entreprises qui assurent la promotion de leurs produits et services via le spam ont offert des remises à l’occasion de ces fêtes. Des offres envoyées par des usines chinoises ont été envoyées à l’occasion du Nouvel An chinois, fêté au milieu du mois de février.

Courrier indésirable et phishing au premier trimestre 2017

Les spammeurs ont également envoyé de nombreuses demandes pour participer à des sondages et obtenir des bons ou des chèques-cadeaux de magasins en ligne connus et ce, dans le bu d’obtenir des informations personnelles et les coordonnées des destinataires.

Sursaut dans le spam B2B

Au cours du trimestre dernier, nous avons remarqué un nombre important de diffusions qui proposaient la vente de bases de données ciblées d’entreprises par secteur d’activité. Les diffuseurs de spam sont toujours adeptes de ce type de diffusion qui touchent principalement des entreprises ou des représentants distincts des grandes entreprises et non pas les utilisateurs lambda. C’est la raison pour laquelle les messages de ce type sont envoyés principalement à des listes de contacts ou à des adresses de sociétés d’un secteur d’activité précis, obtenues elles-aussi grâce au spam.

Courrier indésirable et phishing au premier trimestre 2017

Ces offres émanent de sociétés ou de représentants de sociétés, mais bien souvent les messages sont impersonnels.

Les spammeurs possèdent des bases de données de sociétés dans n’importe quel secteur d’activité ainsi que les coordonnées des participants à de grandes foires commerciales, des séminaires, des forums et autres tables rondes. Pour susciter l’intérêt des destinataires, les spammeurs proposent souvent d’envoyer gratuitement une sélection de leur choix de quelques contacts.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

Courrier indésirable et phishing au premier trimestre 2017

Part du courrier indésirable dans le trafic de messagerie mondial, T4 2016 et T1 2017

A l’issue du 1er trimestre 2017, la part de spam dans le trafic de messagerie international enregistre un recul par rapport au dernier trimestre 2016. En janvier, elle représentait seulement 55,05 % du trafic et la part de spam a poursuivi sa contraction en février pour atteindre 53,4 %. En mars, la part de spam repartait à la hausse pour atteindre 56,9 %. Globalement, la part des messages non sollicités dans le trafic de messagerie mondial a atteint en moyenne près de 55,9% du volume du courrier au 1er trimestre 2017.

Courrier indésirable et phishing au premier trimestre 2017

Part du courrier indésirable dans le trafic de messagerie russe, T4 2016 et T1 2017

Le panorama du spam dans l’Internet russophone est quelque peu différent. En janvier 2017, la part de messages non sollicités a atteint près de 63 % et elle s’est maintenue dans une fourchette comprise entre 60 et 63 % jusqu’à la fin du trimestre. A l’instar de ce qui a pu être observé dans le trafic de messagerie mondial, le mois de février a enregistré un recul jusqu’à 60,35 %, suivi d’une poussée jusqu’à 61,65 % en mars. La part des messages non sollicités dans le trafic de messagerie russe a atteint en moyenne près de 61,66% du volume du courrier au 1er trimestre 2017.

Pays, source du courrier indésirable

Courrier indésirable et phishing au premier trimestre 2017

Pays, source de courrier indésirable, T1 2017

A l’issue du 1er trimestre 2017, les Etats-Unis conservent leur position dominante au niveau du volume de courrier indésirable envoyé : ils sont à l’origine de 18,75 % de ce trafic. Les 2e et la 3e positions, en côte à côte, mais loin derrière, reviennent à deux représentants de la région Asie-Pacifique : le Vietnam (7,86 %) et la Chine (7,77 %).

L’Allemagne occupe la 4e position (5,37 %) tandis que l’Inde (5,16 %) referme le Top 5. Nous retrouvons également dans le Top 10 la Russie (4,93 %), la France (4,41 %), le Brésil (3,44 %), la Pologne (1,90 %) et les Pays-Bas (1,85 %).

Taille des messages non sollicités

Courrier indésirable et phishing au premier trimestre 2017

Taille des messages non sollicités, T4 2016 et T1 2017

A l’issue du 1er trimestre 2017, la part des messages de très petite taille (2 Ko maximum) dans le spam a sensiblement diminué et a atteint une moyenne de 29,17%. Ce résultat est en recul de 12,93 points de pourcentage par rapport au 4e trimestre 2016. Les parts des messages dont la taille est comprise entre 2 et 5 Ko (3,74 %) et entre 5 et 10 Ko (7,83 %) poursuivent également leur recul.

Par contre, les parts des messages dont la taille est comprise entre 10 et 20 Ko (25,61 %) et entre 20 et 50 Ko (28,04%) ont augmenté. La nette tendance à la réduction des messages de très petite taille et à l’augmentation du nombre de messages de taille moyenne de 5 à 50 Ko observée à l’issue de l’année dernière se maintient.

Pièces jointes malveillantes : familles de malwares

Top 10 des familles malveillantes

A l’issue du 1er trimestre 2017, la famille de malwares la plus répandue par courrier a été Trojan-Downloader.JS.Agent (6,4 %). Elle est suivie par Trojan-Downloader.JS.SLoad (3,79%). La famille Trojan-PSW.Win32.Fareit (3,10 %) occupe la 3e position.

Courrier indésirable et phishing au premier trimestre 2017

Top 10 des familles de malwares diffusés au T1 2017

La famille Backdoor.Java.Adwind (2,36 %) occupe la 5e position de notre Top 10. Il s’agit d’une backdoor multiplateforme dotée de nombreuses fonctions. Elle est programmée en Java et se vend sur le Dark Net selon le principe du « Malware en tant que service (MaaS). Elle apparaît également sous les noms AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat. En règle générale, elle se propage par email sous la forme d’une pièce jointe JAR.

Parmi les nouveautés du classement, notons également la famille Trojan-Dropper.JS.Agent (1,27 %), en 9e position. Il s’agit d’un script JS qui contient un malware qui s’installe sur l’ordinateur et s’exécute.

La famille Trojan-Downloader.VBS.Agent (1,26 %) referme la liste.

Pays, cibles des diffusions de malwares

Courrier indésirable et phishing au premier trimestre 2017

Répartition des déclenchements de l’antivirus protégeant les e-mails par pays, T1 2017

Au 1er trimestre 2017, le volume le plus élevé de déclenchements de l’antivirus protégeant les e-mails a été enregistré en Chine (18,23%). L’Allemagne, leader de l’année dernière, occupe la 2e position (11,86 %). La Grande-Bretagne referme le trio de tête avec 8,16 %.

Viennent ensuite l’Italie (7,87 %), le Brésil (6,04 %) et le Japon (4,04 %). La Russie occupe la 7e position avec 3,93 %. Les Etats-Unis se retrouvent en 9e position avec 2,46 %. Le Vietnam referme le Top 10 avec 1,94%.

Phishing

Au 1er trimestre 2017, le système Anti-Phishing a empêché 51 321 809 tentatives d’amener un utilisateur sur un site de phishing. Sur l’ensemble du trimestre, les auteurs d’attaques de phishing ont attaqué 9,31 % des utilisateurs des produits de Kaspersky Lab à travers le monde.

Répartition géographique des attaques

A l’instar des trimestres antérieurs, la Chine demeure le pays qui compte la part la plus importante d’utilisateurs victimes d’attaques de phishing avec 20,88 %, et ce malgré un recul de 1,67 point de pourcentage.

Courrier indésirable et phishing au premier trimestre 2017

Géographie des attaques de phishing*, 1er trimestre 2017

*Pourcentage d’utilisateurs sur les ordinateur desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.

La 2e position, en recul de 0,8 point de pourcentage par rapport à la période antérieure, revient au Brésil (19,16 %) tandis que Macao (11,94 %) occupe la 3e position grâce à une progression de 0,91 point de pourcentage. La Russie ne figure pas dans ce trio de tête. Elle occupe la 4e position (11,29 %, progression de 0,73 point de pourcentage) tandis que l’Australie referme le Top 5 avec 10,73 % (en recul de 0,37 point de pourcentage).

Top 10 des pays selon la part d’utilisateurs attaqués

Pays %
Chine 20,87 %
Brésil 19,16 %
Macao 11,94 %
Russie 11,29 %
Australie 10,73 %
Argentine 10,42 %
Nouvelle-Zélande 10,18 %
Qatar 9,87 %
Kazakhstan 9,61 %
Taiwan, province de la Chine 9,27 %

L’Argentine (10,42 %, +1,78 point de pourcentage), la Nouvelle-Zélande (10,18 %), le Qatar (9,87 %), le Kazakhstan (9,61 %) et Taiwan (9,27 %) viennent compléter le Top 10.

Organisations victimes du phishing

Classement des catégories des organisations victimes d’attaques de phishing

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements du module heuristique du système Anti-Phishing sur les ordinateurs des utilisateurs. Ce module détecte toutes les pages qui possèdent du contenu de phishing et auxquelles l’utilisateur a tenté d’accéder via des liens dans des messages ou sur Internet, si ces liens ne figurent pas encore dans les bases de Kaspersky Lab. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou suite à l’action d’un malware. Après le déclenchement du composant, l’utilisateur voit dans son navigateur un message d’avertissement sur la menace éventuelle.

Au 1er trimestre 2017, plus de la moitié des déclenchements de l’Anti-Phishing a été provoquée par des pages de phishing qui citaient des marques en rapport avec les catégories suivantes : « Banques » (25,82 %, -0,53 point de pourcentage), « Systèmes de paiement » (13,6 %, +2,23 points de pourcentage) et « Magasins en ligne » (10,89 %, +0,48 point de pourcentage). La catégorie « Finances » à elle seule a été victime d’un peu plus de 50 % des attaques de phishing.

Courrier indésirable et phishing au premier trimestre 2017

Répartition des organisations victimes d’attaque de phishing, par catégorie, 1er trimestre 2017

De même, au 1er trimestre, les auteurs d’attaques de phishing ont visé plus particulièrement des organisations de la catégorie « Portails Internet globaux » (19,1 %), toutefois la part affiche une contraction de 5,25 points de pourcentage par rapport au trimestre antérieur. Les parts des catégories « Réseaux sociaux » (9,56 %) et « Sociétés de télécommunication » (5,93 %) ont également enregistré un léger recul de 0,32 et 0,83 point de pourcentage respectivement. Au 1er trimestre, la catégorie « Jeux en lignes » a atteint 1,65 % et la catégorie « Services de messagerie instantanée », 1,53 %.

Top 3 des organisations ciblées

Les marques connues sont celles qui sont le plus souvent visées par les auteurs d’attaques de phishing : plus de la moitié des déclenchements du système Anti-Phishing est provoquée par des pages de phishing qui évoquent un total de 15 marques.

Le Top 3 reste inchangé pour le 2e trimestre consécutif. Au 1er trimestre, la société Yahoo! a conservé sa position de leader au niveau des marques mentionnées sur les pages de phishing (7,57 %), malgré un recul de 1,16 point de pourcentage. Facebook occupe la 2e position (7,24 %) comme au 4e trimestre 2016, mais a perdu 0,13 point de pourcentage. Microsoft (5,39 %) referme le trio de tête, en recul de 0,83 points de pourcentage.

Organisation % de déclenchements
Yahoo! 7,57
Facebook 7,24
Microsoft Corporation 5,39

Afin de pouvoir toucher un maximum de personnes au cours d’une seule attaque, les escrocs choisissent d’évoquer une multitude de marques en espérant que les victimes potentielles réagissent au moins à l’une d’entre elles. Cette technique est rendue possible grâce à la fonction d’authentification à l’aide de comptes utilisateur existants adoptée par de nombreux services Internet dans le but de simplifier la vie de leurs utilisateurs. Pour cette raison, une page qui propose d’ouvrir une session à l’aide d’une multitude de comptes utilisateur ne suscite aucune méfiance. Les escrocs peuvent donc obtenir les données des utilisateurs d’une multitude de services différents en créant une seule page de phishing.

Courrier indésirable et phishing au premier trimestre 2017

Exemple de page de phishing qui propose d’accéder à un fichier en saisissant les informations d’authentification d’autres ressources Internet.

Courrier indésirable et phishing au premier trimestre 2017

Cette page de phishing exploite un mécanisme similaire sous le couvert d’un accès à la page de Google Disk.

Sujets d’actualité du trimestre

Systèmes de paiement

Une fois de plus, les organisations de la catégorie « Systèmes de paiement » représentent une partie non négligeable de l’ensemble des déclenchements du composant heuristique. Elles ont atteint 13,6 %, soit une attaque sur huit.

L’examen de la liste des systèmes de paiement attaqués au niveau des organisations permet de voir que PayPal occupe la 1re position du classement (28,25 %). Ce service est suivi de près par Visa (25,78 %) et American Express (24,38 %).

Organisation %*
PayPal 28,25
Visa Inc. 25,78
American Express 24,38
MasterCard International 16,66
Divers 4,94

*Parts d’attaques contre une organisation par rapport au total des attaques contre des organisations de la catégorie « Systèmes de paiement »

Les auteurs d’attaques de phishing qui visent les clients des systèmes de paiement les plus utilisés cherchent à obtenir n’importe quelle donnée personnelle ou de paiement des utilisateurs, les données d’accès aux comptes, etc. Les criminels hébergent souvent le contenu malveillant sur des ressources de bonne réputation afin de gagner la confiance de l’utilisateur et d’éviter les listes noires. Ainsi, nous avons repéré une fausse page du service d’assistance à la clientèle de PayPal hébergée sur le service « Google Sites » (domaine principale : google.com). Une fois que l’utilisateur a cliqué sur la bannière, il est renvoyé vers une page de phishing où il est invité à saisir les informations d’authentification de son compte utilisateur pour le système de paiement.

Courrier indésirable et phishing au premier trimestre 2017

Exemple de page de phishing exploitant la marque PayPal et hébergée sur un domaine de la société Google

Un autre cas répandu est l’hébergement de contenu de phishing sur les serveurs d’organismes des pouvoirs publics. Ceci s’explique par le fait que la majorité de ces organismes ne se soucie pas de la sécurité de leurs ressources Internet.

Courrier indésirable et phishing au premier trimestre 2017

Exemple de page de phishing exploitant la marque PayPal hébergée sur un serveur d’organismes des pouvoirs publics du Sri Lanka.

Courrier indésirable et phishing au premier trimestre 2017

Exemple de page de phishing exploitant la marque PayPal hébergée sur un serveur d’organismes des pouvoirs publics du Bengladesh.

Pour piéger les victimes, les auteurs de ces attaques menaçaient les destinataires des messages du gel de leur compte ou les invitaient à actualiser leurs données dans le système de paiement.

Magasins en ligne

Une attaque de phishing sur dix vise des clients de magasins en ligne. Au cours de ce trimestre, la marque la plus populaire dans cette catégorie auprès des auteurs d’attaques de phishing aura été Amazon (39,13 %).

Organisation %
Amazon.com: Online Shopping 39,13
Apple 15,43
Steam 6,5
eBay 5,15
Alibaba Group 2,87
Taobao 2,54
Autres cibles 28,38

Les individus malintentionnés ont exploité le nom Amazon pour tenter de voler non seulement les données d’accès au compte de la victime, mais également toutes les données personnelles, y compris les données des cartes bancaires. Il est fréquent également de voir de fausses pages hébergées sur des domaines qui jouissent d’une bonne réputation. Par exemple, sur un domaine appartenant à la société de télécommunications Vodafone.

Courrier indésirable et phishing au premier trimestre 2017

Exemple de page de phishing exploitant la marque Amazon et hébergée sur un domaine de la société Vodafone

Gagner de l’argent en luttant contre le phishing

En plus des messages et des pages de phishing standard, nous sommes souvent confrontés à d’autres formes d’escroquerie. Les escrocs savent que l’argent facile attire et pour cette raison, ils offrent de l’argent pour consulter des publicités, des applications d’automatisation de transactions boursières, etc.

Courrier indésirable et phishing au premier trimestre 2017

Spam proposant de gagner de l’argent facilement sur Internet

Au cours du 1er trimestre, nous avons détecté une ressource d’escroquerie qui nous a beaucoup plus en raison du thème choisi : la lutte contre les sites de phishing. La personne intéressée par l’idée gagner de l’argent de la sorte devait s’inscrire et réaliser quelques tâches dont le but était de classer des pages Internet selon les critères suivants : malveillante, sans danger, ne charge pas. Il faut évaluer uniquement le contenu de la page. Son adresse n’est pas affichée.

Courrier indésirable et phishing au premier trimestre 2017

Afin d’obtenir un paiement pour la vérification de 31 sites, il faut payer 7 dollars

L’utilisateur reçoit près de 3 dollars pour chaque site « vérifié » de la sorte. Pour obtenir le paiement, l’utilisateur doit verser 7 dollars aux créateurs de la ressource afin de confirmer qu’il est majeur et solvable. Bien entendu, il ne reçoit jamais son « salaire ».

Conclusion

Alors que le volume de spam dans le trafic de messagerie mondial avait commencé à diminuer au début du 1er trimestre 2017, la situation s’est stabilisée en mars et la part moyenne de spam a atteint 55,9 %. La tête du classement des pays en fonction du volume de spam envoyé revient une fois de plus aux Etats-Unis (18,75 %) tandis que le Vietnam et la Chine occupent respectivement la 2e (7,86 %) et la 3e position (7,77 %).

Le 1er trimestre aura été marqué, entre autres, par un recul du volume de spam malveillant diffusé via le réseau de zombies Necurs : par rapport à la période antérieure, le volume de ce type de diffusion a été divisé par 2,4. Cette accalmie pourrait être temporaire uniquement : il se pourrait que les individus malintentionnés ont décidé de suspendre les diffusions tant que les ransomwares de chiffrement font beaucoup parler d’eux.

Les messages malveillants de ce trimestre contenaient principalement des malwares de la famille Trojan-Downloader.JS.Agent. Sa part a atteint 6,14 % de l’ensemble des malwares détectés dans le courrier. Trojan-Downloader.JS.SLoad (3,79 %) occupe la 2e position, tandis que la 3e place revient à Trojan-PSW.Win32.Fareit (3,10 %).

Au cours de la période couverte par le rapport, le système « Anti-phishing » a empêché 51 321 809 tentatives d’accès à des pages de phishing et la Chine occupe la tête du classement au niveau du nombre d’utilisateurs pris pour cible par les auteurs d’attaques de phishing (20,88 %). La part du secteur financier domine toujours le classement des catégories attaquées et cette tendance devrait se maintenir à l’avenir.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *