Bulletin de Kaspersky sur la sécurité 2011. Spam en 2011

L’Anti-Spam de Kaspersky Lab protège les utilisateurs du monde entier. Le laboratoire de lutte contre le courrier indésirable traite plus d’un million de messages chaque jour, récupérés via nos pièges. La protection des utilisateurs repose sur un filtre de contenu, l’analyse des en-têtes techniques, des signatures graphiques uniques et les technologies du nuage. Nos analystes créent de nouvelles définitions 24h/24, 7j/7.

  1. Développement des menaces en 2011
  2. Principales statistiques pour 2011
  3. Spam en 2011

Chiffres de l’année

  • La part des messages non sollicités dans le courrier a représenté en moyenne près de 80,26 %.
  • La part des messages de phishing a été multipliée par 15 pour atteindre 0,02% du volume global du trafic de messagerie.
  • La part de messages non sollicités contenant des pièces jointes malveillantes a été multipliée par 1,7 pour atteindre 3,8 % du trafic de messagerie.

Tendances de l’année 2011

Réduction du courrier indésirable

Conséquence de la lutte active menée contre les réseaux de zombies en 2010, le volume de courrier indésirable dans le trafic de messagerie a sensiblement diminué. En 2011, la part des messages non sollicités a atteint en moyenne 80,26% Ce chiffre est inférieur à celui de 2010, sans parler du pic de 2009.



Part du courrier indésirable dans le trafic de messagerie de 2007 à 2011

Le graphique montre clairement que la part de courrier indésirable a diminué au cours des deux dernières années. Plusieurs explications existent. Tout d’abord, les autorités continuent à démanteler les centres de commande des réseaux de zombies : ainsi, Rustock et Hlux/Kelihos ont été mis hors service en 2011. Deuxièmement, les diffuseurs de courrier indésirable misent de plus en plus souvent sur les diffusions ciblées. Par exemples, les participants aux partenariats de diffusion de courrier indésirable pharmaceutique tentent d’envoyer leurs messages aux adresses volées sur des sites qui traitent de problèmes propres aux hommes. Dans ce contexte, le volume du courrier indésirable ciblé est inférieur à celui du courrier indésirable traditionnel et la réaction potentielle est bien supérieure. Troisièmement, cela fait déjà plusieurs années que les diffuseurs de courrier indésirable tiennent compte de la demande pour les produits présentés dans les messages non sollicités dans différents pays ou régions. Ainsi, au cours des dernières années, le courrier indésirable contenant de la publicité pour des médicaments ou des copies d’articles de luxe étaient plus présent aux Etats-Unis et en Europe occidentale qu’en Russie et dans la CEI, bien que son volume ait été assez important dans l’Internet russophone. L’année 2011 aura marqué un tournant à ce niveau : en raison de ressources limitées, les diffuseurs de courrier indésirable appartenant à des partenariats pharmaceutiques ont du exclure l’Internet russophone de leur base d’adresses, ce qui a contribué à une réduction sensible du courrier indésirable envoyé dans le cadre de partenariat dans l’internet russe.

Attaques de phishing ciblées

La grande tendance de l’année 2011 aura été le spear phishing, à savoir le phishing ciblé. Ce type de phishing se distingue par le fait que les individus malintentionnés diffusent leurs messages non pas à des adresses aléatoires, mais bien à un groupe d’utilisateurs ou à utilisateur sélectionné au préalable.

Le spear phishing n’utilise pas une seule astuce définie, mais bien plusieurs, de complexité diverse et poursuivant différents objectifs.

Il peut avoir le même objectif que le phishing traditionnel, à savoir amener le destinataire à fournir ses données d’identification afin de pouvoir accéder à son compte. Parmi les types d’attaque de spear phishing, nous pouvons citer les attaques menées contre un groupe d’utilisateurs qui sont tous clients d’un service quelconque. Ces message de phishing reproduisent dans les moindres détails des notifications officielles du service attaqué et contiennent un lien vers un formulaire d’inscription qui est la parfaite réplique du véritable formulaire d’inscription au service. Certains analystes pensent que c’est cette méthode élémentaire qui a été utilisée par des éléments criminels chinois pour obtenir l’accès aux comptes Google de fonctionnaires américains haut placés. La différence principale par rapport au phishing traditionnel est une cible plus restreinte et des objectifs plus précis.

Ces derniers temps, les auteurs d’attaque de phishing ont commencé à utiliser une autre astuce plus rusée encore : la diffusion de messages personnalisés. Nous sommes habitués aux messages de phishing qui contiennent des salutations impersonnelles telles que « Chers utilisateurs de notre site ! » ou « Cher Client ». Dans le cadre des attaques plus complexes comme le spear phishing, l’individu malintentionné connaît non seulement le client ou l’employé qui peut devenir une victime potentielle, mais également son nom et son prénom. De nos jours, les auteurs d’attaques de phishing peuvent obtenir ces informations sans grande difficulté : bien souvent, les utilisateurs des réseaux sociaux ne masquent pas leurs données, ce qui permet aux individus malintentionnés de les utiliser. Grâce à la collecte de ces données que l’utilisateur lui-même rend accessible à tout le monde, les criminels sont en mesure de gagner la confiance de leurs victimes.

Un autre type d’attaque ciblée est celle qui vise à obtenir un accès aux ressources d’une société quelconque. C’était l’objectif par exemple des individus malintentionnés qui ont attaqué RSA, la division sécurité de la grande société informatique EMC en mars 2011. Grâce à une attaque menée contre quelques groupes d’employés de la société, les individus malintentionnés ont pu amener au moins un collaborateur de RSA à ouvrir le fichier diffusé sous le nom « 2011 Recruitment plan.xls ». Le fichier Microsoft Excel contenait un code d’exploitation d’une vulnérabilité 0jour qui permettait aux auteurs de l’attaque d’accéder aux systèmes de la société. Cette attaque a permis à ses auteurs de voler des données de la société RSA.

Les attaques de phishing ciblées sont également dangereuses car les messages utilisés ne sont pas nombreux et sont assez uniques. Cela signifie que bien souvent, ils ne sont pas considérés comme du courrier indésirable par les logiciels de protection. Les organisations ciblées par de telles attaques peuvent opter pour le système DLP qui prévient les fuites de données. S’agissant des particuliers, le dernier obstacle entre l’auteur de l’attaque de phishing et les données financières, personnelles ou autres de l’utilisateur est l’utilisateur lui-même. C’est bel et bien sur le facteur humain que repose tout le système. A condition d’être prudent et attentif, l’utilisateur peut éviter de tomber dans le piège des auteurs d’attaque de phishing.

L’utilisateur ne doit pas oublier que quel que soit le degré de perfection de la reproduction de la mise en page d’un message ou d’un formulaire d’inscription, l’auteur de l’attaque doit utiliser un domaine qui n’a rien à voir avec l’organisation d’où proviendrait le message. Si vous recevez un message vous demandant de saisir vos données d’identification sur le site de votre banque ou de tout autre service en ligne, accédez à ce site non pas via le lien repris dans le message mais bien en tapant directement l’URL de l’organisation dans la barre d’adresse de votre navigateur. Il ne faut pas non plus oublier qu’aucun service en ligne ne vous demandera jamais d’envoyer vos données d’identification par courrier électronique.

Nous nous attendons à une augmentation du nombre d’attaques de spear phishing et par conséquent, nous tenons à rappeler aux utilisateurs qu’ils doivent rester vigilants.

Année du courrier indésirable malveillant

Bien que le courrier indésirable soit en recul, il est devenu plus dangereux. En 2011, le nombre de messages contenant des pièces jointes malveillantes a été multiplié par 1,7 par rapport à l’année antérieure et a atteint 3,8 % du trafic de messagerie. Outre les messages contenant des fichiers malveillants, on trouve également des messages contenant des liens vers des ressources malveillantes.

Le nombre de messages contenant des pièces jointes malveillantes s’est maintenu à un niveau élevé tout au long de l’année.



Part de messages contenant des pièces jointes malveillantes dans le trafic de messagerie, 2011

Comme le montre le diagramme ci-dessous, une tendance intéressante se manifeste depuis trois ans : la réduction du volume du courrier indésirable s’accompagne d’une augmentation des messages contenant des pièces jointes malveillantes.



Part de messages contenant des pièces jointes malveillantes dans le trafic de messagerie, 2009 à 2011

Courrier indésirable malveillant et ingénierie sociale

Le courrier indésirable malveillant se caractérise par le recours à l’ingénierie sociale : l’individu malintentionné doit convaincre l’utilisateur d’ouvrir la pièce jointe ou de cliquer sur le lien contenu dans le message. Cette année, les cybercriminels n’ont pas manqué d’imagination et ils ont eu recours aux astuces les plus diverses pour atteindre leur objectif.

  • Dissimulation derrière une source faisant autorité.

    Les messages malveillants se présentaient sous la forme de notifications de l’administration des réseaux sociaux, de service de courrier international, du fisc ou d’émetteurs de cartes de crédit.

  • Intimidation.

    Les messages évoquaient le blocage d’un compte, l’infection d’ordinateurs ou la diffusion de messages non sollicités depuis le compte de l’utilisateur. Pour éviter ces problèmes, l’utilisateur devait réaliser immédiatement une des deux actions suivantes : ouvrir la pièce jointe ou cliquer sur le lien.

  • Séduction

    Les messages promettaient des cadeaux, des coupons, des clés d’activation pour divers logiciels et d’autres choses. Pour pouvoir bénéficier de ces offres, il fallait simplement ouvrir la pièce jointe ou cliquer sur le lien.

  • Divers

    Dans la majorité des cas, les individus malintentionnés ont exploité la curiosité du destinataire ou ont misé sur son manque de vigilance. La pièce jointe se présentait sous la forme d’un document numérisé, d’un ticket électronique, d’instructions pour la restauration du mot de passe de la messagerie, etc. Parfois, l’utilisateur était tout simplement invité à ouvrir la pièce jointe.

Historique d’une diffusion ou les coulisses d’une attaque

Au quatrième trimestre 2011, des diffuseurs de courrier indésirable ont envoyé des messages imitant les notifications de la NACHA (National Automated Clearing House Association, association américaine des paiements électroniques). Il s’agit d’une importante organisation non commerciale qui élabore les règles d’exécution des opérations et répond aux questions pratiques de l’activité de la chambre de compensation automatique (ACH, Automatique Clearing House). Elle traite également des questions relatives aux paiements électroniques. ACH, quant à elle, gère le plus grand réseau de paiement électronique au monde.

Les messages envoyés au nom de la NACHA invitaient le destinataire à ouvrir une pièce jointe ou à cliquer sur un lien afin d’annuler une transaction.

Le recours à de tels artifices est compréhensible : les cybercriminels veulent ratisser large et choisissent pour ce faire d’envoyer un message non pas au nom d’une banque en particulier, mais bien au nom d’un organisme de contrôle. Bien peu de monde sait qu’en réalité la NACHA n’a aucun droit pour contrôler les transactions ACH, et encore moins pour les annuler.

Si l’utilisateur clique sur le lien dans un de ces messages, il arrive sur une page Internet contenant un code javascript qui le redirige vers une ressource malveillante hébergeant des codes d’exploitation. Il est intéressant de voir que les individus malintentionnés ont voulu mettre toutes les chances de leur côté : sur une page Internet, ils ont introduit quatre scripts de redirection vers le même site malveillant. Une telle tactique se justifie car ces scripts sont insérés sur des sites légitimes qui ont été compromis. Les propriétaires du site peuvent se rendre comptent de l’intrusion et supprimer le script. De plus, les sociétés spécialisées en sécurité informatique ajoutent rapidement ces URL aux listes noires.

Tous les scripts de redirection menaient à la même ressource malveillante où les individus malintentionnés avaient placé un des ensembles de codes d’exploitation les plus efficaces et les plus populaires : BlackHole.

Méthodes et astuces des diffuseurs de courrier indésirable

Scripts de redirection et autres accès via des liens

Lorsqu’ils organisent une diffusion, les spammeurs tentent de masquer les coordonnées du commanditaire : numéro de téléphone, nom du site, etc. Dans le cas contraire, les filtres antispam pourraient ajouter ces informations à la liste noire et bloquer tous les diffusions qui les citeraient. Plusieurs méthodes existent pour masquer les coordonnées : il s’agit du brouillage (ajout de caractères, déformation), d’écriture de mots à l’aide de numéros, d’ajout de balises HTML invisibles pour l’utilisateur ou d’insertion des coordonnées dans des images brouillées, etc.

Cette année, l’astuce la plus souvent utilisée par les diffuseurs de courrier indésirable pour masquer le lien vers le site contenant des publicités ou des programmes malveillants fut l’utilisation de scripts de redirection : les messages contiennent des liens vers divers sites d’où les utilisateurs sont redirigés vers le site principal.

Services de redirection

La méthode la plus simple pour les diffuseurs de courrier indésirable qui veulent utiliser la redirection est de choisir un service de redirection comme tinyurl.com ou bit.ly. Les diffuseurs de courrier indésirables exploitent la fonction initiale de ces services, à savoir raccourcir les URL trop longues et difficiles à lire, pour créer un lien unique dans chaque message diffusé. Ces URL de redirection peuvent masquer des liens vers des sites ou des images téléchargées.

Message tel qu’il apparaît au destinataire :

Code HTML source du message :

Ainsi, le message qui, aux yeux du destinataire, contien une image avec des liens vers un site se compose en fait de liens uniques et de texte aléatoire.

Sites infectés

L’autre méthode de redirection consiste à utiliser un site légitime compromis dans le code duquel les individus malintentionnés insèrent un code iframe ou javascript ou exploitent d’autres possibilités de l’HTML (ou du protocole TCP/IP) pour rediriger l’utilisateur vers le site qui convient à l’individu malintentionné. Le paragraphe « Historique d’une diffusion » évoquait ce genre de redirection.

Injections SQL

Il s’agit d’une nouvelle méthode de redirection qui n’est pas encore très développée. Le message non sollicité exploitant cette méthode contient un lien qui mène l’utilisateur à un site légitime vulnérable aux injections SQL.

Le lien contenait une requête SQL qui renvoyait un code javascript :

Ce script renvoyait l’utilisateur vers le site du spammeur.

Nuage

L’utilisation de ressources gratuites pour placer des liens vers des sites de spam n’est pas une pratique nouvelle. Toutefois, cette année, les applications de bureautique dans le nuage de plus en plus populaires ont joué le rôle de ces ressources gratuites. Les diffuseurs de courrier indésirable envoyaient des liens vers des services Google (Google Docs et Google Spreadsheets) et y plaçaient les liens vers les sites requis.

De plus, Google Spreadsheets a été utilisé pour héberger des pages de phishing sur lesquelles l’utilisateur devait saisir le nom d’utilisateur et le mot de passe d’accès à sa boîte aux lettres.

Outre l’espace gratuit, cette page offrait aux auteurs de l’attaque de phishing des avantages complémentaires : elle était hébergée sur une ressource connue et la connexion s’opérait via le protocole https, qui pouvait confondre même l’utilisateur le plus vigilant.

Toutefois, vers la fin de l’année, ce genre de diffusion s’est interrompu. Selon toute vraisemblance, Google a renforcé la sécurité et a commencé à réagir plus sévèrement aux pages non sollicitées placées sur ses services.

Comment convaincre l’utilisateur de cliquer sur un lien ou d’ouvrir la pièce jointe

Toutes les méthodes de redirection fonctionnent uniquement si l’utilisateur clique sur le lien. Pour atteindre cet objectif, les diffuseurs de courrier indésirable ont utilisé des astuces, déjà connues ou non.

Tout d’abord, ils se sont efforcé d’envoyer des messages qui ressemblaient le plus possible à des messages légitimes en copiant les notifications des réseaux sociaux ou autres services populaires. Les ressources Web 2.0 sont à ce point populaire que les utilisateurs sont déjà habitués à recevoir des notifications de celles-ci et en général, ils ne pensent pas que ces messages pourraient être des faux.

Deuxièmement, les individus malintentionnés ont tout fait pour attirer l’attention du destinataire sur le lien. Pour ce faire, cela fait plusieurs années qu’ils évoquent dans leurs messages des sujets dont on parle dans les journaux ou à la télévision et qui intéressent le public.

Par exemple, au mois de mars, les diffuseurs de courrier indésirable ont utilisé deux sujets : le tremblement de terre au Japon et la guerre en Libye. La diffusion la plus remarquée a exploité ces deux sujets simultanément.

Les informations sur le décès de célébrités sont également exploitées. Ainsi, au mois de mai, les destinataires de messages non sollicités étaient invités à regarder une vidéo contenant des détails choquant sur la mort de Bin Laden. Au mois de juin, à l’occasion du premier anniversaire de la mort de Michael Jackson, nous avons détecté des messages évoquant des preuves irréfutables démontrant que l’artiste est toujours en vie. Et en octobre, après le décès de Steve Jobs, les diffusions malveillantes se présentaient sous la forme de messages qui proposaient de voir comment Apple vivait la mort de son fondateur.

Outre l’évocation de sujets d’actualité dans le courrier malveillant, une pratique qui n’est pas nouvelle, les individus malintentionnés ont adopté en 2011 d’autres astuces. Les diffusions de messages contenant en pièce jointe les prétendues photos érotiques de jolies jeunes filles sont passées au deuxième plan en 2011. De toute évidence, les utilisateurs ont l’habitude de ce genre de message et dans la majorité des cas, ils comprennent qu’ils sont en présence d’un message malveillant. Ces messages ont été remplacés par des messages dont le contenu ou la mise en page évoquent la correspondance interne de grandes sociétés. En général, ils sont accompagnés d’une pièce jointe portant un nom évocateur tel que « Facture » ou « Documents internes ».

Escroquerie via courrier indésirable

Il faut noter que nombreux sont les événements marquants de cette année qui ont été utilisés non pas seulement pour attirer l’attention des utilisateurs et les amener à cliquer sur un lien, mais aussi pour les escroquer.

Ainsi, les escrocs ont exploité le tremblement de terre au Japon pour voler l’argent des utilisateurs sous le prétexte de la collecte de fonds pour l’aide aux victimes.

Les noms de Mouamar Kadhafi et Kim Chen Ira ont été utilisés dans les escroqueries à la nigérienne. Les escrocs, qui cherchaient à voler l’argent des destinataires, se présentaient comme des parents, des amis ou des ennemis des personnages décédés.

Statistiques du courrier indésirable

Part du courrier indésirable dans le trafic de messagerie

Comme nous l’avons déjà dit, le volume de courrier indésirable dans le trafic de messagerie a sensiblement diminué par rapport à 2010 : alors que l’année dernière, il s’élevait à 82,2 % du trafic de messagerie, il a atteint en moyenne 80,26 % en 2011.



Part du courrier indésirable dans le trafic de messagerie en 2011

Au cours du premier semestre, la part de courrier indésirable a connu une croissance stable. Toutefois, au cours du deuxième semestre 2011, la situation a changé. Au final, l’indice pour l’année 2011 n’a pas atteint le niveau de l’année 2010, et encore moins le pic de l’année 2009.

Régions d’origine du courrier indésirable

En 2011, la part de courrier indésirable diffusé depuis des pays d’Asie et d’Amérique latine a sensiblement augmenté. La part de ces deux régions représente plus de la moitié (59,02 %) de l’ensemble du courrier indésirable envoyé. Les chiffres pour l’Amérique du Nord, qui avaient fortement chuté à la fin de l’année 2010, se sont maintenus à ce niveau.



Répartition des sources de courrier indésirable par région en 2010 et 2011.

Notons que pour l’Asie et l’Amérique latine, la dynamique de la diffusion du courrier indésirable est identique en de nombreux points :



Dynamique de la diffusion du courrier indésirable depuis l’Asie et l’Amérique latine en 2011

Ce fait confirme indirectement que les ordinateurs infectés en Asie et en Amérique latine appartiennent aux mêmes réseaux de zombies. L’augmentation du poids de ces régions dans le trafic de courrier indésirable mondial indique que ces réseaux de zombies ont grandit en un an. Nous avons déjà évoqué les facteurs qui ont favorisé cette situation : un service Internet de qualité, un faible niveau de connaissances informatiques des utilisateurs et l’absence de lois contre le courrier indésirable dans la majorité des pays d’Asie et d’Amérique latine sont autant d’éléments qui rendent ces régions très attrayantes pour les organisateurs de réseaux de zombies.

La part de l’Afrique a légèrement augmenté cette région, qui jusqu’à présent n’était pas très impliquée dans la diffusion de courrier indésirable, prend une place de plus en plus importante et ce, pour les mêmes raisons que l’Asie ou l’Amérique latine.

La part de l’Europe de l’Ouest a reculé de 4 %. Il est intéressant de voir que le volume de courrier indésirable envoyé depuis cette grande région où l’informatique est bien présente diminue chaque année. Les bonnes connaissances en informatique des utilisateurs et la lutte contre les pirates font que les ordinateurs de cette région sont bien souvent dotés de logiciels de protection antivirus sous licence et à jour. Il n’est pas facile d’infecter de tels ordinateurs et de les intégrer à des réseaux de zombies de diffusion de courrier indésirable.

Pays, source du courrier indésirable

L’augmentation de la part des régions principales sources de courrier indésirable a eu un effet, cela va de soi, sur la composition du Top 20 des pays sources de courrier indésirable.

Le leader de l’année dernière, à savoir les Etats-Unis (-9,24 %) ne figurent même pas dans le Top 10. On les retrouve en 16e position seulement. La Russie marque également un recul (-2,8 %) et passe de la 3e à la 9e position. Le trio de tête reprend l’Inde (+4 %), le Brésil (+3,4 %) et l’Indonésie (+5,15 %) qui progresse depuis la 16e position.



Répartition des sources de courrier indésirable par pays en 2011

Le Top 10 reprend toujours deux pays d’Europe de l’Ouest : l’Italie et le Royaume-Uni qui mènent les pays européens. La dynamique de la diffusion du courrier indésirable dans ces deux pays est similaire. Il est possible que les ordinateurs infectés dans ces pays appartiennent au même réseau de zombies.



Dynamique de la diffusion du courrier indésirable depuis l’Italie et le Royaume-Uni en 2011.

Taille des messages non sollicités

Au cours de l’année, la tendance aura été à la réduction de la taille des messages non sollicités. Au premier trimestre, le nombre de message dont la taille était supérieure à 100 Ko a augmenté pour ensuite connaître une réduction marquée au deuxième trimestre. A la fin de l’année, les messages de plus de 50 Ko représentaient moins de 3 % du volume alors que les messages dont la taille était inférieure à 5 Ko représentaient 69;46 % de l’ensemble du courrier indésirable.



Répartition des tailles du courrier indésirable en 2011

Sujets du courrier indésirable

En 2011, le classement des sujets du courrier indésirable dans l’Internet russophone est mené de loin par la catégorie « Formation » (offres de séminaires et de formation). Au cours de l’année, la part de cette catégorie a fortement varié. Elle a oscillé entre 13 et 60 % de l’ensemble du courrier indésirable dans l’Internet russophone.

Voici le Top 5 :

  1. Formation : 35,75 %
  2. Autres marchandises et services : 15,53 %
  3. Immobilier : 9,92 %
  4. Médicaments, marchandises/services pour la santé : 9,58 %
  5. Publicités pour des services de diffusion de courrier indésirable : 7,50 %



Répartition du courrier indésirable par sujet en 2011

Pour rappel toutes les catégories de courrier indésirable (à l’exclusion de la publicité pour les propres services des diffuseurs de courrier indésirable) peuvent être réparties en deux groupes : les diffusions commanditées et les diffusions dans le cadre de partenariat Les diffusions commanditées reprennent principalement les diffusions de publicités pour lesquelles le commanditaire paie. Les diffusions dans le cadre de partenariat sont commandées via des partenariats. Il s’agit principalement de publicités pour des marchandises sans licence ou de la diffusion de programmes malveillants. Le diffuseur de courrier indésirable est payé en fonction du nombre d’articles achetés/d’ordinateurs infectés.

En 2011, la part des diffusions de courrier indésirable commandité a fortement augmenté dans l’Internet russophone. Elle n’est jamais passée en dessous de 50 % tout au long de l’année. Les niveaux les plus faibles ont été enregistrés en janvier et en août, deux mois qui se caractérisent généralement par une accalmie sur le front des publicités. Durant ces périodes, les diffusions de courrier indésirable dans le cadre de partenariat augmentent, mais également les diffusions de publicités pour les propres diffuseurs de messages non sollicités car ceux-ci doivent attirer à nouveau les clients qui ont suspendu leurs commandes durant l’été.



Part du courrier indésirable de partenariat et commandité en 2011

Pour rappel, la situation était différente l’année dernière : les volumes de courrier indésirable commandité et de partenariat étaient plus ou moins égaux (46,6 % et 47,7 % respectivement). Il est probable que suite aux démantèlements de réseaux de zombies en 2010, les propriétaires de réseaux de zombies ont commencé à limiter leur puissance et essaient de ne pas attirer trop d’attention. Désormais, ils essaient de ne pas augmenter mais bien de réduire l’ampleur des diffusions. Pour ce faire, ils réalisent des diffusions plus ciblées et évitent de réaliser des diffusions dans le cadre de partenariat vers des régions où ce type de diffusion n’est pas sollicité. Ainsi, la catégorie « Médicaments », qui est la principale catégorie de messages diffusés dans le cadre de partenariat n’a jamais été très populaire en Russie car en Russie, à la différence des Etats-Unis, il n’est pas nécessaire d’avoir une ordonnance pour acheter des médicaments. De la même manière, les cartes de crédit ne sont pas encore beaucoup utilisées en Russie pour les achats en ligne et c’est précisément ce mode de paiement qui est proposé dans le courrier indésirable de partenariat. De plus, il n’existe pas en Russie de lois contre le courrier indésirable (seule la loi fédérale sur la publicité traite d’une certaine manière du courrier indésirable), ce qui signifie que les petites entreprises font beaucoup appel à ce mode de publicité et par conséquent, le volume de courrier indésirable commandité est plus important en Russie qu’aux Etats-Unis ou en Europe.

Courrier indésirable et politique

Les élections législatives russes ont attiré l’attention des diffuseurs de courrier indésirable. Pour rappel, il y a quatre ans, du courrier indésirable à contenu politique avait également été diffusé avant les élections de la Douma. Toutefois, en 2011, nous avons observé un changement radical au niveau du contenu. Alors qu’il y a quatre ans, ces messages appelaient les destinataires à voter pour tel ou tel parti, aucun parti n’a tenté de convaincre les électeurs via le courrier indésirable en 2011. Les messages attaquaient le parti au pouvoir et le contenu allait de l’appel au boycott des élections jusqu’au renversement du gouvernement en place.

Le courrier indésirable politique était toujours diffusé après les élections. Le rassemblement de la place Bolotnaya a également capté l’attention des diffuseurs de courrier indésirable. Toutefois, ce sont des individus motivés par le commerce qui ont évoqué cet événement.

Phishing

La part moyenne de messages de phishing en 2011 a été multipliée par 15 et représentait 0,02 % de l’ensemble du trafic de messagerie.



Pourcentage de messages de phishing dans le courrier en 2011

Toutefois, à l’issue de l’année, un peu moins de 10 % de l’ensemble des déclenchements de l’Antivirus avaient été provoqués par des programmes utilisés dans l’organisation d’attaques de phishing (Trojan-Spy.HTML.gen et Trojan.HTML.Fraud.fc). Ces deux programmes présentent des pages HTML qui imitent les formulaires d’ouverture de session de services en ligne. Les données saisies dans ces formulaires sont transmises aux individus malintentionnés. La part de message contenant de tels programmes malveillants en pièce jointe représente environ 0,35 % de l’ensemble du courrier électronique.

TOP 3 des organisations ciblées par les attaques de phishing en 2011

  1. PayPal – 43,14 %
  2. eBay – 9,90 %
  3. Facebook – 7,04 %

Par rapport à l’année dernière, le trio de tête parmi les sociétés les plus souvent victimes d’attaques de phishing n’a pas changé. De plus, la part du site d’enchères eBay (9,9 %) et du réseau social Facebook (7 %), respectivement en deuxième et troisième position, n’a changé que de 0,1 % par rapport à 2010. La part du leader incontesté de ce classement, le système de paiement PayPal (43,1 %) a reculé de 10,2 % à l’issue de l’année.

Outre Facebook, les auteurs d’attaques de phishing ont montré un intérêt tout au long de l’année pour les réseaux sociaux Habbo et Orkut qui ont été victimes respectivement de 6,9 et de 2,6 % des attaques.

Les adaptes des jeux en ligne restent des cibles de prédilection pour les auteurs d’attaques de phishing. Ainsi, la part de World of Warcraft a augmenté d’environ 0,5 % par rapport à l’année dernière pour atteindre 2,2 %. RuneScape a été soumis à une part d’attaques similaire en 2011 (2 %).

Ainsi, les auteurs d’attaques de phishing en 2011 ont continué à cibler l’argent et les avoirs virtuels : les comptes de réseaux sociaux et les personnages et l’argent dans les jeux en ligne.

Pièces jointes malveillantes dans les messages

A l’issue de l’année, la part de pièces jointes malveillantes dans le courrier était de 3,8 %. Ce chiffre est 1,7 supérieur au résultat de l’année 2010. Il est intéressant de constater qu’en 2010 la part relativement importante de pièces jointes malveillantes fut liée à l’explosion estivale des diffusions malveillantes. Cette année, la situation est différente : la part de pièces jointes malveillantes tout au long de l’année n’est jamais passée en dessous de 2,5 %.



Part de pièces jointes malveillantes dans le courrier en 2011

Notons également que pour la deuxième année consécutive, les mois les plus actifs auront été les mois de juillet, août et septembre et c’est au cours de ces mois que nous avons pu observer les astuces les plus diverses chez diffuseurs pour propager le code malveillant.

Répartition des déclenchements de l’Antivirus Courrier par pays

En 2011, la répartition des déclenchements de notre Antivirus Courrier par pays ressemblait à ceci :

Répartition des déclenchements de l’Antivirus Courrier par pays

C’est en Russie que l’on a enregistré le plus grand nombre de déclenchements de l’Antivirus Courrier (12,3 %). En 2010, la Russie ne figurait pas dans le Top 10 des pays en fonction des déclenchements de l’Antivirus Courrier. La part de déclenchements de l’Antivirus Courrier aux Etats-Unis a augmenté de 1,5 % par rapport à 2010 et a atteint 10,9 %. Ce pays occupe la deuxième place du classement pour 2011. La position du Royaume-Uni est inchangée. Ce pays occupe la 3e place en 2011 et il a enregistré un recul de 0,9 % seulement.

Parmi les changements remarquables, il faut signaler l’augmentation de la part des déclenchements de l’Antivirus Courrier au Viet Nam (+ 2,7 %) et la réduction de cet indice en Allemagne (-2,6 %).

Il est intéressant de constater que tout au long de l’année, il y a eu un rapport inverse entre la dynamique de la diffusion de code malveillant aux Etats-Unis et en Inde : quand le volume de courrier indésirable malveillant était plus important aux Etats-Unis, il était sensiblement plus faible en Inde et inversement.



Dynamique du déclenchement de l’Antivirus Courrier aux Etats-Unis et en Inde en 2011.

Selon toute vraisemblance, ceci s’explique par la nature totalement différente des programmes malveillants diffusés dans ces deux pays. En Inde, les individus malintentionnés préfèrent envoyer des programmes qui permettent de construire des réseaux de zombies dans ce pays alors qu’aux Etats-Unis, les individus malintentionnés sont intéressés par le vol de données personnelles et financières. Si l’on tient compte du fait que les ressources des individus malintentionnés sont limitées, le tableau est clair : les mêmes réseaux de zombies cherchent alternativement en Inde à développer de nouveaux réseaux et cherchent à gagner de l’argent via le vol de données des utilisateurs américaines.

Programmes malveillants diffusés dans le courier



Top 10 des programmes malveillants dans le courrier en 2011

Pour la deuxième année consécutive, la première place du classement des programmes malveillants détectés dans le courrier revient à Trojan-Spy.HTML.Fraud.gen. La part de ce programme malveillant a augmenté de 3,5 % par rapport à l’année dernière. Ce programme malveillant (de phishing) se présente sous la forme de pages HTML qui imitent le formulaire d’enregistrement de services bancaires ou autres en ligne. Les données saisies dans ce formulaire sont envoyées aux individus malintentionnés. Pour en savoir plus sur ce programme, lisez cet article.

En troisième position, nous retrouvons le ver Worm.Win32.Mabezat.b, qui se propage également aux adresses de messagerie détectées sur l’ordinateur infecté. De plus, il crée ses copies sur les disques locaux et les ressources réseau accessibles de l’ordinateur infecté.

Le programme malveillant Trojan.HTML.Fraud.fc a fait son entrée dans notre classement en avril 2011 et au deuxième trimestre, il a atteint la troisième position. A l’issue de l’année 2011, ce cheval de Troie, sous la forme d’une page HTML de phishing visant à voler les données financières d’internautes brésiliens, s’est retrouvé en 6e position.

Le compacteur Packed.Win32.Katusha.n, que l’on avait retrouvé en quatrième position au deuxième trimestre, a terminé l’année en huitième position. Ce programme permet de déjouer la détection d’autres programmes malveillants par les outils de protection contre les virus.

Sur dix programmes malveillants de notre classement, sept sont des vers de messagerie. Certains d’entre eux sont restés dans le classement pratiquement tout au long de l’année 2011.

En deuxième et quatrième position, nous retrouvons Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.NetSky.q, des vers de messagerie qui ne remplissent que deux fonctions : la collecte d’adresses de messagerie sur les ordinateurs infectés et la diffusion de leurs copies vers celles-ci. Ces programmes malveillants ont fait leur entrée dans le classement en 2010. La part de messages contenant Email-Worm.Win32.Mydoom.m a doublé par rapport à 2010. La part du programme malveillant Email-Worm.Win32.NetSky.q a légèrement augmenté par rapport à l’année dernière.

Deux autres représentants de ces familles, à savoir Email-Worm.Win32.Mydoom.l et Email-Worm.Win32.NetSky.ghc se retrouvent respectivement en septième et en neuvième position. Leur fonction est identique à celle décrite ci-dessus.

Email-Worm.Win32.Bagle.gt, autre ver de messagerie habitué de notre classement, occupe la quatrième position. Outre cette fonction classique des vers de messagerie, ce ver de messagerie contacte une ressource Internet afin de télécharger des programmes malveillants.

Conclusion

La pression de la communauté informatique internationale et des autorités policières et judiciaires sur le courrier indésirable porte ses fruits. Les utilisateurs reçoivent moins de courrier indésirable. Toutefois, dans l’ensemble les messages non sollicités sont devenus plus dangereux : le pourcentage de messages malveillants a augmenté. Le nombre d’attaques de phishing ciblées augmente également.

Nous nous attendons à ce que les auteurs d’attaques de phishing ciblent de plus en plus souvent des groupes précis d’utilisateurs et le courrier indésirable va contenir de plus en plus de messages imitant le style des notifications de ressources populaires. Dans les deux cas (attaque de phishing ciblée ou réception d’une nouvelle notification d’une ressource connue), il est très difficile de faire la différence entre un faux message et un message authentique. Par conséquent, les utilisateurs seront soumis à un plus grand risque d’infection, tandis que les données confidentielles des utilisateurs et des entreprises seront plus exposées au vol.

Dans le but d’économiser les ressources et de contourner les dispositifs de lutte contre le courrier indésirable, les propriétaires de réseaux de zombies répartissent les victimes en différents segments. Ils réduisent le volume de leurs diffusions et les rendent plus efficaces. Cette tendance va se maintenir.

Dans certaines régions, par exemple en Europe de l’Ouest, la lutte contre le courrier indésirable a entraîné une réduction du flux de messages non sollicités en provenance de ces pays. La première place revient désormais à l’Asie et à l’Amérique latine. Cette situation va se maintenir jusqu’à ce qu’une loi de lutte contre le courrier indésirable digne de ce nom soit adoptée dans ces régions. La part de l’Afrique dans le trafic de messages non sollicités va probablement augmenté. Le nombre d’ordinateurs sur ce continent augmente chaque année et la qualité des services Internet s’améliore, ce qui n’est pas le cas des connaissances des utilisateurs sur les dangers des ordinateurs.

La lutte contre le courrier indésirable et le phishing doit tenir compte de ces tendances et des nouvelles stratégies des auteurs d’attaques de phishing et des propriétaires de réseaux de zombies. Quant aux utilisateurs, dans ce nouveau contexte, ils doivent être encore plus vigilants.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *