Bulletin de Kaspersky sur la sécurité. Spam en 2014

Chiffres de l’année

D’après les données de Kaspersky Lab pour 2014 :

  • La part de courrier indésirable (spam) en 2014 a atteint une moyenne de 66,76%, soit 2,84 de point de pourcentage de moins qu’en 2013.
  • 74,5 % des messages non sollicités envoyés ne dépassaient pas 1 Ko.
  • 16,71 % de l’ensemble du courrier indésirable mondial provenait des Etats-Unis.
  • La majeure partie des messages malveillants (9,8 %) ciblait des utilisateurs aux Etats-Unis.
  • 260 403 422 déclenchements du système Anti-Phishing ont été enregistrés.
  • Le Brésil est devenu le leader au niveau du pourcentage d’utilisateurs victimes d’attaques de phishing : 27,47 % de l’ensemble des utilisateurs de nos produits dans le pays.
  • Les habitants de Russie ont été le plus souvent victimes d’attaques de phishing : 17,28 % du total des attaques pour le monde entier.
  • 42,59 % des attaques de phishing visaient des portails internationaux qui regroupent plusieurs services accessibles via un seul compte.

Popularité des périphériques nomades et spam

La popularité croissante des périphériques mobiles a un impact sur le spam. Le volume de publicités pour des services de diffusion de messages non sollicités vers des périphériques nomades augmente, à l’instar des offres adressées aux organisateurs de ces campagnes. Les individus malintentionnés exploitent eux aussi la popularité des périphériques nomades : on a vu apparaître dans le courrier des messages malveillants sous la forme de faux messages envoyés depuis des smartphones ou sous les traits de notifications d’applications mobiles très utilisées.

Publicités envoyées par les spammeurs et pour les spammeurs

En 2014, les spammeurs ont plus souvent proposé des services de diffusion de publicités par SMS et autres services de messagerie instantanée tels que WhatsApp, Viber, etc. qui comptent de nombreux utilisateurs. Les spammeurs recherchent ce genre de commanditaires à l’aide de diffusions de messages non sollicités traditionnelles. Ce type de publicité est également en augmentation.

Nous avons également observé des publicités pour des produits qui pourraient intéresser des spammeurs « mobiles ». Ils reçoivent ainsi des offres pour des bases de données de numéros de téléphone et autres types de coordonnées organisées selon des critères définis et prévues pour attirer un public cible précis. Ces bases sont souvent créées à l’aide de campagnes de phishing qui permettent aux organisateurs de récolter les données personnelles des victimes.

Fausses notifications envoyées depuis des périphériques nomades

Les campagnes de diffusion de spam qui imitent des messages envoyés depuis des périphériques nomades sont devenues populaires. Nous avons observé des campagnes de ce genre en plusieurs langues. Ces messages mentionnaient des périphériques tels que des iPad, des iPhones, Samsung Galaxy et d’autres modèles. Ces messages ont tous un point commun : un texte laconique (voire l’absence de texte) et une signature du genre "Sent from my iPhone".  En règle générale, ces messages contiennent des malwares.

Selon toute évidence, les spammeurs estiment qu’un message prétendument envoyé depuis un iPhone avec une pièce jointe et la signature correspondante possède un air de légitimité. Il est vrai que la mise en page des messages envoyés depuis des périphériques mobiles est très rudimentaire. Qui plus est, les expéditeurs se contentent de joindre un fichier ou un lien car la rédaction d’un long message à l’aide du clavier d’un smartphone n’est pas du goût de tout le monde.

Dans certains cas, les messages contenaient des archives dont le nom laissait entendre qu’elles renfermaient des photos. En réalité, il s’agissait d’une astuce pour diffuser les malwares les plus divers.

Les messages prétendument envoyés depuis des périphériques mobiles contiennent également des liens publicitaires, le plus souvent vers des sites spécialisés dans la vente illicite de médicaments. Vous trouverez ci-dessous un exemple d’un de ces messages dans lequel les spammeurs se sont contentés d’utiliser quelques mots clés en guise de texte.

Dans leur volonté de déjouer les filtres antispam, les spammeurs tentent également de fausser les en-têtes techniques des messages (Data, X-Mailer, Message-ID) afin de faire croire que ces derniers proviennent vraiment d’un périphérique nomade. Toutefois, une vérification permet de voir que le contenu de ces en-têtes est incorrect.

Fausses notifications d’applications mobiles

L’utilisation généralisée des périphériques mobiles a entraîné l’émergence d’un nouveau phénomène : le spam qui se présente sous les traits de fausses notifications en provenance de diverses applications mobiles, et principalement de WhatsApp et Viber. Les utilisateurs sont déjà habitués à la synchronisation des applications multiplateformes, à la synchronisation des coordonnées entre différentes applications et aux notifications de celles-ci. Ils ne s’inquiètent dès lors pas lorsqu’ils reçoivent des messages électroniques indiquant qu’ils ont reçu un message dans un client de messagerie mobile. Et ils ont tort car ces applications mobiles ne sont pas associées au compte de messagerie électronique de l’utilisateur et par conséquent, le caractère douteux de tels messages est parfaitement évident.

Ainsi, il est tout à fait impossible que WhatsApp envoie un message électronique à un utilisateur pour lui signaler qu’il a reçu une photo via WhatsApp car à aucun moment de la procédure d’activation du service, l’utilisateur de WhatsApp n’est invité à renseigner une adresse de messagerie électronique.

De plus, cette « photo » est archivée, ce qui doit également mettre le destinataire en garde. En effet, le compactage d’une photo ne réduit pas vraiment la taille de celle-ci. Par contre, les archives sont souvent employées pour dissimuler des pièces jointes malveillantes. Et dans ce cas-ci, l’archive contenait bel et bien un malware.

Autre exemple : une notification sur une note vocale prétendument envoyée par Hangouts contient un hyperlien qui se présente sous la forme du bouton de lecture « Play ». L’utilisateur qui clique sur « Play » ne va pas entendre le contenu de la note vocale, mais arrivera sur un site légitime compromis qui contient un JavaScript dont la fonction consiste à rediriger l’utilisateur vers une page de publicité.

Et une notification sur la réception d’une note vocale prétendument envoyée via Viber contient le bouton « Listen to Voice Message » qui entraîne le téléchargement d’une archive contenant un programme malveillant.

Événements mondiaux et courrier indésirable

L’année 2014 aura été particulièrement riche en événements d’envergure internationale : la crise en Ukraine, l’épidémie de fièvre Ebola, les jeux olympiques de Sotchi et la Coupe du monde de football au Brésil. Les spammeurs ont exploité chacun de ces événements pour attirer l’attention des destinataires sur les messages.

Jeux olympiques et Coupe du monde de football

Les jeux olympiques de Sotchi et la Coupe du monde de football sont les seuls événements sportifs que nous avons rencontrés dans le spam en 2014. Il faut signaler que dans les deux cas, les campagnes les plus actives ont été réalisées dans la langue du pays où l’événement avait lieu. Autrement dit, les individus malintentionnés visaient principalement les utilisateurs locaux.

Les messages publicitaires non sollicités envoyés à l’approche de ces compétitions faisaient la promotion dans de nombreux cas de produits ornés de la symbolique correspondante. Toutefois, les symboles des jeux olympiques de Sotchi n’ont pas été les seuls à avoir été utilisés. Certains fabricants ont proposé des articles ornés des symboles des jeux olympiques de Moscou de 1980.

Les auteurs d’escroquerie à la nigériane ne sont pas restés les bras croisés. Ainsi, avant les jeux olympiques, ils ont envoyés des messages au nom de spectateurs qui demandaient de l’aide pour louer une chambre à Sotchi ou pour payer différents services. Ce fanatique de sport était prêt à transférer 850 000 euros à la personne qui lui viendrait en aide. Une solide récompense était promise à la bonne âme qui réagirait et les frais préalables semblaient raisonnables comparés à la somme promise. Mais si cette personne transférait son argent aux escrocs, c’est en vain qu’elle allait attendre la centaine de milliers d’euros, son invité et la récompense promise.

Nous avons également recensé un volume important de messages d’escroquerie qui signalaient aux destinataires qu’ils avaient remporté un prix dans une loterie officielle de la Coupe du monde de football. Bien entendu, pour recevoir le prix, il fallait d’abord payer des frais. Mais malheureusement, le « vainqueur » ne recevait jamais ce prix gagné dans une loterie à laquelle il n’avait jamais participé.

Des messages semblables sont envoyés avant chaque grand match de football.

Outre les publicités pour des articles bien réels et les escroqueries, nous avons également observé, avant la Coupe du monde de football, des messages malveillants contenant des liens supposés mener le destinataire vers un site de ventes de billets pour assister à un match.

Décès de Nelson Mandela

On peut supposer que les auteurs d’escroquerie à la nigériane ne pleurent pas la disparation de leaders politiques car ces événements offrent un contexte parfait pour une histoire impliquant un héritage de plusieurs millions. La mort de Nelson Mandela à la fin de l’année 2013 a déclenché une vague de messages d’escroquerie à la nigériane. Des individus malintentionnés, au nom de plusieurs fonds, annonçaient aux destinataires qu’ils avaient reçu une récompense de Mandela, des « employés de banque » proposaient de répartir discrètement le contenu d’un compte secret de la famille de Mandela, etc. Dans certains cas, les messages contenaient des liens vers des coupures de presse authentiques afin de confirmer l’authenticité du message.

Crise politique en Ukraine

L’instabilité politique et les conflits armés sont deux autres sources d’inspiration pour les auteurs d’escroquerie à la nigériane. Nous avions pris l’habitude de trouver des messages qui exploitaient les conflits dans différents pays, principalement au Proche-Orient. Mais en 2014, les escrocs se sont focalisés sur la situation en Ukraine. Les auteurs des messages d’escroquerie se sont fait passer pour des hommes politiques et des hommes d’affaires ukrainiens déchus qui cherchaient à récupérer des millions bloqués au pays. Il y a également eu des messages envoyés au nom d’hommes d’affaires russes, victimes des sanctions économiques.

Comme c’est souvent le cas dans les escroqueries à la nigériane, le destinataire se voyait promettre une importante somme d’argent pour venir en aide à l’expéditeur en situation difficile. Le destinataire qui décidait de réagir à la demande de ces escrocs devait envoyer de l’argent pour couvrir toute une série de frais tels que des taxes, des impôts, des billets d’avion, des chambres d’hôtel, etc.

Epidémie d’Ebola

L’épidémie d’Ebola a également attiré l’attention des spammeurs. Les auteurs d’escroquerie à la nigériane ont envoyé des messages au nom d’Africains infectés qui souhaitaient léguer leur patrimoine à une personne au bon cœur. Certains escrocs ont fait preuve d’originalité en envoyant des invitations qui proposaient au destinataire de participer à une conférence de l’Organisation mondiale de la santé (OMS) à titre d’invité et qui lui promettaient la somme de 350 000 euros et une voiture à titre d’aide en tant que représentant de l’OMS en Grande-Bretagne.

Les diffuseurs de malwares ont exploité la peur du public face à cette maladie dangereuse et mortelle et ils ont envoyé, au nom de l’OMs, des messages contenant un lien vers les mesures à prendre pour éviter la contagion. Il y a également eu des messages au contenu similaire où les « informations de l’OMS » étaient compactées dans une archive.

En réalité, le lien et l’archive contenaient un malware développé pour voler les données des victimes. Dans la lettre mentionnée ci-dessus, il s’agissait de Backdoor.Win32.DarkKomet.dtzn.

Astuces des diffuseurs de spam

Au cours des dernières années, les spammeurs ont utilisé des techniques de contournement des filtres antispam que l’on peut qualifier de classiques.

Les messages proposant l’achat d’actions de petites sociétés constituent un exemple classique de l’utilisation d’astuces connues depuis longtemps. Ces messages font partie des campagnes d’escroquerie de type « pump and dump » (gonfler le prix et vendre). Le principe est simple : les escrocs achètent des grands volumes d’actions bon marché, ils envoient des messages non sollicités qui évoquent la hausse prochaine du cours de ces actions en vue de créer une demande, puis ils se débarrassent de ces actions lorsque le cours a augmenté. Bien que ce type d’escroquerie ait connu son heure de gloire en 2006-2007, on le rencontre toujours aujourd’hui.

En 2013, ce type de message non sollicité contenait uniquement un texte de promotion qui mentionnait le cours actuel de l’action et son cours prévu. Dans certains cas, les messages contenaient une signature automatique signalant une prétendue analyse antivirus du message. La langue de la signature correspondait au domaine géographique auquel appartenait l’adresse électronique du destinataire. (Cette astuce qui sert à convaincre le destinataire de la légitimité et du caractère inoffensif du message est souvent employée dans le courrier indésirable.) Afin d’augmenter les chances de contournement des filtres antispam, le nom de la société au sein d’une campagne est habituellement « brouillé » à l’aide d’un trait de soulignement ou d’espaces. Des morceaux de texte sont également remplacés.

En 2014, la mise en page des messages d’escroquerie en bourse a changé. Ces messages abordent une mise en page plus crédible et leur détection est plus compliquée. Pour en arriver là, les spammeurs ont utilisé des astuces bien connues pour déjouer les filtres antispam :

  1. Courrier indésirable graphique. Le texte de la publicité se trouve directement sur une image. Les logos des sociétés sont utilisés. Dans le cadre d’une même campagne, le contenu, la couleur et la taille des lettres ou la couleur du fond peuvent changer. (Signalons que les filtres antispam modernes qui utilisent depuis longtemps des modules d’analyse graphique sont parfaitement capables d’identifier ce type de spam.)
  2. Du texte parasite est ajouté à la fin de chaque message et différentes couleurs, pas toujours proche de la couleur de l’arrière-plan, sont utilisées. En guise de texte, les spammeurs utilisent des extraits de romans, voire des articles de Wikipedia. Cette astuce est utilisée pour que le filtre antispam ne détecte pas le message non sollicité qui sera considéré, par exemple, comme un extrait d’un roman. Elle donne également un caractère unique à chaque message.

Selon toute vraisemblance, les spammeurs comptent compenser le côté archaïque des méthodes par des volumes importants. Ces messages d’escroquerie sont diffusés par centaines de millions.

Mais on trouve également des astuces plus modernes pour "brouiller" le texte. Les spammeurs sont capables de "brouiller" le texte principal du message sans nuire à sa lisibilité. Ici, le texte "parasite" prend la forme de balises HTML. Les spammeurs placent les balises d’ouverture et de fermeture dans le texte principal, en code HTML.  Une fois que ce "brouillage" a été réalisé, le destinataire voit un texte normal, tandis que le filtre antispam considère chaque message comme un message unique.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

La part du courrier indésirable (spam) dans le trafic de messagerie en 2014 a diminué de 2,84 points de pourcentage pour atteindre 66,76 %. Depuis le pic de 85,2 % atteint en 2009, le pourcentage de messages non sollicités n’a cessé de diminuer. Cela s’explique par le fait que la publicité pour les biens et les services licites abandonne le spam au profit de plateformes légales et plus pratiques.

Part du courrier indésirable dans le trafic de messagerie en 2014

Alors que la part de spam dans le courrier en 2013 n’avait que très peu varié au fil des mois, nous avons observé d’importants écarts en 2014, surtout au premier semestre. Le minimum atteint pour l’année (63,5 %) a été enregistré en mars et le pic de 2014 (71,1 %) a été enregistré en avril. Le deuxième semestre a été plus stable.

Pays, source du courrier indésirable

Pays, source de courrier indésirable en 2014

En 2013, la Chine avait été le leader incontesté des pays source de courrier indésirable. Toutefois en 2014, le pourcentage de spam envoyé depuis ce pays a reculé de 17,44 points de pourcentage. La Chine se retrouve désormais en 3e position, derrière la Russie en 2e position (progression de 1,98 point de pourcentage) et les Etats-Unis (recul de 1,08 point de pourcentage) en 1re position.

Trois pays d’Europe de l’Ouest ont fait leur entrée dans le Top 10 des pays source de courrier indésirable : Allemagne (+2,79 points de pourcentage), Espagne (+2,56 points de pourcentage) et France (+2,33 points de pourcentage). De leurs côtés, la Corée du Sud (-10,45 points de pourcentage) et Taiwan (-3,59 point de pourcentage) qui occupaient respectivement la 3e et 4e position ont chuté de 10 places chacun pour se retrouver en 13e et 14e position respectivement.

Taille des messages non sollicités

Taille des messages non sollicités, 2014

La taille des messages non sollicités devient de plus en plus petite : en 2014, les messages non sollicités inférieurs à 1 Ko représentent 77,26 %, soit une progression de 2,76 points de pourcentage par rapport à 2013.

En règle générale, ces messages contiennent des liens vers des sites de publicités. Les spammeurs confient la rédaction du texte à des robots qui créent des phrases courtes de quelques mots tirés de dictionnaires spécialisés ou qui remplacent les mots par des synonymes dans chaque message. Cela donne des messages uniques, ce qui complique le filtrage tandis que la taille réduite de ces messages permet aux spammeurs de réaliser une économie considérable au niveau du trafic.

Pièces jointes malveillants dans le courrier

Pour la 4e année consécutive, les malwares conçus pour voler les données confidentielles des utilisateurs, principalement les noms d’utilisateur et les mots de passe de services de banque électronique, occupent la 1re position de notre classement des malwares diffusés par e-mail.

Top 10 des malwares diffusés par e-mail en 2014

Trojan-Spy.HTML.Fraud.gen occupe une nouvelle fois la tête du Top 10. Ce malware est une page HTML de phishing sur laquelle la victime doit saisir ses données confidentielles.

Le ver de messagerie Email-Worm.Win32.Bagle.gt occupe la 2e position. La principale fonction de tout ver de messagerie, y compris Bagle, est la collecte d’adresses de messagerie sur les ordinateurs infectés et la propagation de sa copie à celles-ci. Le ver de messagerie de la famille Bagle peut également recevoir des commandes à distance pour télécharger et installer d’autres programmes malveillants.

Trojan.JS.Redirector.adf, qui avait occupé la 1re position du classement au 3e trimestre 2014, se trouve en 3e position du classement annuel. Le programme est diffusé par e-mail dans une archive ZIP qui n’est pas protégée par un mot de passe. Le malware se présente sous la forme d’une page HTML dotée d’un script qui redirige l’utilisateur vers un site d’escroquerie lorsqu’il ouvre la page. La victime y est en général invitée à télécharger Binbot, une application qui permet d’utiliser un service d’échange automatique d’options binaires.

Des représentants de la famille Bublik occupent la 4e et la 7e position. La tâche de ces Trojans consiste à télécharger et installer d’autres malwares sur l’ordinateur infecté à l’insu de la victime. Ils téléchargent souvent une des modifications du célèbre Trojan bancaire ZeuS/Zbot. Les Trojan de la famille Bublik sont des fichiers EXE dont l’icône est celle d’un document Adobe afin de confondre la victime.

Email-Worm.Win32.Mydoom.l occupe la 5e position. Ce ver se propage en tant que pièce jointe d’un message, via des réseaux d’échange de fichiers ou via les ressources réseau accessibles en écriture. Le malware récolte les adresses vers lesquelles il va se diffuser sur les ordinateurs infectés. Le ver permet à ses opérateurs d’administrer l’ordinateur infecté à distance.

Trojan-Banker.Win32.ChePro.ink occupe la 6e position. Il se présente sous la forme d’un applet CPL (composant de panneau de configuration) qui va télécharger des Trojans développés pour voler des informations financières confidentielles. Dans la majorité des cas, les malwares de ce type visent des banques établies au Brésil et au Portugal.

Trojan-Downloader.Win32.Dofoil.ea, un Trojan de téléchargement, occupe la 8e position. Ce malware télécharge un autre malware sur l’ordinateur de la victime qui vole diverses informations de l’utilisateur (principalement, les mots de passe) et les envoie aux individus malintentionnés.

Backdoor.Win32.Androm.dax, en 9e position, est un malware de la famille des bots mobiles universels Andromeda : Gamarue. Ces bots sont dotés des fonctionnalités suivantes : le téléchargement, l’enregistrement et le lancement d’un fichier exécutable malveillant, le téléchargement et le chargement d’une DLL (sans l’enregistrer sur le disque) et la possibilité de se mettre à jour et de se supprimer. Les fonctionnalités du bot sont enrichies à l’aide de plug-ins que les individus malintentionnés chargent quand ils le souhaitent.

Exploit.JS.CVE-2010-0188.f referme le Top 10. Ce code d’exploitation se présente sous les traits d’un document PDF et il exploite une vulnérabilité dans Acrobat Reader 9.3 et antérieur. Il faut savoir que cette vulnérabilité est connue depuis bien longtemps et les utilisateurs qui mettent à jour leurs applications régulièrement n’ont rien à craindre. Toutefois, si la version installée d’Adobe est ancienne, l’exploitation de la vulnérabilité permet d’installer et d’exécuter Trojan-Dropper.Win32.Agent.lcqs. Ce malware installe et lance à son tour le script malveillant Backdoor.JS.Agent.h qui récolte les informations relatives au système, les envoie au serveur des individus malintentionnés et reçoit diverses instructions. Les instructions et leurs résultats sont transmis sous forme chiffrée.

Si on oublie les malwares spécifiques pour se concentrer sur les familles de malwares fréquemment diffusés par courrier, la tête du classement revient alors à la famille Andromeda. Elle représente 11,49 % de l’ensemble des malwares découverts dans les pièces jointes malveillantes. Ces programmes permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu des victimes et de les enrôler dans des réseaux de zombies.

ZeuS/Zbot (9,52 %) occupe la 2e position. Il s’agit d’une des familles de malwares spécialisées dans le vol d’informations bancaires, et par conséquent du vol de l’argent des utilisateurs, les plus connues et les plus accessibles. Ce malware est souvent téléchargé sur l’ordinateur de la victime via des programmes de téléchargement diffusés dans le spam.

La famille Bublik referme le trio de tête avec 8,53 %. Il s’agit d’une famille de malwares de téléchargement qui télécharge souvent sur l’ordinateur infecté de l’utilisateur des représentants de la famille Zeus/Zbot décrite ci-dessus.

Pays, cibles des diffusions de malwares

Répartition des déclenchements de l’antivirus protégeant les e-mails par pays en 2014

Pour la 3e année consécutive, le trio de tête des pays qui reçoivent le plus de malwares reste inchangé : il s’agit des Etats-Unis, de la Grande-Bretagne et de l’Allemagne. Les Etats-Unis (9,80 %) ont conservé leur position dominante, et ce malgré un recul de 2,2 points de pourcentage. La Grande-Bretagne (9,63 %) se hisse à la 2e position, après avoir gagné 1,63 point de pourcentage et relégué l’Allemagne en 3e position (9,22 %).

Il convient également de noter la progression de la France (3,16 %) de la 16e à la 9e position du classement.

La Russie (3,24 %) passe quant à elle de la 9e à la 8e position.

Astuces des individus malveillants

En 2014, les individus malveillants ont employé des astuces qui ont fait leur preuve pour confondre les destinataires et diffuser les pièces jointes malveillantes, et ils ont également introduit de nouvelles techniques.

Nous avons repéré des messages contenant des archives jointes au format .arj. Ce format a été créé il y a longtemps et n’est plus très utilisé à l’heure actuelle. Voilà pourquoi même les destinataires qui traitent les archives jointes avec prudence ne pensent pas toujours que cette pièce jointe présente un risque. L’autre avantage de la compression ARJ pour les individus malintentionnés est la réduction maximale de la taille des fichiers.

Outre les archives inhabituelles, les individus malintentionnés ont diffusé des messages malveillants avec des fichiers dont l’extension est inhabituelle pour une pièce jointe, par exemple .scr. En général, les fichiers portant cette extension sont des fonds d’écran ou des économiseurs d’écran.

Les fausses notifications provenant d’une banque représentent un des types de spam et de phishing les plus répandus. Cette année, les spammeurs ont commencé à envoyer de faux messages plus élaborés, en ajoutant plus de liens vers les ressources et services officiels de l’organisation au nom de laquelle ils diffusent les fausses notifications. Il est évident que les individus malintentionnés ont pensé qu’un message contenant plusieurs liens légitimes avait plus de chance d’être considéré comme un message légitime par les destinataires et par les filtres anti-spam. Mais le message contenait toujours un lien malveillant qui entraînait le téléchargement d’une archive contenant un malware.

Dans certains cas, le lien réel était dissimulé à l’aide d’un service de raccourcissement d’URL qui redirigeait l’utilisateur vers un service connu de stockage de données dans le Cloud. Les cybercriminels y avaient placé un malware présenté comme un document important.

Phishing

L’élaboration du rapport statistique sur le phishing repose sur une méthode utilisée pour la première fois lors de la préparation de notre rapport intitulé "Cybermenaces financières en 2013" dont la publication remonte à avril 2014   C’est la raison pour laquelle les données relatives au phishing en 2014 sont comparées aux données de ce rapport, et non pas à celle du rapport "Spam en 2013".

Source des données

Le rapport repose sur les données de déclenchement de l’Anti-Phishing récoltées par Kaspersky Security Network. Le système de protection contre le phishing est composé de trois modules :

2 modules d’identification :

  • L’Anti-Phishing hors-ligne contient une base reprenant les masques de liens* de phishing les plus récents et il fonctionne sur les périphériques des utilisateurs. Il y a déclenchement lorsque le système analyse un lien qui correspond à un des masques de lien de phishing de la base.
  • L’Anti-Phishing dans le Cloud contient l’ensemble des masques* des liens de phishing. Le système consulte le service dans le Cloud quand l’utilisateur se trouve en présence d’un lien dont le masque ne figure pas dans la base anti-phishing locale. Les bases dans le Cloud sont actualisées bien plus rapidement que les bases locales.

1 module heuristique :

  • Module heuristique Internet du système Anti-Phishing. Doté d’une sélection de règles heuristiques, le module se déclenche lorsque l’utilisateur clique sur un lien qui mène à une page de phishing et que les bases de Kaspersky Lab ne contiennent pas d’informations sur cette page.

*Un masque de lien de phishing est une suite de caractères qui décrit un groupe de liens considérés comme des liens de phishing par le système. Un seul masque permet de détecter jusqu’à plusieurs milliers de liens de phishing actifs.

Sur l’ensemble de l’année 2014, le système Anti-Phishing s’est déclenché 260 403 422 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab.  Dans 55 % (143 827 512)  des cas, les déclenchements ont été provoqués par les modules d’identification, et dans 45 % (116 575 910), par le module heuristique Internet.

Lien de phishing : pas seulement dans le courrier

Les modules d’identification du système Anti-Phishing (hors-ligne et dans le Cloud) analysent les liens dans le navigateur de l’utilisateur et dans les messages envoyés par messagerie instantanée. Sur l’ensemble des déclenchements de ces composants, seuls 6,4 % concernent des liens dans des messages électroniques. Cela signifie que les auteurs d’attaques de phishing ont commencé à abandonner les messages de phishing au profit d’autres méthodes de diffusion et qu’ils préfèrent également d’autres modes d’escroquerie.

De plus en plus souvent, les liens vers des sites de phishing sont diffusés via les réseaux sociaux. Nous ne parlons pas ici uniquement de l’utilisation de comptes volés, mais de techniques qui permettent d’attirer les utilisateurs peu méfiants vers des liens de phishing qui se propagent seuls parmi les contacts sur un réseau social.

Ainsi, en juillet 2014, un lien vers une fausse pétition de soutien à Luis Alberto Suarez a été diffusé sur les réseaux sociaux à l’aide de cette technique. Pour pouvoir signer la pétition, les utilisateurs devaient saisir leurs données personnelles, mais celles-ci étaient en réalité envoyées aux auteurs de l’attaque de phishing. Ensuite, la victime était invitée à partager le lien d’accès à la pétition avec ses amis sur Facebook. Par conséquent, ce lien vers la page de phishing s’est propagé rapidement parmi les amateurs de football et leurs amis.

Exemple de diffusion d’une page de phishing à l’aide des utilisateurs d’un réseau social

Messages de phishing

Il ne faut pas croire pour autant que les escrocs ont abandonné la diffusion de liens de phishing par courrier électronique. Cette méthode demeure toujours la méthode la plus populaire pour la diffusion de liens vers de fausses pages d’institutions financières. Ceci explique peut-être pourquoi les escrocs préfèrent envoyer les messages contenant les liens vers des sites de phishing pendant les jours ouvrables, lorsque les utilisateurs vérifient leur courrier au travail.

Diagramme du déclenchement des modules d’identification du système Anti-Phishing dans les clients de messagerie des utilisateurs

Les auteurs d’attaques de phishing et les escrocs privilégient toujours l’envoi de messages de phishing avec des fichiers malveillants ou des fichiers HTML joints, ou encore des formulaires HTML repris dans le corps du message.

Les fichiers HTML joints au message ou les formulaires HTML permettent aux escrocs de réduire les coûts liés au maintien d’une page sur Internet. Schéma d’une attaque standard : l’utilisateur reçoit un message prétendument envoyé par une organisation pour signaler que le compte a été bloqué, qu’il y a eu une fuite de données, qu’une activité suspecte a été enregistrée, etc. En raison de ces événements inquiétants, le destinataire est invité à actualiser ses informations personnelles à l’aide du fichier/formulaire HTML joint au message. Les données saisies par la victime sont envoyées aux individus malintentionnés. Tout au long de l’année, nous avons détecté une multitude de diffusions de ce genre au nom d’organisations les plus diverses. La majorité d’entre elles étaient des organisations financières.

Exemple de message avec une fichier HTML joint

Souvent lors d’une attaque de phishing à l’aide d’une pièce jointe HTML envoyée aux clients d’une organisation déterminée, les escrocs tentent d’obtenir le maximum d’informations financières de la victime, parfois sans rapport avec l’organisation.

Exemple de message avec une fichier HTML joint

Dans les exemples repris ci-dessus, les escrocs tentent d’obtenir non seulement des données permettant d’accéder à l’espace personnel de la victime sur le site de l’organisation, mais également d’autres informations personnelles, dont les données des cartes bancaires.

Grande chasse

Comme nous l’avons déjà dit, les individus malintentionnés qui attaquent les clients de différentes organisations cherchent souvent à obtenir non seulement les informations d’authentification, mais également les données des cartes bancaires des victimes ainsi que d’autres informations confidentielles. Certains escrocs en profitent par exemple pour récolter des adresses de messagerie active qu’ils revendront aux spammeurs. D’autres se font passer pour une organisation financière afin d’obtenir dans un premier temps les données financières de l’utilisateur, puis son argent.

Le danger de ce type d’attaque de phishing tient à ceci : peu importe les méthodes de lutte contre le phishing adoptées par l’organisation dont les clients ont été victimes d’une attaque de phishing (vérification à deux ou trois facteurs, mots de passe à usage unique, etc.), celle-ci ne peut protéger que le compte utilisateur du client. Si l’utilisateur a transmis aux escrocs d’autres données personnelles, l’organisation attaquée ne pourra rien faire.

Nous avons fourni ci-dessus des exemples d’attaques de phishing "étendues" qui reposaient sur l’utilisation d’une pièce jointe HTML. Voici un autre exemple qui met en scène une attaque de phishing contre le système de paiement Paypal. L’utilisateur inattentif saisit ses informations d’identification et les envoie aux escrocs. Ensuite, une page contenant des champs de saisie des informations de la carte bancaire et d’autres informations s’ouvre. L’utilisateur pense qu’il se trouve dans son espace personnel sur PayPal et il saisit les données sans aucune crainte. Une fois que les données ont été envoyées aux escrocs, l’utilisateur est redirigé vers le site officiel de PayPal afin qu’il n’ait aucun soupçon sur un vol de données.

Exemple d’attaque de phishing contre le système de paiement Paypal

Il se peut que l’escroc ne parvienne pas à accéder à l’espace personnel de la victime sur PayPal car la société a fourni de gros efforts pour garantir la sécurité de ses utilisateurs et propose des mesures complémentaires au niveau de la protection des comptes. Ils obtiennent toutefois assez d’informations pour voler de l’argent à la victime, même sans utiliser PayPal.

Et voici un autre exemple : une attaque de phishing contre une des plus grandes organisations dans le domaine des télécommunications. A première vue, les escrocs ont uniquement besoin du mot de passe et du nom d’utilisateur pour accéder à l’espace personnel de l’utilisateur. Toutefois, une fois que l’utilisateur entre dans cet "espace personnel" factice, les escrocs sollicitent non seulement les données publiques de la carte, mais également toutes les données dont ils pourraient avoir besoin pour s’approprier l’argent de la victime.

Exemple d’attaque de phishing avec tentative de collecte des données personnelles de la victim

Répartition géographique des attaques

En 2014, des attaques de phishing ont été enregistrées dans presque tous les pays et territoires au monde.

Top 10 des pays selon la part d’utilisateurs attaqués

Le Brésil (27,47 %) est le leader en terme de nombre d’utilisateurs uniques attaqués par rapport à l’ensemble des utilisateurs dans ce pays.

Pourcentage d’utilisateurs sur les ordinateur desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays, 2014

Top 10 des pays par pourcentage d’utilisateurs attaqués :

  Pays % d’utilisateurs
1 Brésil 27,45
2 Australie 23,76
3 Inde 23,08
4 France 22,92
5 Équateur 22,82
6 Russie 22,61
7 Kazakhstan 22,18
8 Canada 21,78
9 Ukraine 20,11
10 Japon 19,51

En 2014, le pourcentage d’utilisateurs attaqués au Brésil a augmenté de 13,81 points de pourcentage par rapport à 2013 (le Brésil occupait alors la 23e position). Cet intérêt très marqué pour le pays par les auteurs d’attaques de phishing s’explique probablement par la Coupe du monde de football qui a eu lieu dans ce pays et qui a attiré de nombreux visiteurs du monde entier.

Répartition des attaques par pays

La Russie (17,28 %) domine le classement des pays par nombre d’attaques. Le pourcentage de déclenchements du système Anti-Phishing sur les ordinateurs des utilisateurs en Russie par rapport au total de déclenchements de notre solution pour le monde entier a augmenté de 6,08 point de pourcentage en un an.

Répartition des attaques de phishing par pays, 2014

L’augmentation du nombre d’attaques contre les utilisateurs en Russie s’explique peut-être par la détérioration de la situation financière en 2014. Le nombre d’opérations financières a augmenté : les personnes tentent d’investir leurs économies, elles réalisent de gros achats sur Internet ou réalisent des transactions bancaires. Nombreux sont les utilisateurs qui sont inquiets. Cela signifie que de plus grandes opportunités s’offrent aux escrocs et les astuces d’ingénierie sociale qu’ils utilisent deviennent plus efficaces.

Les Etats-Unis (7,2 %), leader du classement l’année dernière, passent en 2e position. L’indice du pays a perdu 23,6 points de pourcentage. Ils sont suivis par l’Inde (7,15 %) et le Brésil (7,03 %) dont les indices ont progressé respectivement de 3,7 et 5,11 points de pourcentage.

Organisations victimes du phishing

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements du module heuristique du système Anti-Phishing sur les ordinateurs des utilisateurs. Ce module détecte toutes les pages qui possèdent du contenu de phishing et auxquelles l’utilisateur a tenté d’accéder via des liens dans des messages ou sur Internet, alors que ces liens ne figurent pas encore dans les bases de Kaspersky Lab.

Répartition des organisations victimes d’attaque de phishing, par catégorie, 2014

En 2014, la catégorie "Réseaux sociaux et blogs" (15,77 %) a perdu 19,62 points de pourcentage et a cédé la première position à la catégorie "Portails globaux" (42,59 %) qui a gagné 19,29 points de pourcentage. (dans le rapport 2013, la catégorie "Portails globaux" était désignée par l’expression "Courrier électronique"). La situation n’a rien d’étonnant : les sociétés comme Google, Yahoo!, Yandex et d’autres ne cessent de développer leurs services et offrent des possibilités de plus en plus grande aux utilisateurs, depuis le courrier électronique jusqu’aux réseaux sociaux en passant par les porte-monnaie électroniques. En règle générale, l’utilisateur a accès à l’ensemble de ces services via un compte unique, ce qui lui facilite la vie et celle des individus malintentionnés également. Quand ces derniers réussissent leur attaque, ils ont directement accès à plusieurs options pour des escroqueries supplémentaires. Il n’y a donc rien de surprenant à retrouver Google et Yahoo! dans le Top 3 des organisations ciblées par les auteurs d’attaques de phishing.

Top 3 des organisations ciblées par les auteurs d’attaques de phishing

  Organisation % de liens de phishing
1 Yahoo! 23,3
2 Facebook 10,02
3 Google 8,73

L’indice de Yahoo! (23,3%) affiche une progression de13,3 points de pourcentage par rapport à l’année dernière. (notamment grâce à l’augmentation sensible du nombre de liens d’escroquerie vers de fausses pages de service de Yahoo! au début du mois de janvier 2014).

Les attaques de phishing contre des organisations financières ont atteint 28,74 %, soit un recul de 2,71 points de pourcentage par rapport à 2013. Si l’on observe la répartition de ces attaques en fonction du type d’organisation ciblée, on note tout de suite une réduction de la part des attaques contre les banques (recul de 13,79 points de pourcentage par rapport à 2013). La catégorie "Magasins en ligne" a quant à elle progressé de 4,78 points de pourcentage et la catégorie "Systèmes de paiement" a augmenté de 9,19 points de pourcentage.

Répartition du phishing financier par catégorie d’organisation ciblée, 2013

Répartition du phishing financier par catégorie d’organisation ciblée, 2014

Pour en savoir plus sur le phishing financier, consultez notre rapport intitulé "Cybermenaces financières en 2014 : le temps des changements".

Conclusion

La part de spam dans le courrier poursuit sa réduction. Nous estimons que cet indice va très peu varier en 2015.

Dans ce contexte, la tendance à la réduction du spam publicitaire se maintient tandis que le spam malveillant et d’escroquerie augmente. Les messages et les notifications envoyés par les individus malintentionnés pour déployer leurs astuces (pièces jointes malveillantes avec extension inhabituelle, etc.) sont de mieux en mieux rédigés.

Les individus malintentionnés utilisent différentes méthodes de diffusion du contenu de phishing. Les diffusions de messages de phishing par courrier restent d’actualité et il est fort probable qu’elles vont exister pendant un certain temps encore.

Dans le cadre des attaques de phishing, les individus malintentionnés choisissent les clients des organisations les plus populaires auprès des utilisateurs afin d’augmenter les chances de réussite de l’attaque. L’objectif de nombreuses attaques est d’obtenir un maximum d’informations personnelles sur la victime, et principalement des informations à caractère financier. Nous estimons que cette tendance va se maintenir à l’avenir.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *