Courrier indésirable au deuxième trimestre 2012

Sommaire

Chiffres du trimestre

  • La part de courrier indésirable a atteint en moyenne 74,3% du trafic de messagerie. Soit 2,3 % de moins qu’au premier trimestre 2012.
  • Une fois de plus la majorité du courrier indésirable provient d’Asie (53%) et d’Amérique latine (14%).
  • La part de messages contenant des pièces jointes malveillantes a reculé de 0,3 % par rapport au trimestre précédent pour atteindre 3 %.

Coupons et courrier indésirable : réduction de la part de courrier indésirable

Au deuxième trimestre 2012, la part de courrier indésirable a poursuivi son recul et a représenté en moyenne 74,3 %, soit 2,3 % de moins qu’au trimestre précédent.


Au deuxième trimestre 2012, la part de courrier indésirable a poursuivi son recul et a représenté en moyenne 74,3 %, soit 2,3 % de moins qu’au trimestre précédent.

Cette réduction sensible de la part de courrier indésirable dans les flux de messagerie est d’une certaine manière un phénomène saisonnier. En été, de nombreux ordinateurs infectés par des bots de diffusion de messages non sollicités sont éteints car leurs propriétaires sont en vacances. D’un autre côté, la réduction de la part de courrier indésirable dans le cadre de la réduction estivale du trafic de messagerie peut indiquer que nous sommes en présence d’une tendance globale et non pas saisonnière.

Il y a quelques années, un nouveau service a fait son apparition sur Internet : les sites d’achats groupés qui offrent des coupons aux utilisateurs. L’utilisateur qui a acheté un coupon le présente au moment d’acheter un bien ou un service et il bénéficie d’une remise. La popularité des sites d’achat groupés à travers le monde a très vite augmenté : de nombreuses sociétés utilisent cette technique pour tenter d’élargir leur clientèle tandis que les clients, quant à eux, reçoivent des offres intéressantes.

L’émergence d’une nouvelle plateforme publicitaire qui repose principalement sur le courrier électronique ne pouvait pas ne pas avoir un effet sur le courrier indésirable.

Comme vous le savez, le monde du courrier indésirable occidental est dominé par les partenariats. La majorité des diffusions organisées dans le cadre de partenariat sont des publicités pour des biens ou des services illégaux. Il existe toutefois des diffusions par partenariat pour des articles légitimes (par exemple, des souvenirs ou des fleurs) ou des messages non sollicités qui n’ont rien à voir avec des partenariats.

Les sites d’achat groupés et le système des coupons ont joué un double rôle dans le courrier indésirable occidental : tout d’abord, le mot « coupon » en lui-même a été adopté par les diffuseurs de courrier indésirable pour attirer l’attention sur les messages qu’ils diffusaient. Ensuite, cette plateforme publicitaire a attiré une partie de la publicité pour des produits et services légaux qui jusqu’alors était diffusée par courrier indésirable. Ceci n’est pas étonnant car ces coupons sont légaux et la publicité réalisée de cette manière a un rendement bien supérieur à celui du courrier indésirable car elle n’énerve pas les utilisateurs qui reçoivent les offres, elle n’est pas bloquée par les filtres antispam et les diffusions sont ciblées sur les personnes intéressées par l’offre. Suite à l’abandon de la publicité par courrier indésirable par certaines sociétés, le volume de diffusion de messages non sollicités dans le trafic de messagerie occidental a quelque peu diminué.  

Dans les pays où les sites d’achat groupés sont populaires et où la part de courrier indésirable commandité est supérieure à celle du courrier indésirable par partenariat, l’influence de cette nouvelle plateforme a été encore plus marquée. Bien que de nombreuses sociétés qui utilisaient le courrier indésirable comme principal outil publicitaire n’aient pas complètement abandonné cette méthode au profit du système des coupons, elles n’ignorent plus cette possibilité légale. On peut donc supposer qu’en Russie, la grande majorité des agences de voyage ont arrêté les commandes de diffusion de publicité par courrier indésirable et se sont tourné vers le système des coupons. A l’issue du deuxième trimestre 2012, la part de courrier indésirable de la catégorie « Vacances et voyages » dans l’Internet russophone dépassait à peine 1 %, malgré la période des vacances. Simultanément, près de 10 % de l’ensemble des offres de coupons russes provenaient d’agences de voyages.

L’apparition d’un nombre croissant de projets similaires force également les clients à adopter ce type de publicité : dans un marché où la concurrence est très forte, les services de coupon doivent offrir à leurs clients les conditions les plus économiques. Paradoxalement, il arrive parfois que ces services de coupon fassent leur propre publicité à l’aide de courrier indésirable afin d’élargir leur clientèle.

La réduction de la part de courrier indésirable dans le flux de messagerie est peut-être liée également à la crise économique mondiale.

Courrier indésirable et situation économique

Modifications dans les sujets du courrier indésirable

Le pourcentage anormalement bas de courrier indésirable de la catégorie « Vacances et voyages » dans l’Internet russophone ne s’explique pas uniquement par le recours à une plateforme publicitaire légale, ce qui est une excellente tendance dans le monde du marketing en ligne, mais également par les signes inquiétants au niveau du développement de l’économie mondiale. Le fait est que de nombreuses petites ou moyennes agences de voyages ont déjà commencé à fermer suite à cette nouvelle vague de la crise économique, ce qui se traduit naturellement par une réduction du volume de publicité qu’elles diffusent, notamment par courrier indésirable.

D’autres éléments indiquent que la crise économique exerce d’une manière ou d’une autre une influence sur le courrier indésirable. Ainsi, le nombre de messages de la catégorie « Finances personnelles » a commencé à augmenter en mai dans le courrier indésirable anglophone. Au dernier mois du printemps, cette catégorie représentait 23,5 % de l’ensemble du courrier indésirable anglophone et au mois de juin, ce chiffre avait plus que triplé pour atteindre 73 %. La majorité de ces messages non sollicités détectés au mois de juin contenait des offres pour gagner de l’argent de manière illégale. Le courrier indésirable en allemand vit une situation identique : les propositions de travail douteux sont de plus en plus nombreuses ces derniers mois. Nous avions déjà observé un phénomène similaire lors de la crise de 2008-2009.

Dans le courrier indésirable russe, c’est la part de messages non sollicité de la catégorie « Immobilier » (de 5,5 à 9,2 %) qui a augmenté sur fond de craintes liées à la crise en Europe en février 2012. En un mois, cette catégorie représentait plus de 15 % de l’ensemble du courrier indésirable dans l’Internet russophone et en avril, près de 20 %.

La dernière hausse inattendue du volume de messages non sollicités de la catégorie « Immobilier » dans l’Internet russophone remonte à la période 2008-2009, lors de la crise financière mondiale. A l’époque, la conjoncture différait quelque peu de celle d’aujourd’hui et la part de courrier indésirable était passée de 2 ou 3 % à 7 à 8 %.

La hausse marquée de cette catégorie dans le contexte d’une réduction de la part de courrier indésirable dans le trafic de messagerie témoigne de l’augmentation sensible du volume de publicités pour l’immobilier dans le courrier indésirable russe. Signalons que parmi les offres de vente de biens immobiliers, nous retrouvons principalement des biens dans des pays qui traversent une situation économique difficile, comme en Espagne. Ceci s’explique par le fait que les petits investisseurs tentent de vendre leurs biens immobiliers avant que leur prix ne dégringolent. Le courrier indésirable demeure dans l’Internet russophone la méthode la moins chère pour faire la publicité de tels biens.

Au deuxième trimestre 2012, nous avons détecté des messages non sollicités qui exploitaient la crise pour attire l’attention sur des diffusions de partenariat traditionnelles ou pour proposer des offres de crédit aux conditions douteuses. Nous avons également détecté des messages non sollicités en anglais et en russe proposant des séminaires consacrés à la crise économique en générale ou à la crise en Europe en particulier.

Courrier indésirable malveillant

Si le courrier indésirable va suivre la même voie que lors de la crise de 2008-2009, nous devons malheureusement nous attendre à une augmentation des messages non sollicités malveillants ou d’escroquerie au cours des prochains mois. A la lumière de cette prévision, il ne fait pas de tort de s’intéresser à quelques-unes des astuces employées par les individus malintentionnés pour propager leur code malveillant. Nous tenons à signaler que parmi les méthodes présentées ci-après, nous retrouvons aussi bien des innovations que des méthodes traditionnelles très populaires auprès des individus malintentionnés.

Courrier indésirable à la dérobée

Comme vous le savez, le courrier indésirable permet de diffuser non seulement des pièces jointes malveillantes, mais également des liens malveillants. Il est primordial de comprendre que le simple fait de cliquer sur un lien peut entraîner l’infection de l’ordinateur, à l’insu du propriétaire (attaques par téléchargement à la dérobée). Ceci est possible grâce à la redirection de l’utilisateur vers une page hébergeant plusieurs sélections de codes d’exploitation. 

Au deuxième trimestre 2012, le nombre de liens utilisés pour lancer une attaque par téléchargement à la dérobée a été très élevé. Voici quelques exemples concrets du déroulement général de telles attaques :

  1. L’utilisateur reçoit un message qui ressemble à une notification d’un site connu, à un message officiel, à un bulletin d’informations ou à un message personnel dans lequel il est invité à cliquer sur un lien. En général, ces messages contiennent des expressions qui tentent de convaincre l’utilisateur à cliquer sur le lien le plus vite possible, par exemple « as soon as possible » (dès que possible) ou « urgently » (urgent).
  2. Programmes malveillants pour Wiki

    Au mois d’avril, nous avons repéré dans le courrier indésirable des faux messages officiels de Facebook. La caractéristique principale de ces messages était le faux lien censé mener l’utilisateur vers un site de phishing ou malveillant qui pointait non pas vers un domaine enregistré récemment ou un site légitime compromis, mais bien vers une page créée spécialement sur Wikipedia ou Amazon. Toutefois, tous les liens que nous avons reçus avaient été neutralisés quelques minutes après avoir découvert les messages. Nous supposons que des individus malintentionnés ont placé des scripts malveillants sur des pages qu’ils avaient créées sur Wikipedia ou dans des publicités pour des articles d’occasion sur Amazon.com et que les équipes de crise des deux services ont réagi rapidement au point que les liens avaient été neutralisés avant la fin même de la diffusion.

    Programmes malveillants voyageur

    Les individus malintentionnés qui diffusent des messages malveillants continuent de perfectionner et d’utiliser des astuces d’ingénierie sociale. Ainsi, au cours de ce trimestre, nous avons détecté des diffusions qui se présentaient sous la forme d’une offre touristique complète, visiblement mises au point par les diffuseurs de courrier indésirable pour les vacances.

    Il s’agit avant tout de faux messages de compagnies aériennes évoquant la possibilité de réaliser l’enregistrement en ligne et contenant des liens malveillants. Alors qu’au trimestre passé nous avions déjà détecté de faux message prétendument envoyés par US Airways, nous avons identifié au cours de ce semestre des messages similaires envoyés par British Airways.

    Sujets d’actualité dans le courrier indésirable

    Courrier indésirable présidentiel

    Nous pouvons affirmer que Barack Obama aura été la personnalité préférée des diffuseurs de courrier indésirable au deuxième trimestre. Nous avons détecté de nombreux messages qui mentionnent le président américain. Il est intéressant de constater que la majorité de ces messages contiennent des critiques des nouveaux projets de loi adoptés par le président. La présentation de ces messages était correcte et ils appelaient les destinataires à signer une pétition contre les actions d’Obama. De plus, les messages contenaient également des demandes de dons à verser sur les comptes de quelques organisations américaines officielles.

    Escroquerie thématique.

    La situation politique en Syrie a dynamisé le courrier indésirable à la nigérienne en avril. Nous avons déjà évoqué dans notre blog les messages prétendument envoyés par l’épouse de Bachar Al Assad. Nous avons détecté des messages reprenant ce même texte mot pour mot tout au long du trimestre. Toutefois, le courrier indésirable à la nigérienne se caractérise par son côté fantaisiste, si bien que les envois ne se sont pas limités à un seul modèle.  Nous avons ainsi détecté des messages envoyés par des « membres de la famille et des proches de Al Assad » ou par de simples citoyens syriens.

    Géographie du courrier indésirable

    Pays, source du courrier indésirable

    Au deuxième trimestre 2012, la répartition géographique des sources de courrier indésirable a sensiblement changé. La Chine a surpris en prenant la tête du classement des pays source de courrier indésirable avec 19 % de l’ensemble du courrier indésirable envoyé. De plus, après une longue pause, les Etats-Unis ont refait leur entrée dans le trio de tête, et partage la deuxième et la troisième position avec l’Inde : un volume identique de courrier indésirable a été envoyé depuis ces deux pays, à savoir 11,7 %.

    évoqué la redistribution des réseaux de zombies et les modifications possibles dans la géographique du courrier indésirable. Toutefois, nous ne nous attendions pas à des changements aussi marqués. La Chine se trouvait déjà parmi les leaders il y a quelques années, mais suite à l’adoption en 2006 d’une loi contre le courrier indésirable, le volume de courrier indésirable envoyé depuis ce pays avait fortement chuté. Six ans ont passé et il semblerait que les diffuseurs de courrier indésirable ont oublié cette loi car elle n’est pas vraiment appliquée.

    Globalement, le retour de la Chine et des Etats-Unis en tête est logique : la qualité de l’infrastructure Internet et l’énorme quantité d’utilisateurs dont les ordinateurs peuvent être infectés par des bots de courrier indésirable et utilisés pour diffuser des messages non sollicités attirent les diffuseurs de courrier indésirable.

    Malgré la redistribution des sources de courrier indésirable, les tendances principales ne changent pas : la majorité du courrier indésirable provient d’Asie et d’Amérique latine. Ainsi, le Top 20 du deuxième trimestre compte 9 pays d’Asie, 5 d’Amérique latine, 1 d’Europe occidentale (le Royaume-Uni) et 1 pays d’Europe de l’Est (la Russie).

    Notons que le courrier dans différentes régions provient de différents pays. Ainsi, le courrier indésirable reçu en Europe provient principalement de Chine (le courrier indésirable d’origine chinoise est moindre dans les autres régions et grâce aux seules diffusions en Europe occidentale, la Chine a pu décrocher la première place du classement mondial). En Europe de l’Est, le courrier indésirable provient d’Inde et en Amérique du Nord, des Etats-Unis.

    Répartition des sources de courrier indésirable par région

    Pièces jointes malveillantes dans le courrier

    Au deuxième trimestre 2012, la part de messages contenant des pièces jointes malveillantes a reculé de 0,3% par rapport au trimestre précédent pour atteindre 3%. Le diagramme ci-après illustre la répartition de cet indice pour chaque mois.


    Part de messages avec des pièces jointes malveillantes dans le courrier

    Comme on peut le voir sur le graphique, la part de pièces jointes malveillantes dans le courrier n’a pas beaucoup changé au cours du trimestre.

    Pour rappel, la faible part de pièces jointes malveillantes dans le courrier n’indique pas une réduction de la part des diffusions malveillantes en tant que telles car on retrouve dans le courrier non seulement des programmes malveillants en tant que pièce jointe, mais également en tant que lien vers des pages Internet infectées. 

    Répartition des attaques via courrier par pays

    Au deuxième trimestre 2012, la répartition des déclenchements de notre Antivirus Courrier par pays ressemblait à ceci :

    Programmes les plus souvent détectés dans le courrier

    Le leader des programmes les plus souvent détectés par notre Antivirus Courrier à l’issue du deuxième trimestre 2012 est à nouveau Trojan-Spy.HTML.Fraud.gen. Par rapport au trimestre précédent, la part de détection de ce programme malveillant a diminué de 2 % et représente 12,5 %. Vous trouverez ici de plus amples informations sur ce programme malveillant. Pour rappel, ce programme malveillant est utilisé par les auteurs d’attaques de phishing et se présente sous la forme d’une page HTML qui imite le formulaire d’inscription d’une organisation financière ou d’un service en ligne quelconque. Les données d’authentification saisies sur cette page sont envoyées aux individus malintentionnés.

    Email-Worm.Win32.Mydoom.m a conservé sa deuxième position.  Ce ver de messagerie, comme son congénère Mydoom.l (9e position), remplit seulement deux fonctions : la collecte d’adresses de messagerie sur les ordinateurs infectés et la diffusion de ses copies vers celles-ci. Email-Worm.Win32.NetSky.q, qui occupe la cinquième position, possède une fonction similaire. Email-Worm.Win32.Bagle.gt (3e position), un autre ver, est capable, en plus de la fonction traditionnelle des vers présentée ci-dessus, d’établir une connexion à des sites via Internet afin de télécharger des programmes malveillants.

    En sixième position, nous retrouvons le compacteur Packed.Win32.Katusha qui occupait la deuxième place en juin. Ce n’est pas la première fois que des compacteurs de cette famille se retrouvent dans notre classement. Ils sont utilisés pour déjouer la détection d’autres programmes malveillants par les logiciels antivirus et souvent, ils contiennent de faux antivirus.

    Phishing

    A l’issue du deuxième trimestre 2012, les attaques contre les utilisateurs des réseaux sociaux ont représenté plus de 25 % de toutes les tentatives de vol de données des utilisateurs par phishing.

    Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de l’Anti-Phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet. Vous trouverez ici de plus amples informations sur chaque catégorie.

    La catégorie « Réseaux sociaux » devance la catégorie « Organisations financières » en terme d’attaques subies. L’augmentation de la part d’attaques contre les réseaux sociaux s’explique par les vacances d’été. Pendant cette période, de nombreux étudiants et écoliers visitent ces sites sur Internet. Ceci étant dit, ces utilisateurs possèdent rarement des données d’accès aux services bancaires par Internet et en général, l’activité financière ralentit en été, ce qui se traduit par une réduction du volume de courrier indésirable qui cible les organisations financières. Toutefois, les attaques contre ces organisations sont toujours aussi rentables pour les individus malintentionnés et même si leur part a diminué, elle se maintient toujours à un niveau très élevé.  

    Conclusion

    La réduction de la part de courrier indésirable se poursuit. Ceci s’explique par plusieurs facteurs qui ont un effet sur l’activité des diffuseurs de courrier indésirable.  Il y a des facteurs saisonniers (en raison des vacances, de nombreux ordinateurs infectés par des bots de diffusion de courrier indésirable sont éteints) et économiques (l’inquiétude liée à une possible crise économique). La concurrence joue également un rôle (certains commanditaires de publicités abandonnent les diffuseurs de courrier indésirable au profit des services de coupons). Selon nos prévisions, si la situation économique n’évolue pas ou si elle se détériore, la part de courrier indésirable va continuer à diminuer, notamment après les vacances.  Il se pourrait que le niveau de courrier indésirable atteigne progressivement 65 % au cours de l’année.

    La répartition géographique des sources de courrier indésirable a fortement changé. Les individus malintentionnés, intéressés par une infrastructure Internet de qualité et un nombre élevé d’utilisateurs, ont jeté toutes leurs forces dans des réseaux de zombies en Chine et aux Etats-Unis, les deux pays d’où provient à l’heure actuelle la majorité du courrier indésirable. Bien que nous ayons prévu des modifications dans la répartition des sources de courrier indésirable, nous ne nous attendions pas à des modifications aussi rapides. En même temps, la tendance à l’augmentation du volume de courrier indésirable en provenance d’Asie et d’Amérique latine se maintient. 

    Ce n’est par hasard que nous nous sommes penchés sur certaines astuces des diffuseurs de courrier indésirable qui propagent du code malveillant.  L’expérience accumulée dans l’étude du courrier indésirable lors de la crise de 2008-2009 indique qu’une augmentation de la part de courrier indésirable malveillant est pratiquement garantie. Ceci signifie que le courrier indésirable va devenir beaucoup plus dangereux. Il ne faut pas manquer de souligner qu’au cours des dernières années, l’arsenal des individus malintentionnés s’est enrichi et qu’il ne se passe pas un mois sans qu’une nouvelle astuce d’ingénierie sociale ne soit appliquée.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *