Courrier indésirable au premier trimestre 2013

Sommaire

Le trimestre en chiffres

  • Par rapport au 4e trimestre 2012, la part de courrier indésirable a augmenté de 0,5 % et représentait 66,5 %.
  • La part des messages d’escroquerie dans le courrier a été divisée par 4,25 et atteint 0,004 %.
  • 3,3 % des messages électroniques contenaient des fichiers malveillants, soit 0,1% de de plus que le trimestre précédent.

Particularités du trimestre

Le premier trimestre aura été marqué par plusieurs événements retentissants : décès du président du Venezuela Hugo Chavez, démission du pape Benoît XVI et intronisation du nouveau pape François. Comme toujours, les diffuseurs de courrier indésirable ne pouvaient pas ignorer ces événements d’une telle ampleur. Ce sont principalement les diffuseurs de liens malveillants et de messages d’escroquerie qui ont exploité l’intérêt du public pour ces grands événements mondiaux. Ceci étant dit, ils n’ont pas oublié les autres astuces d’ingénierie sociale.

Actualités brûlantes et liens malveillants

Après la mort du président du Venezuela, des messages au sujet provocateur « CIA « DELETED » Venezuela’s Hugo Chavez ? » (La CIA a-t-elle « supprimé » Hugo Chavez) sont apparus dans le courrier indésirable.  Les auteurs faisaient allusion au rôle du gouvernement américain et de la CIA dans la disparition d’Hugo Chavez et invitaient le destinataire à cliquer sur un lien pour consulter une vidéo sur le sujet.

BBC et de CNN et invitait le destinataire à lire les informations en rapport avec le nouveau pape. Par exemple, un des objets de ces messages proposait de débattre du risque de procès contre le pape pour violence sexuelle.

Evénements au Venezuela et courrier indésirable à la nigériane

Les auteurs d’escroquerie à la nigériane qui exploitent toujours l’instabilité dans un pays quelconque n’ont pas manqué de s’inspirer des événements au Venezuela. Nous avons détecté plusieurs diffusions en différentes langues qui exploitaient ce sujet.

Le sujet d’un message en anglais est typique de l’escroquerie à la nigériane : le message est envoyé par une personne prétendument proche des hautes sphères du pouvoir qui demande de l’aide pour pouvoir récupérer de l’argent avant que le nouveau gouvernement ne se l’approprie.

Fausses notifications de réseaux sociaux

Les diffuseurs de courriers indésirables, et en particulier ceux qui veulent introduire des programmes malveillants sur l’ordinateur des victimes, continuent d’utiliser des fausses notifications de services connus. Au cours de ce trimestre, outre les messages de cette catégorie envoyés au nom de Facebook, Twitter et de nombreux autres, nous avons recensé des messages envoyés au nom de Foursquare. Ceci est le résultat d’une règle élémentaire : plus la popularité d’un service est élevée, plus la probabilité que les diffuseurs de courriers indésirables envoient de faux messages en son nom est grande.

Méthodes et astuces

Ce n’est un secret pour personnes : ces derniers temps les diffuseurs de courriers indésirables n’ont rien inventé de neuf : toutes les astuces ont déjà été utilisées à un moment donné, d’une manière ou d’une autre. Par conséquent, les individus malintentionnés ont commencé à utiliser des combinaisons de plusieurs astuces, dont quelques-unes très connues qui ont perdu de leur popularité avec le temps. De plus, les diffuseurs de courriers indésirables ont étudié les possibilités des services licites et ils les utilisent pour déjouer les filtres antispam.

Utilisation de services licites

Au premier trimestre 2013, nous avons vu des diffusions traditionnelles de publicités pour des médicaments contre les dysfonctionnements érectiles qui employaient les astuces suivantes :

  1. En-tête « Instagram Account Delete » (compte Instagram supprimé), exemple typique d’ingénierie sociale. Pour attirer l’attention de l’utilisateur, l’objet fait référence à la suppression d’un compte sur un service très utilisé. Si le destinataire possède un compte sur Instagram, il va certainement ouvrir le message, au lieu de le supprimer directement.
  2. Ce service peut traduire la page Web du lien indiqué par l’utilisateur et créer son propre lien vers le résultat de la traduction. La combinaison de ces deux méthodes permet d’obtenir un lien unique pour chaque diffusion et de plus, l’utilisation de deux domaines reconnus dans le monde entier donne une certaine respectabilité au message.

Et pour confondre davantage le destinataire, les diffuseurs de courriers indésirables ont ajouté à la fin une requête dépourvue de sens et composée de mots aléatoires : «?/constitutional contextualization».


Les diffuseurs de courriers indésirables utilisent souvent les services d’URL courtes. Tout d’abord, ils peuvent ainsi tenter de tromper les filtres antispam en créant un lien unique dans chaque message. Ensuite, l’utilisation de ces services ne se traduit pas par des dépenses supplémentaires pour les individus malintentionnés, à la différence de l’achat d’un domaine ou de l’intrusion dans des sites légitimes. D’un autre côté, les services d’URL courtes les plus utilisés tentent de contrôler la nature du contenu des sites vers lesquels ils renvoient les utilisateurs et ils mettent rapidement hors service les liens malveillants.

Le retour du texte en blanc

On observe le retour d’une des astuces les plus élémentaires pour brouiller le contenu d’un message, à savoir l’utilisation du « texte en blanc ».  Cette méthode consiste à ajouter au message des extraits aléatoires de texte (pour ce trimestre, il s’agissait principalement d’extraits d’articles de journaux) dans une police de couleur gris clair sur un fond gris et séparés du texte de la publicité par de nombreux sauts de ligne. Cette méthode mise sur le fait que les filtres antispam basés sur le contenu vont considérer le message comme une diffusion d’informations. De plus, l’utilisation d’extraits aléatoires confère un caractère unique à chaque message, ce qui complique la détection.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

Au cours du premier trimestre 2013, la part de courriers indésirables dans le trafic de messagerie a varié sensiblement pour atteindre une moyenne de 66,55 %. Soit, une progression de 0,53% par rapport au trimestre précédent.

 
Part du courrier indésirable dans le trafic de messagerie au premier trimestre 2013

Une des diffusions les plus importantes du trimestre aura été la diffusion malveillante portant sur une opération de type « pomper et liquider ». Il s’agit d’une forme de manipulation des cours de la bourse dans le cadre de laquelle les diffuseurs des messages non sollicités achètent les actions de petites sociétés, gonflent artificiellement le prix de l’action en diffusant de fausses informations positives sur la situation de ces entreprises, puis revendent les actions au nouveau cours plus élevé. C’est à cause de cette diffusion que la première semaine du mois de mars a atteint le record en terme de volume de courriers indésirables (73,4 %).


Ce type de courriers indésirables avait atteint son pic en 2006-2007 pour ensuite pratiquement disparaître et ne faire que de rares apparitions dans les flux de messages non sollicités. Il est intéressant de constater que durant les années où ce genre de message non sollicité a été populaire, les diffusions se distinguaient également par leur ampleur. Le fait est que, dans ce cas, les escrocs tentent de rentabiliser leur action le plus vite possible, en 1 jour ou deux, avant que la supercherie ne soit détectée. Et plus le nombre de messages envoyés au cours de ce bref intervalle est élevé, plus le nombre de victimes qui risquent d’acheter les actions proposées dans le cadre de cette escroquerie augmente.

Pays, source du courrier indésirable

Au premier trimestre 2013, la Chine et les Etats-Unis dominent encore le classement des pays source de courriers indésirables avec respectivement 24,3 et 17,7 %. La troisième place revient à la Corée du Sud avec un pourcentage non négligeable (9,6 %).

Il est intéressant de voir que le courrier indésirable de ces pays visent différentes régions : la majorité du courrier indésirable en provenance de Chine est distribué en Asie, le courrier indésirable des Etats-Unis vise principalement l’Amérique du Nord (la majeure partie de celui-ci peut être considéré comme du courrier indésirable interne) et le courrier indésirable de Corée du Sud vise principalement l’Europe.

Régions, source de courriers indésirables

L’Asie occupe toujours la première position parmi les régions qui diffusent le plus de courriers indésirables : 51,8 % de l’ensemble du courrier indésirable envoyé. Elle est suivie par les Etats-Unis avec 18,3 %.

Taille des messages non sollicités


Taille des messages non sollicités, 1er trimestre 2013

Au premier trimestre 2013, les messages non sollicités ont été dominés par des messages dont la taille ne dépassait pas 1 Ko. L’utilisation de messages compacts permet aux diffuseurs d’envoyer plus de messages en réduisant les dépenses pour le trafic. De plus, l’utilisation de phrases brèves, qui varient pour chaque message, simplifie la personnalisation des messages, ce qui complique la tâche des filtres antispam.

Pièces jointes malveillantes dans le courrier

La part de messages avec pièces jointes malveillantes a augmenté de 0,1 point de pour cent par rapport au trimestre précédent et représente 3,3 %.

Phishing

Au premier trimestre 2013, la part des messages d’hameçonnage a été divisée par 4,25 pour atteindre 0,004% du volume du courrier.

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Au cours de ce trimestre, nous avons une fois de plus observé des attaques de phishing contre les réseaux sociaux (37,6 %). Les auteurs de ces attaques ont privilégié les fausses notifications de Facebook et de LinkedIn. Les moteurs de recherche occupent la deuxième position avec 16,2 %. Ce résultat des moteurs de recherche s’explique par le fait que les sociétés propriétaires de ces moteurs proposent également une multitude d’autres services tels que de l’espace de stockage sur des disques virtuels, des messageries, des réseaux sociaux et bien d’autres encore. Souvent, l’accès à ces services s’opère via un seul compte, ce qui fait des moteurs de recherche une cible attrayante pour les cybercriminels.

Les organisations financières et les services de paiement occupent la 3ème position (14,2 %). Nous tenons à signaler qu’à la différence des réseaux sociaux par exemple, où la majorité des attaques touche une ou deux organisations, les attaques contre les banques sont mieux réparties : le nombre d’attaques contre les banques les plus diverses, depuis les grandes banques internationales jusqu’aux petites banques locales, est énorme.

Conclusion

Tout au long de l’année 2012, la part de courriers indésirables a reculé. Au premier trimestre 2013, la part de messages non sollicités dans le courrier a varié, mais sur l’ensemble du trimestre elle n’a pratiquement pas changé par rapport au trimestre précédent. Nous nous attendons à ce qu’à l’avenir, la part du courrier indésirable se maintienne à son niveau actuel, voire à ce qu’elle augmente légèrement, en raison des diffusions de plusieurs millions de messages enregistrées ces derniers temps.

Les diffuseurs de courriers indésirables tentent d’attirer l’attention des utilisateurs sur les messages : ils utilisent des noms connus, des événements d’actualité ou présentent le message sous les traits de notifications de sites connus. De nombreux messages de ce genre contiennent des liens vers des programmes malveillants, notamment des codes d’exploitation. Nous tenons à signaler une fois de plus à nos lecteurs qu’il ne faut pas cliquer sur ces liens dans les messages, même si l’expéditeur vous semble connu. Il est bien plus sage de saisir manuellement l’adresse de la ressource dans le navigateur.

Les Etats-Unis et la Chine, principaux pays source de courriers indésirables, vont probablement maintenir leur position à court terme, sauf si des groupes décident de mettre hors service les centres de commande des réseaux de zombies qui existent dans ces pays. La Corée du Sud complète le trio de tête au premier trimestre 2013. Les messages non sollicités qui proviennent de ce pays visent principalement les pays d’Europe.

Parmi les programmes malveillants diffusés par message non sollicité, nous avons le plus souvent rencontré des programmes développés pour voler des noms d’utilisateur et des mots de passe. Les individus malintentionnés apprécient tout particulièrement les chevaux de Troie développés pour voler les informations d’accès aux services de transactions bancaires par Internet. De plus, de nombreuses diffusions de messages non sollicités contenaient des ensembles de codes d’exploitation : au premier trimestre 2013, c’est la collection Blackhole qui a été la plus prisée par les individus malintentionnés.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *