Courrier indésirable au troisième trimestre 2011

Courrier indésirable au troisième trimestre 2011
Daria Gubkova
Maria Namestnikova

L’ Anti-Spam de Kaspersky Lab protège les utilisateurs du monde entier. Le laboratoire de lutte contre le courrier indésirable traite plus d’un million de messages chaque jour, récupérés via nos pièges. La protection des utilisateurs repose sur un filtre de contenu, l’analyse des en-têtes techniques, des signatures graphiques uniques et les technologies du nuage. Nos analystes créent de nouvelles définition 24h/24, 7j/7.

Principales infos du trimestre

  • La part des messages non sollicités a augmenté de 2,7% pour atteindre 79,8% du trafic de messagerie.
  • La part des messages d’escroquerie dans le courrier indésirable a été multipliée par 20 et atteint 2 %.
  • L’Asie et l’Amérique du Sud dominent toujours le classement des zones géographiques sources de courrier indésirable.
  • La part de courrier indésirable de partenariat a été multipliée par 5,7 et a représenté 29 % de l’ensemble du courrier indésirable.
  • La part de messages contenant des pièces jointes malveillantes a augmenté de 1,17 % et a représenté en moyenne 5,03 % du trafic.
  • La part des messages de phishing a représenté en moyenne 0,03 %. Dans le Top 5 des organisations prises pour cible, nous retrouvons 3 réseaux sociaux.

Ingénierie sociale dans le courrier : ne mordez pas à l’hameçon !

Au troisième trimestre 2011, la part des messages d’escroquerie dans le courrier indésirable a été multipliée par 20 par rapport au trimestre antérieur et elle a représenté 2 % de l’ensemble des messages non sollicités. Nous avons été impressionné aussi bien par le nombre de messages d’escroquerie que par la richesse des astuces d’ingénierie sociale employées au cours du troisième trimestre : les individus malintentionnés ont utilisé des tactiques qui ont fait leurs preuves ainsi que de nouvelles astuces intégrant les grands événements de l’actualité internationale et ils ont activement exploité l’intérêt des destinataires pour ceux-ci.

Pièges des auteurs d’attaques de phishing

Jouer avec les joueurs

Cela fait longtemps que les adeptes du jeu en ligne Blizzard sont devenus les cibles de diverses attaques de phishing. Les escrocs envoient des lettres aux destinataires dans lesquelles ils proposent de rendre le jeu encore plus intéressant. Pour conférer au message un semblant de légitimité, les auteurs d’attaques de phishing reproduisent avec soin les en-têtes techniques du message. De plus, les individus malintentionnés fournissent de gros efforts pour que le nom de domaine faux évoque au maximum le nom d’origine du site.

Messages sérieux d’organisations sérieuses

Certains utilisateurs ont également reçu des messages prétendument envoyés par la société fédérale d’assurance des fonds (agence fédérales des Etats-Unis créée pour assurer les dépôts sur les comptes en banque).

Qui veut un fishburger ?

Nous avons recensé au troisième trimestre des types d’attaque de phishing moins traditionnels. Nous avons par exemple détecté une attaque de phishing en plusieurs étapes. Tout d’abord, l’utilisateur reçoit un message de McDonald’s qui lui signale que la société est prête à lui transférer 80 USD sur sa carte de crédit s’il accepte de participer à un sondage. Ensuite, l’utilisateur doit cliquer sur un lien et répondre à plusieurs questions. Et ce n’est qu’après cela qu’il arrive à la page où il doit saisir les données de sa carte de crédit afin de pouvoir recevoir la  » récompense » promise. Bien entendu, les individus malintentionnés ne sont pas intéressés par les résultats du  » sondage » mais bien par les données de la carte de crédit.

Ne vous pressez pas d’ouvrir des pièces jointes

Programmes malveillants livrés à domicile

Nous avons déjà évoqué le courrier indésirable malveillant qui se présente sous les traits de messages envoyés par des sociétés de courrier express telles que UPS et DHL. Nous signalerons seulement qu’au troisième trimestre 2011, ce type de courrier indésirable a continué à se propager activement dans les boîtes aux lettres des utilisateurs.

Chiffre secret

Comme vous le savez, l’ingénierie sociale fait appel à la carotte et au bâton. Et le bâton est souvent employé. Ce trimestre, des escrocs ont diffusé des messages non sollicités composés d’une série de lettres sans aucun sens. Les caractères étaient disposés de manière à ce que ce pseudo-texte évoque un codage incorrect ou un message crypté. L’objet du message contenait des expressions effrayantes sur les dettes de la société. Ce message avait un fichier zip en pièce jointe.


Le pari était que l’utilisateur, incapable de lire le message et effrayé par l’objet du message, allait ouvrir la pièce jointe. Cette pièce jointe contenait le programme malveillant Trojan.Win32.FraudST.atc, dont la principale fonction est la diffusion de courrier indésirable de type pharmaceutique depuis l’ordinateur infecté.

Par ailleurs, nous avons déjà évoqué dans notre rapport du mois de septembre le message (de  » l’assassin soucieux ») qui devait faire peur au destinataire.

Des  » Nigérians » honnêtes

Les vieilles astuces sont toujours utilisées par les escrocs. Cela fait longtemps que nous n’évoquions plus les escroqueries à la nigériane car nous pensions que tout avait été dit. Mais ce type d’escroquerie est toujours utilisé. Il est efficace et certaines personnes mordent à l’hameçon.

Il faut bien admettre que les auteurs de ce type d’escroquerie ont développé au fil des ans leurs stratégies d’ingénierie sociale et ils savent lesquelles sont les plus efficaces. Ainsi, nous avons détecté ce trimestre un message dont le début pourrait en émouvoir plus d’un :  » Je suis vraiment désolée de devoir vous contacter de cette manière. Je suis consciente du nombre d’escrocs qui utilisent Internet pour tenter de leur soustraire l’argent qu’ils ont gagné à la sueur de leur front. Mais je suis musulmane et je ne peux mentir à personne car cela est contraire à ma religion. »

Méthodes et astuces des diffuseurs de courrier indésirable : comment masquer un site

Compromettre des sites et y placer des javascripts n’est pas la seule méthode employée par les diffuseurs de courrier indésirable pour éviter que les adresses de leurs sites ne tombent dans les listes noires.

Au cours de ce trimestre, nous avons détecté des messages non sollicités dont les liens menaient vers des ressources Internet légitimes, mais contenant une injection SQL. Après avoir cliqué sur le lien, l’utilisateur se retrouvait sur un site, rendu vulnérable à l’aide d’injections SQL, puis il se retrouvait sur le magasin du spammeur.

De plus, les spammeurs continuent à exploiter les services dans le nuage de Google pour déjouer les filtres. L’exemple de message repris ci-dessous contient un lien qui mène vers un document dans le  » nuage » et c’est ce document qui contient le lien vers le site dont la publicité a été confiée aux diffuseurs de courrier indésirable.

Statistiques du courrier indésirable

Part du courrier indésirable

La part de courrier indésirable au troisième trimestre 2011 a reculé de 2,7% pour atteindre 79,8%.

Le volume de messages non sollicités dans le courrier sur l’ensemble du trimestre a diminué, à l’exception de la dernière semaine du mois de septembre où l’indice a atteint 82,1 %. La tendance est clairement illustrée sur le diagramme ci-dessous :


Part du courrier indésirable dans le trafic de messagerie au troisième trimestre 2011

Il est probable que le résultat anormalement bas du mois de septembre ne se maintiendra pas longtemps et que le volume de courrier indésirable va recommencer à augmenter en octobre.

Répartition des sources de courrier indésirable par pays et région

La tendance déjà observée en 2011 au niveau de la répartition des sources de courrier indésirable par pays se maintient : de plus en plus de messages non sollicités sont envoyés depuis des pays en voie de développement. Ainsi, le trio de tête est composé de l’Inde (+0,7 %), de l’Indonésie (+4,7 %) et du Brésil (+0,8 %).

Répartition thématique du courrier indésirable

La répartition du courrier indésirable par sujet a sensiblement changé au troisième trimestre.


Rapport entre le courrier indésirable commandité, le courrier indésirable
envoyé dans le cadre de partenariats et la publicité des diffuseurs
de courrier indésirable au T2 et T3.

Comme on peut le voir sur le diagramme, la part du courrier indésirable diffusé dans le cadre de partenariat augmente. Et cela signifie que des messages non sollicités de plus en plus dangereux et criminels font leur apparition dans le courrier. En effet, c’est via des partenariats que le courrier indésirable pornographique, le courrier indésirable avec des programmes malveillants et les publicités pour des reproductions d’articles sont diffusés. L’organisation même des partenariats est favorable à la propagation de courrier indésirable à caractère criminel car il permet à tous les intervenants de préserver leur anonymat : le propriétaire du partenariat, le diffuseur de courrier indésirable et le commanditaire ne se connaissent pas.

Courrier indésirable et politique

Nous traitons à part le courrier indésirable politique. Dans la majorité des pays, ce type de courrier n’est pas soumis à la législation contre le courrier indésirable car il ne revêt pas un caractère commercial mais selon la classification de Kaspersky Lab, toute diffusion massive non sollicitée tombe sous la définition du courrier indésirable.

Les élections législatives en Russie auront lieu à la fin de l’année tandis que l’élection présidentielle est prévue pour le mois de mars 2012. Et bien que ces événements soient relativement éloignés, le courrier indésirable politique s’intensifie. En général, dans le cadre du courrier indésirable envoyé pendant la campagne électorale, les candidats tentent d’attirer les électeurs et de dénigrer leurs opposants. Toutefois, nous avons détecté au cours de ce trimestre quelques diffusions au contenu extrême : certains messages, au lieu d’appeler à voter pour un ou l’autre parti, proposait de  » saboter ces pseudo-élections antipopulaires » tandis que d’autres messages désignaient les autorités actuelles sous l’expression de  » junte sanglante ». Nous présentons ci-dessous les exemples les moins choquants de ces diffusions.

Messages avec pièces jointes malveillantes

Part de messages avec des pièces jointes malveillantes

Au troisième trimestre 2011, la part des messages contenant des pièces jointes malveillantes a représenté en moyenne près de 5,03% du volume du courrier, soit une augmentation de 1,17%. Le diagramme ci-après illustre clairement la répartition de cet indice pour chaque mois au troisième trimestre 2011.


Part de messages avec des pièces jointes malveillantes dans le courrier

Comme le montre le diagramme, c’est au mois d’août que le pourcentage de message contenant des pièces jointes malveillantes a été le plus élevé (près de 6 %). En juillet et en septembre, cet indice a conservé un niveau assez élevé et il a même dépassé l’indice moyen du trimestre antérieur.

Il convient de signaler que dans le contexte d’instabilité économique, les partenariats pour l’installation de code malveillant vont devenir très populaires et que par conséquent, la part de pièces jointes contenant des programmes malveillants va augmenter.

Pays, cibles des diffusions de programmes malveillants

Au troisième trimestre 2011, la répartition des déclenchements de notre Antivirus Courrier par pays ressemblait à ceci :

Classement des programmes malveillants dans le courrier

Phishing

La part du phishing au troisième trimestre 2011 a quelque peu augmenté et représentait en moyenne 0,03 % de l’ensemble du trafic de messagerie.


Pourcentage de messages de phishing dans le courrier au troisième trimestre 2011

Le duo de tête des institutions victimes d’attaques de phishing au troisième trimestre 2011 n’a pas changé : il s’agit du système de paiement PayPal (-15,28%) et du site de ventes aux enchères eBay (+4,23%). Plus du tiers des attaques de phishing du trimestre ont visé PayPal.

Conclusion

Au troisième trimestre, les efforts conjoints de Kaspersky Lab et de Microsoft ont permis de démanteler un réseau de zombies supplémentaire, à savoir Hlux/Kelihos. Comme le montre l’expérience de ces deux dernières années, ce sont les actions qui débouchent sur la fermeture de réseaux de zombies qui donnent les meilleurs résultats dans la lutte contre le courrier indésirable.

Mais alors que le volume de messages non sollicités dans le courrier recule, le contenu devient plus dangereux. Le pourcentage de messages non sollicités contenant des pièces jointes malveillantes s’est maintenu à un niveau élevé tout au long du trimestre. L’indice moyen pour le trimestre a atteint le niveau le plus haut jamais observé depuis que nos rapports existent (5,03 %). Le nombre de messages d’escroquerie et le courrier indésirable pour adultes augmentent également. Cette augmentation des messages d’escroquerie, des messages contenant des pièces jointes malveillantes et des messages non sollicités au contenu pornographique s’explique par les vacances d’été et la deuxième vague de la crise économique mondiale. Pendant les périodes d’accalmies forcées et de situation économique complexe, les diffuseurs de courrier indésirable cherchent du travail afin de pouvoir se maintenir. La diffusion de code malveillant et de liens vers des sites pornographique (auxquels on peut également associer une infection informatique) reste une activité rentable pour les membres de partenariats : les utilisateurs continuent de cliquer sur les liens vers des vidéos osées ou de télécharger des archives douteuses quelle que soit la situation économique.

Si la situation difficile que traverse actuellement l’économie mondiale se maintient, le nombre d’escroqueries à la nigériane dans le trafic de messagerie va augmenter. En temps de crise, les utilisateurs sont prêts à croire aux propositions les plus farfelues pour améliorer leur situation matérielle. Il ne fait aucun doute que les diffuseurs de lettres à la nigériane ne vont pas s’abstenir dans la situation actuelle.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *