Courrier indésirable en août 2013

Août en chiffres

  • La part de courrier indésirable en août a reculé de 3,6 % pour atteindre 67,6 % du trafic de messagerie.
  • Par rapport au mois de juillet, la part de messages de phishing dans le trafic de messagerie a été multipliée plus de dix fois et représente 0,013 %.
  • 5,6% des messages électroniques contenaient des fichiers malveillants, soit 3,4% de de plus que le mois passé.

Evénements marquants du mois

Le courrier indésirable en août 2013 a été marqué par une composante criminelle très forte et le nombre de messages malveillants et d’escroquerie a sensiblement augmenté alors que la part globale de courrier indésirable, quant à elle, diminuait.

A l’approche du début de la nouvelle année scolaire, un des thèmes exploités par les diffuseurs de courrier indésirable fut la Journée du savoir. Nous avons observé en août des messages faisant la publicité d’articles de fourniture scolaire les plus divers. Les individus malintentionnés ont également diffusé un volume non négligeable de messages non sollicités consacrés à la santé et à la pratique des sports. Enfin, les vendeurs de voitures, d’accessoires pour celles-ci et de services associés ont également fait appel aux services des diffuseurs de courrier indésirable.

Courrier indésirable pour les amateurs de voitures

Pour bon nombre de nos contemporains, la voiture n’est pas seulement un mode de transport, mais elle est également un mode de vie auquel ils consacrent leur temps libre et un budget conséquent. Les diffuseurs de courrier indésirable n’hésitent pas à exploiter l’intérêt des utilisateurs pour les voitures : nous avons observé en août quelques diffusions de publicités parmi lesquelles des offres standard de vente ou de rénovation de voitures, mais aussi des propositions plus originales. Ainsi, les auteurs d’une diffusion proposaient un stage pour apprendre à réaliser des gâteaux en forme de voitures.

Mais le plus souvent, dans l’Internet anglophone, nous avons recensé des messages pour la location bon marché de véhicules ou des publicités pour des offres sur des marques connues.  

 

Labor Day

Les Etats-Unis célèbrent la fête du Travail le premier lundi du mois de septembre. La majorité des Américains considère cette date comme la fin symbolique de l’été et c’est à cette époque que des soldes d’été sont organisées. Les diffuseurs de courrier indésirable ne pouvaient pas rester les bras croisés : au mois d’août, ils ont diffusé à l’approche de ce jour férié des messages annonçant des remises sur des voitures et des médicaments. Pour tromper l’utilisateur et le convaincre de ne pas rejeter l’offre, les auteurs de la diffusion avaient même inclus dans le message un code spécial donnant droit à une remise complémentaire.

 

L’école reprend !

Comme il fallait s’y attendre, le mois d’août aura été placé sous le thème du retour à l’école pour les diffuseurs de courrier indésirable du monde entier. Le sujet préféré des individus malintentionnés a été la reprise de l’école et leur objectif principal a été la promotion d’articles scolaires les plus divers.

Mais dans certains cas, les articles promus n’avaient aucun rapport direct avec l’éducation : les diffuseurs de messages non sollicités exploitaient simplement un thème d’actualité en ce dernier mois de l’été pour attirer l’attention des destinataires. Par exemple, nous avons vu des messages de publicité pour des produits de soins pour la peau. Les destinataires de ces messages étaient invités à acheter des produits de beauté dont les effets, à en croire la publicité, se feraient remarquer à la rentrée des classes. Ces messages contenaient un long lien avec un redirection vers un site où l’utilisateur devait sélectionner la région de livraison du produit. La sélection de la région entraînait à son tour l’ouverture d’une page reprenant les coordonnées du vendeur. La durée de vie des domaines utilisés dans la redirection ne dépassait pas une semaine au moment de la diffusion.

 

"Vous emballez toujours les collations dans du papier ?", tel était l’objet des messages d’une autre diffusion dans laquelle le thème de la rentrée des classes était exploité pour promouvoir des emballages spéciaux qui garantissent la fraîcheur des aliments. Les auteurs du messages affirmaient que l’emballage miracle était en mesure de conserver la nourriture à basse température pendant 10 heures. Les liens dans les messages menaient vers des domaines uniques dont la date de création était inférieure à un mois.

 

Nous avons également obtenu au mois d’août des messages faisant la publicité de formations en ligne. Mais alors qu’au cours des mois précédents, les auteurs de ces messages assuraient la promotion d’instituts d’enseignement supérieur offrant des maîtrises ou des doctorats, les messages envoyés à l’approche de la rentrée scolaire proposaient des cours d’éducation secondaire à distance pour ceux qui, pour des raisons quelconques, n’avaient pas terminé dans les délais.

 

Parmi les avantages de l’enseignement en ligne promu par les auteurs de ces messages non sollicités, nous retrouvions les horaires libres et l’indépendance territoriale des étudiants. Les destinataires étaient redirigés vers un site d’informations étranger qui proposait en plus des programmes de formation des services sans aucun rapport avec l’éducation. 

Courrier indésirable thérapeutique

Une partie considérable du courrier indésirable du mois d’août était en rapport avec la santé et un mode de vie sain. Un des sujets les plus répandus demeure la publicité pour des médicaments qui font perdre du poids sans devoir suivre un régime strict. Nous avons détecté des messages de ce genre le mois dernier dans l’Internet russophone et anglophone.

Les messages anglophones qui proposaient des médicaments pour maigrir contenaient en général un lien vers un domaine qui venait d’être créé et qui changeait de message en message.  Après avoir cliqué sur le lien, l’utilisateur arrivait sur un site présentant des informations détaillées sur le médicament, ses conditions d’achat, etc. Le texte était accompagné d’une vidéo de promotion qui démontrait les propriétés miraculeuses du produit et à titre de preuve, la vidéo comportait des témoignages de personnes qui avaient utilisé le produit miracle.

 

En général, les messages russophones contenaient un lien court qui menait l’utilisateur vers un site de publicités. Souvent, cette page contenait les coordonnées d’un vendeur pour passer la commande. 

 

Répartition géographique des sources de courrier indésirable

A l’issue du mois d’août, le trio de tête des pays sources de courrier indésirable diffusé à travers le monde est le suivant : La Chine occupe la première position (21 %), mais recule de 2,4 % par rapport au mois dernier. Les Etats-Unis arrivent en deuxième place : la part de courrier indésirable envoyée depuis ce pays a augmenté de 1 % pour atteindre 19 %. La Corée du Sud referme une fois de plus le trio de tête (15,4 %) et progresse de 0,5 %. Globalement, près de 55% du courrier indésirable à travers le monde au mois d’août provenaient de ces trois pays.

 

En quatrième position, nous retrouvons Taïwan (5,5 %) qui a enregistré une faible augmentation de sa part de courrier indésirable égale à 0,1 %. La part de courrier indésirable envoyée depuis la Russie a augmenté de près de 2 %, ce qui a permis à ce pays d’atteindre la 5e position dans notre classement avec un indice de 4,3 %. Pour rappel, la Russie avait terminé en 10e position le mois dernier.

Le Japon (1,8 %) est un autre pays qui a progressé de cinq places avec une augmentation de 0,9 %. Il occupe la 11e position au mois d’août. Toutefois, si la tendance se maintient, le Japon pourrait très bien faire son entrée dans le Top 10 le mois prochain.

Les autres pays du Top 10 n’ont pas changé de position et leur chiffres n’ont enregistré que de très faibles écarts.

 

A l’issue du mois d’août, la tête du classement des pays source du courrier indésirable diffusé en Europe est occupée par la Corée du Sud qui progresse de 2,6 % pour atteindre 60 %. Elle est suivie par Taïwan (4 %) et par les Etats-Unis (3,9 %). Dans l’ensemble, les chiffres de ces deux pays n’ont pas enregistré de changements notables.

La Russie occupe ce mois-ci la 4e position avec 2,8 %. Son indice a augmenté de 1,8 %, ce qui lui a permis de progresser de 10 points vers le haut. Le Viet Nam est en 5e position avec 2,7 %, soit un recul de 0,7 % par rapport à juillet.

Le Top 10 du mois d’août compte aussi la présence de l’Indonésie (1,7 %) en 8e position. La Roumanie (1,4 %) a quant à elle abandonné sa 6e position dans le Top 10 et chute de 5 points.  L’Allemagne (1,5 %) occupe la 10e position comme au mois de juillet. Sa part n’a pratiquement pas changé.

Il faut également signaler que les flux de courrier indésirable en Asie se sont quelque peu activé en août et des pays tels que la Thaïlande (0,9 %), Singapour (0,6 %) et le Japon (0,6 %) ont fait leur entrée dans notre liste.

 

L’Asie domine toujours le classement des régions en matière de diffusion du courrier indésirable (55,2%). Le trio de tête compte , comme en juillet, l’Amérique du Nord (21%) et l’Europe de l’Est (14%). Les résultats par région n’ont pas enregistré de modifications notables. Seule l’Amérique du Nord a enregistré une hausse d’environ 1 %. L’Europe de l’Ouest (4,6 %) et l’Amérique latine (3 %) referment la liste.

Pièces jointes malveillantes dans le courrier

La part de pièces jointes malveillantes dans le courrier au mois d’août a diminué de 3,4 % et représentait 5,6 % du trafic de messagerie.

 

Trojan-Spy.HTML.Fraud.gen occupe une fois de plus la tête du classement des programmes malveillants diffusés par courrier (8,1%). Ce programme se présente sous la forme d’une copie d’une page pour la saisie de données qui sont envoyées directement aux individus malintentionnés. Il se propage d’habitude sous la forme d’un avis important envoyé par de grandes organisations commerciales.

Quatre modifications de programmes malveillants de la famille Trojan-Ransom.Win32.Blocker ont fait leur entrée dans notre liste pour ce mois. Trois d’entre elles figurent dans le Top 10 : Trojan-Ransom.Win32.Blocker.byxx (3 %), Trojan-Ransom.Win32.Blocker.bzbh (1,8 %) et Trojan-Ransom.Win32.Blocker.bysg (1,4 %) qui occupent respectivement la 2e, 5e et 7e position. Il s’agit de programmes malveillants de chantage et d’extorsion. Ils bloquent le système d’exploitation et affichent sur le Bureau une bannière qui reprend les instructions à suivre pour débloquer l’ordinateur, par exemple envoyer un SMS payant contenant un texte défini à un numéro surtaxé.

Le programme malveillant Email-Worm.Win32.Bagle.gt est en troisième position avec 2,3 %. Ce virus-ver se propage sous la forme de pièces jointes dans des messages envoyés à toutes les adresses de messagerie électronique détectées sur l’ordinateur infecté. Le virus est également capable de télécharger des fichiers depuis Internet à l’insu de l’utilisateur.

Le ver Trojan-Spy.Win32.Zbot.nyis (2,2 %) se trouve en 4e position. Il s’agit d’une modification d’un des logiciels espion les plus répandus de la famille Zbot (ZeuS). Les individus malintentionnés utilisent ces programmes pour voler différentes informations bancaires sur les ordinateurs des victimes.

Worm.Win32.Mydoom.m (1,4 %) se trouve en huitième position. Outre la fonctionnalité standard de diffusion de ses copies aux contacts de la victime, le ver peut également envoyer des requêtes masquées à certains moteurs de recherche afin d’augmenter le nombre de visites sur les sites figurant dans une liste fournie par les individus malintentionnés et améliorer le classement de ceux-ci.

En 10e position, nous trouvons une variante des vers de la famille Mydoom : Email-Worm.Win32.Mydoom.I (1,4 %). Ce ver se propage via Internet sous la forme d’une pièce jointe à un message infecté. Sa tâche principale consiste à collecter des adresses de messagerie électronique sur l’ordinateur infecté pour organiser des diffusions. Il est également doté des fonctionnalités d’une porte dérobée.

 

L’Allemagne (12,3 %) domine le classement du nombre de déclenchements de l’antivirus courrier par pays et cède la deuxième place aux Etats-Unis (10,1 %), leader du mois dernier. La Grande-Bretagne referme le trio de tête avec 8,7 % des déclenchements.

L’Inde passe de la 3e à la 5e place (6,08 %). La Russie progresse d’un peu plus d’1 % (3,48 %) : elle occupe la 9e position au mois d’août. La part des déclenchements en Australie a par contre reculé et atteignait 4 %. Le Canada referme le Top 10 avec 2,2 %.

La part de déclenchements des autres pays de la liste n’a pas contenu de grands bouleversements.

Particularités du courrier indésirable malveillant

Bien que la saison des vacances touche à sa fin, les escrocs continuent de diffuser des faux messages relatifs à des réservations de billets d’avion ou de chambres d’hôtel. Les sociétés les plus connues comme booking.com ou DeltaAirlines sont en permanence prises pour cible par les diffuseurs de courrier indésirable et en août, nous avons identifié une fois de plus des messages d’escroquerie qui reproduisaient des avis de ces sociétés. Il faut dire qu’à première vue, l’adresse de l’expéditeur semble parfaitement légitime, ce qui amène l’utilisateur à ouvrir le message.

Dans un message au nom de booking.com, les escrocs confirmaient la réservation d’une chambre d’hôtel et fournissaient des détails sur la commande, notamment la date d’arrivée et de départ ainsi que le coût total de la chambre. Le style du message était fidèle à celui du site. C’est d’ailleurs cette caractéristique qui le distingue d’un message similaire imitant une notification de la compagnie aérienne Delta. Cette notification indiquait que le paiement par carte de crédit avait été accepté et fournissait également des détails sur le numéro du vol, la date et le coût. Les auteurs du message invitaient le destinataire à cliquer sur un lien afin d’imprimer le billet et si celui-ci mordait à l’hameçon, l’action entraînait le téléchargement d’un fichier malveillant sur l’ordinateur. Dans le message prétendument envoyé par booking.com, le fichier malveillant était dans une pièce jointe. Toutefois dans les deux cas, les fichiers malveillants appartenaient à la famille Trojan-PSW.Win32.Tepfer et servaient à voler les noms d’utilisateur et le mot de passe des victimes.

Au mois d’août, après une période d’accalmie, les escrocs ont à nouveau envoyé des fausses notifications malveillantes au nom de la société Royal Caribbean International, organisatrice de croisières. Les individus malintentionnés indiquaient dans ce message que les documents électroniques relatifs à la croisière réservée étaient prêts. Ces documents contenaient des informations "importantes" dont le passager devait prendre connaissance avant d’embarquer. Il fallait également les sauvegarder et porter une copie avec le passeport et le certificat de nationalité. En réalité, les documents dissimulait le fichier malveillant Backdoor.Win32.Androm.qt qui est une modification de la porte dérobée Backdoor.Wind32.Androm et qui permet de manipuler l’ordinateur à l’insu de l’utilisateur et de l’ajouter à un réseau de zombies.

 

Les messages non sollicités sous les traits de fausses notifications utilisent également les noms de sociétés de courrier express connues comme FedEx, UPS et DHL. Dans ces messages, les diffuseurs de courrier indésirable signalent à la victime potentielle que la livraison de son colis n’a pu être réalisée en raison d’une erreur dans l’adresse par exemple. Pour pouvoir retirer le colis, il suffit d’imprimer le fichier joint au message et de se rendre dans le bureau de la société le plus proche ou confirmer certaines données comme l’adresse de livraison par exemple. Le fichier malveillant peut également se masquer sous les traits de documents contenant des informations beaucoup plus détaillées sur le colis qui, en réalité n’existe pas. Les diffuseurs de courrier indésirable tentent de donner une légitimité au faux message et souvent ils utilisent non seulement une adresse qui a l’air valide à première vue, mais ils fournissent également des informations détaillées sur la commande, des coordonnées réelles tirées du site officiel et ils copient l’avis sur le caractère confidentiel du message.

Les archives jointes à ces messages contiennent des fichiers malveillants issus de différentes familles. Ainsi, un faux message de FedEx avec l’archive FedEx Invoice copy.zip contenait le fichier exécutable FedEx Invoice copy.exe qui renfermait un cheval de Troie de la famille ZeuS/Zbot. Ce programme malveillant permet de voler les données personnelles de l’utilisateur ainsi que ses informations d’identification pour les systèmes de paiement ou de transactions bancaires par Internet. D’autres escrocs ont envoyé de faux messages au nom d’UPS avec le cheval de Troie Trojan-PSW.Win32.Tepfer.pnfu, conçu pour voler des noms d’utilisateur et des mots de passe. Nous avons également détecté un autre programme malveillant de la famille Backdoor.Win32.Androm dans de faux messages de DHL. Les individus malintentionnés comptaient accéder à l’ordinateur des victimes à l’aide de celui-ci.

 

Phishing

Au mois d’août, l’activité économique a ralenti, les commandes de publicité ont diminué et les diffuseurs de courrier indésirable se sont tournés vers les messages d’escroquerie. Au mois de juillet, la part des messages de phishing dans le courrier international a été multipliée par plus de 10 pour atteindre 0,013 %.

 
Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

A l’issue du mois d’août, le classement des organisations prises pour cible par les auteurs d’attaques de phishing n’avait pratiquement pas changé. En première position, nous retrouvons une fois de plus les réseaux sociaux avec un indice de 29,6 % identique à celui du mois de juillet.

La deuxième position revient une fois de plus aux services de messagerie (17,2 %). La part d’attaques contre les organisations de cette catégorie a reculé de 0,4 %. Les moteurs de recherche (16,1 %) ont quant à eux enregistré une légère augmentation, ce qui leur permet de conserver la 3e position.

De la 4e à la 8e position, nous retrouvons des organisations financières et de paiement (13,6 %), des éditeurs de logiciel (8,4 %), des opérateurs de téléphonie et des FAI (7,8 %), des magasins en ligne (5,4 %) et des jeux en ligne (0,7 %). Signalons que les indices de toutes les organisations ont enregistré des variations de 1 % maximum.

Au mois d’août, la société Apple aura été une des cibles de prédilection des auteurs d’attaques de phishing dans la catégorie des éditeurs de logiciels. Nous avons souvent reçu des messages en provenance de ce qui semblait être une adresse officielle de la société mais qui était en réalité un message de phishing afin de tromper l’utilisateur et de lui dérober ses informations d’identification. Par exemple, les escrocs signalaient aux destinataires de ces messages qu’ils disposaient de 48 heures pour confirmer les données de leur compte iTunes dont l’accès avait été bloqué pour des raisons de sécurité. Pour débloquer le compte, l’utilisateur devait cliquer sur un lien repris dans le message et suivre les instructions affichées. Les diffuseurs de messages non sollicités, dans le but d’endormir la méfiance du destinataire, soulignaient que le message était automatique. La demande de confirmation des données du compte sur un site tiers, ainsi que l’absence de salutation personnalisée dans le message auraient du éveiller les soupçons du destinataire.

 

Conclusion

A l’issue du mois d’août, la part part de messages non sollicités à l’échelle mondiale a reculé jusqu’à 67 %. Ceci s’explique par le ralentissement annuel de l’activité économique en été et par la réduction du volume du courrier indésirable publicitaire. Nous avons malgré tout comptabilisé un nombre élevé de diffusions consacrées à la location ou à la vente de voitures, à la médecine et aux modes de vie sains. En outre, les diffuseurs de courrier indésirable ont exploité la thématique de la rentrée des classes à travers le monde et de la fête du travail aux Etats-Unis afin de promouvoir des bonnes affaires sur les produits les plus divers.

En été, le courrier indésirable se criminalise sensiblement. Le nombre de messages d’escroquerie augmente, ainsi que le nombre de messages contenant des fichiers malveillants. Parmi les programmes malveillants diffusés par courrier en août, ce sont les chevaux de Troie espions qui dominent. Ils volent les informations financières des utilisateurs. Les vers de la famille Trojan-Ransom.Win32.Blocker ont été souvent utilisés par les escrocs : plusieurs modifications de celui-ci figurent dans le haut du classement des programmes malveillants les plus souvent détectés.

Pendant les vacances, les diffuseurs de courrier indésirable ont continué à diffuser de faux messages au nom de sociétés spécialisées dans la réservation de chambres d’hôtel et de billets d’avion. Les grandes sociétés de courrier express n’ont pas été ignorées : leur nom a été utilisé dans le cadre de campagnes de phishing et de diffusion de programmes malveillants.

Les auteurs d’attaques de phishing ont exploité la popularité des produits et des services d’Apple afin de tromper les utilisateurs et de voler les informations d’identification. Dans l’Internet russophone, les escrocs ont créé des services en ligne sous les traits de services publics officiels et les ont promus via le courrier indésirable dans le but d’obtenir les données personnelles des utilisateurs et de l’argent.

A l’issue du mois d’août, le classement des organisations prises pour cible par les auteurs d’attaques de phishing n’avait pas changé. Comme on s’y attendait, les réseaux sociaux et les services de messagerie ont conservé leur position dominante. Au cours du dernier mois d’été, l’activité des écoliers et des étudiants sur les réseaux sociaux et dans les services de messagerie électronique en ligne se maintient à un niveau élevé et par conséquent, l’intérêt des auteurs d’attaques de phishing pour ce secteur se maintient. Toutefois, quand arrive septembre, l’activité économique reprend et l’intérêt des auteurs d’attaques de phishing passe des réseaux sociaux aux organisations financières et par conséquent, le nombre d’attaques organisées contre le secteur bancaire augmente. Et parallèlement à cela, il est plus que probable que le volume de diffusion de message d’escroquerie et malveillants diminue.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *