Courrier indésirable en décembre 2013

Sommaire

Particularités du mois

En décembre, les diffuseurs de messages non sollicités ont tenté d’attirer l’attention de clients potentiels avec les offres de cadeaux et de vacances d’hiver les plus diverses et inhabituelles en exploitant le sujet des fêtes de fin d’année. Les biens et services de saison n’ont pas été sans reste. Le décès de Nelson Mandela aura été un autre prétexte pour la diffusion de messages d’escroquerie le mois passé.

Parmi les thèmes exploités par les diffuseurs de courrier indésirable en décembre, il convient de citer également la crise financière. Sur fond de nouvelles relatives aux effets possibles de la crise, les diffuseurs de courrier indésirable ont tenté de présenter les services dont ils assuraient la promotion sous le meilleur jour et d’attirer des clients potentiels.

Courrier indésirable du Nouvel An

La demande pour des biens et des services de saison augmente sensiblement en décembre alors que des millions de personnes à travers le monde sont à la recherche de cadeaux pour les membres de leur famille et leurs amis. Afin d’attirer de nouveaux clients et d’augmenter les ventes, certains particuliers et sociétés se tournent vers les diffusions de messages non sollicités.

A l’approche de la Noël catholique, nous avons observé des messages proposant des remises sur des biens et des services ainsi que des publicités pour des lettres du Père Noël destinées aux enfants. Quelle ne fut pas notre surprise de voir que les publicités pour des bouquets de fleurs, caractéristiques de la Saint Valentin ou de la Fête des mères, étaient consacrées à Noël en décembre. Des publicités pour la personnalisation de souvenir figuraient également dans les flux de messages non sollicités, mais en décembre elles portaient plus précisément sur des décorations pour le sapin de Noël.

 

Les sociétés spécialisées dans la diffusion massive de messages électroniques et la promotion de sites Internet ont attiré de nouveaux clients en décembre à l’aide de ristournes à l’occasion de Noël.

 

L’avocat nigérian de Nelson Mandela

Nelson Mandela, huitième Président de la République d’Afrique du Sud, est décédé au début du mois de décembre à l’âge de 96 ans. Les escrocs ne pouvaient pas ignorer cette triste nouvelle et nous avons repéré les premiers messages non sollicités d’escroquerie à la nigériane au milieu du mois. Les escrocs, dans un message écrit par l’avocat personnel de feu Nelson Mandela, utilisaient les pièges traditionnels pour tromper le destinataire : le message demandait l’aide de destinataire pour investir plusieurs millions de dollars. Il promettait une généreuse récompense et proposait des liens vers des sources d’informations connues. Pour obtenir davantage de détails sur cette coopération, il suffisait à la victime de répondre au message. La réponse était renvoyée à une adresse de messagerie enregistrée sur un service gratuit.

 

Courrier indésirable contre la crise

La situation économique dans de nombreux pays est instable et le mot "crise" apparaît souvent dans les articles de fond publiés par la presse. C’est sur ce sujet que les auteurs de différentes diffusions de messages non sollicités ont tenté de spéculé le mois dernier. Dans les messages en anglais, la crise est la raison avancée pour justifier l’achat de montres de contrefaçon à des prix intéressants. Ces messages contenaient des liens vers des domaines qui venaient d’être créés et dont le nom contenait souvent l’expression "luxurywatch". Ces domaines hébergeaient le site du magasin qui vendait les répliques.

 

Visas et voyages

Ceux qui n’avaient pas eu le temps de planifier et d’organiser leurs vacances d’hiver pouvaient compter sur les messages non sollicités proposant l’obtention de visas pour n’importe quel pays dans des délais brefs et sans rendez-vous au consulat.

 

Les auteurs de ces messages anglophones proposaient différentes méthodes pour simplifier l’obtention d’un visa, dont l’achat d’un voyage en dernière minute ou la participation à une loterie. Mais ces messages provenaient d’institutions qui n’avaient aucun lien avec les représentations diplomatiques officielles des pays.

Répartition géographique des sources de courrier indésirable

Part du courrier indésirable dans le trafic de messagerie

 
Part du courrier indésirable dans le trafic de messagerie

La part la plus importante de courrier indésirable a été observée au cours de la deuxième moitié du mois, ce qui correspondait au pic de l’activité des diffuseurs de courrier indésirable à l’approche des fêtes de fin d’année. Vers la fin du mois, nous observions déjà une réduction de l’activité, ce qui a donné une part moyenne de 73,3 % de courrier indésirable dans le trafic de messagerie.

Pays, source du courrier indésirable

 
Pays, source de courrier indésirable

La situation en fin d’année est restée inchangée au niveau du volume de courrier indésirable mondial et de sa répartition géographique. La liste des pays source de courrier indésirable et la part de messages non sollicités envoyés depuis ces pays n’ont pratiquement pas changé. A l’issue du mois de décembre 2013, la Chine occupe encore la première position avec 23,1 %. La deuxième position revient aux Etats-Unis (19 %). Et la Corée du Sud referme le trio de tête (13,9 %). Dans l’ensemble, ces trois pays ont été le point de départ le mois dernier de 56 % du courrier indésirable mondial.

Taïwan (6,5%) conserve sa quatrième position du mois de novembre. Vient ensuite la Russie avec 5,4 % du courrier indésirable. La Roumanie referme le Top 10 avec 1,6%.

La part de courrier indésirable envoyé depuis le Canada a été divisée par deux (0,8 %), ce qui a provoqué un recul de quatre places de ce pays en 14e position.

Par contre, l’Espagne (0,7 %) et Israël (0,7 %) ont enregistré une légère augmentation de leur part de courrier indésirable, ce qui leur a permis de figurer dans notre liste pour le mois de décembre :

 
Pays, source du courrier indésirable en Europa

A l’issue du mois de décembre, le principal pays d’origine du courrier indésirable reçu en Europe est la Corée du Sud (53,1 %). Par rapport au mois antérieur, elle enregistre un recul de près de 3 %. Les Etats-Unis (7,4 %) occupent la deuxième position, après une augmentation de près de 2 % de la part de messages non sollicités en provenance de ce pays. Les Etats-Unis ont pu ainsi gagner une position. Pour rappel, les Etats-Unis refermaient le trio de tête en novembre. Désormais, c’est Taïwan qui est en troisième position (6 %).

L’augmentation de 2,1 % de la part de messages non sollicités envoyés depuis la Chine a permis à ce pays de progresser de sept positions pour occuper la quatrième place. La Russie occupe une fois de plus la cinquième position (2,7 %).

Le Viet Nam referme le Top 10 avec 1,4 %. Nous avons remarqué une légère réduction (0,9 %) de la part de courrier indésirable envoyée depuis ce pays.

Les diffuseurs de courrier indésirable en Italie se sont un peu activés, ce qui a permis de porter la part de messages non sollicités envoyés à 1,4 %. Il convient également de signaler la faible augmentation de l’activité de diffusion de messages non sollicités en Espagne : ce pays a fait son entrée dans le Top 10 du mois de décembre avec 1,3 %.

 
Régions d’origine du courrier indésirable

L’Asie demeure en décembre la principale région source de courrier indésirable avec 56,6 % ; par rapport au mois antérieur, on observe un recul de 2 %. Vient ensuite l’Amérique du Nord (19,9 %) qui enregistre une faible progression de 0,3 %. L’Europe de l’Est complète le trio de tête avec 13,7 %. Viennent ensuite l’Europe de l’Ouest (4,4 %) et l’Amérique latine (2,5 %). La part de courrier indésirable pour le Proche-Orient atteint 2,4 %.

Pièces jointes malveillantes dans le courrier

Au mois de décembre, le Top 10 des programmes malveillants diffusés par courrier électronique était le suivant :

 
Top 10 des programmes malveillants diffusés par courrier électronique

Le programme Trojan-Spy.HTML.Fraud.gen se retrouve une fois de plus en tête du classement. Cela fait déjà quelques mois maintenant qu’il maintient sa première position. Pour rappel, les représentants de la famille de chevaux de Troie Fraud.gen se présentent sous la forme d’une fausse page HTML diffusée dans un message électronique contenant une prétendue notification importante d’une banque, d’un magasin en ligne, d’un éditeur de logiciel, etc.

Les deuxième, quatrième et sixième position reviennent respectivement à Trojan-PSW.Win32.Tepfer.stlj, Trojan-PSW.Win32.Tepfer.swrz et Trojan-PSW.Win32.Tepfer.sugm. Il s’agit de logiciels espion qui volent les cookies et les mots de passe du navigateur ainsi que les mots de passe des clients FTP et des clients de messagerie afin de les envoyer à des individus malintentionnés.

La troisième position revient à Trojan.Win32.Inject.gxgh. Ce programme malveillant installe à l’insu de la victime une extension malveillante pour Google Chrome et Mozilla Firefox. Cette extension intercepte les recherches lancées sur un grand nombre de moteurs, envoie la requête au serveur de l’individu malintentionné puis remplace les résultats de la recherche. En d’autres termes, elle propose des résultats qui ne sont pas réels mais qui ont été falsifiés et fabriqués par des individus malintentionnés.

Notre vieille connaissance Email-Worm.Win32.Bagle.gt occupe la cinquième position. Il s’agit d’un ver de messagerie qui se propage à toutes les adresses de messagerie trouvées sur l’ordinateur infecté. Le ver est également capable de télécharger des fichiers depuis Internet à l’insu de l’utilisateur. Email-Worm.Win32.Bagle.gt diffuse les messages infectés via sa propre bibliothèque SMTP.

La huitième et la neuvième position du classement des programmes malveillants les plus diffusés par courrier en décembre reviennent respectivement à Net-Worm.Win32.Aspxor.apo et Net-Worm.Win32.Aspxor.app. Asprox est un ver de réseau qui diffuse du courrier indésirable. Il peut infecter automatiquement des sites, télécharger et lancer un autre programme, récolter des informations utiles sur l’ordinateur telles que les mots de passe enregistrés ou les données d’accès aux comptes de messagerie ou aux clients FTP.

Trojan-Spy.Win32.Zbot.qvpu se trouve en neuvième position dans notre classement. La famille Zbot/Zeus regroupe des chevaux de Troie développer pour attaquer des serveurs et des ordinateurs de bureau et pour intercepter des données. Bien que ce cheval Troie soit en mesure de réaliser diverses actions malveillantes, il intervient généralement dans le vol d’informations d’identification pour l’accès aux services de transactions bancaires par Internet. Il peut également installer CryptoLocker, un programme malveillant qui chiffre les données de l’utilisateur avant d’exiger un paiement de celui-ci pour déchiffrer ces données.

 
Répartition des déclenchements de l’Antivirus Courrier par pays

Depuis le mois de novembre, la première place du classement des pays par déclenchements de l’Antivirus Courrier est occupée par la Grande-Bretagne (14 %). En décembre, elle a progressé de 1,7 %. La part de déclenchements aux Etats-Unis (13,2 %) a également augmenté de 3,1 %, ce qui permet à ce pays d’atteindre la deuxième position. L’Allemagne se retrouve en troisième position, après un recul de 1 %.

La part des déclenchements de l’Antivirus Courrier sur le territoire russe a reculé et représente 1,7 %. La part de déclenchements de l’Antivirus Courrier dans les autres pays n’a pas connu de modifications notables en décembre.

Particularités du courrier indésirable malveillant

De plus en plus souvent, les escrocs qui envoient des messages malveillants utilisent en tant que nom d’expéditeur le nom de sociétés connues qui vendent des appareils électronique ou des logiciels. Le calcul des individus malintentionnés est simple : l’utilisateur qui reçoit un message d’une société dont il est souvent client va marquer un intérêt pour le message et il est fort probable qu’il ouvrira l’archive contenant le programme malveillant.

Au cours du mois dernier, nous avons vu un nombre important de messages envoyés au nom de Samsung, géant de la téléphonie, de l’électroménager et de l’audiovisuel, ainsi qu’au nom de l’éditeur de logiciels américain Adobe Systems Inc.

 

Dans le cas des messages en provenance de Samsung, les individus malintentionnés se faisaient passer pour un cadre de la société. Dans ce message, le cadre expliquait qu’il devait organiser la livraison urgente d’une production quelconque et après de longues recherches pour trouver un intermédiaire, le choix était tombé sur le destinataire du message et sa société. Pour prendre connaissance des articles concernés par la commande, il fallait consulter le fichier en pièce jointe. Le message évoquait également les délais de livraison dans le cadre desquels il fallait régler toutes les formalités en rapport avec les documents et le paiement. Le message se terminait par la signature du cadre avec ses coordonnées. L’archive contenait en réalité un programme malveillant détecté par Kaspersky Lab sous le nom de Trojan-Spy.Win32.Zbot.qzpl. Il s’agit d’un cheval de Troie espion de la famille Zbot/Zeus, conçu pour voler les informations confidentielles de l’utilisateur.

 

Les messages prétendument envoyés par Adobe imitaient la confirmation de l’achat d’un logiciel de la société et contenaient la clé d’activation de ce dernier. Mais au lieu de renfermer le code d’activation, il se fait que l’archive jointe au message contenait un ver détecté par Kaspersky Lab sous le nom de Net-Worm.Win32.Aspxor.apo. Il s’agit d’un ver qui appartient à la famille Net-Worm.Win32.Aspxor et que les individus malintentionnés utilisent pour diffuser du courrier indésirable. Il peut également infecter des sites, télécharger et installer une application et voler des données sur l’ordinateur de l’utilisateur.

Phishing

A l’issue du mois de décembre, le classement des organisations prises pour cible par les auteurs d’attaques de phishing n’a pratiquement pas changé.

 
Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Les réseaux sociaux (26,9 %), toujours en recul (-0,4 %), occupent une fois de plus la première position. Les indices des services de messagerie (19,5 %) et des moteurs de recherche (16,6 %) ont légèrement augmenté en décembre, ce qui place ces catégories en 2e et 3e position respectivement.

L’indice des organisations financières et de paiement (15,8 %) a diminué de 0,3 %, mais cette catégorie conserve sa 4e position en décembre.

La catégorie "Opérateurs de téléphonie et FAI" a à nouveau permuté de position avec la catégorie "Editeurs de logiciels" et en décembre elles occupaient respectivement la 5e et 6e position. L’indice de la catégorie "Editeurs de logiciels" (6 %) a reculé, alors que celui de la catégorie "Opérateurs de téléphonie et FAI" a augmenté de 2,4 % (8,5 %).

Les indices des jeux en ligne, des organisations gouvernementales et des médias n’ont pratiquement pas changé ; ces catégories occupaient en décembre les 8e, 9e et 10e position respectivement.

Certaines banques demeurent toujours une cible pour les auteurs d’attaques de phishing. Ainsi, en décembre, les individus malintentionnés ont à nouveau diffusé de fausses notifications au nom de la banque indienne ICICI. Le message signalait que les mesures de protection du service de transactions bancaires par Internet avaient été améliorées et le client devait se connecter afin de confirmer que la mise à jour avait réussi. Des instructions étape par étape étaient fournies et l’utilisateur était invité à ouvrir un fichier HTML en pièce jointe, à saisir les informations requises et à les confirmer. Il faut signaler que ce message contenait deux pièces jointes, une pour les entreprises et l’autre pour les clients particuliers. Toutefois, les champs qu’il fallait remplir étaient identiques. Une fois saisies sur les pages HTML de phishing, les données étaient transmises aux individus malintentionnés qui pouvaient ainsi accéder au compte de la victime.

 

Pour convaincre le destinataire de la légitimité du message, les individus malintentionnés utilisaient une adresse d’expédition semblable à l’adresse officielle tandis que le corps du message contenait des instructions détaillées sur l’activation, ce qui est rare dans les messages de phishing. De plus, les pages de phishing jointes au message ressemblaient à des pages du site officiel de la banque.

Conclusion

La part du courrier indésirable dans le trafic de messagerie en décembre a augmenté de 0,8 % pour atteindre 73,3 %. Le volume de courrier indésirable devrait se contracter en janvier car le début du mois de janvier est toujours marqué par une accalmie dans la diffusion de messages non sollicités : beaucoup de réseaux de zombies sont inactifs pendant la période des fêtes de fin d’année et l’activité des utilisateurs recule également.

Comme nous l’avions prévu, le nombre de messages non sollicités inspirés par les fêtes de fin d’année a atteint son pic en décembre. Et en 2013, ce type de courrier indésirable s’est encore un peu plu diversifié avec de nouvelles offres. La tendance à l’augmentation du courrier indésirable graphique consacré aux fêtes de fin d’année se maintient. 

Le décès de Nelson Mandela en décembre aura été un autre prétexte pour la diffusion de messages d’escroquerie à la nigériane au nom de collègues de l’ancien président et l’organisation d’escroquerie des utilisateurs. Nous nous attendons à ce que la diffusion de messages d’escroquerie en rapport avec ce triste événement se poursuive en janvier.

A l’issue du mois de décembre, la catégorie "Réseaux sociaux" maintient sa première position dans le Top 100 des organisations prises pour cible par les auteurs d’attaques de phishing. Son indice a reculé de 0,4 %. Viennent ensuite les services de messagerie et les moteurs de recherche qui ont enregistré une légère progression. L’indice des organisations financières (4e position) a quant à lui reculé et atteint 15,8 %. Il ne faut pas s’attendre à de grands bouleversements dans cette liste au mois de janvier.

S’agissant des diffusions malveillantes, les escrocs se seront dissimulés en décembre non seulement derrière le nom d’organisations financières ou de réseaux sociaux, mais également derrière le nom de sociétés connues qui produisent des appareils électroniques et des logiciels utilisés dans le monde entier.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *