Courrier indésirable en février 2014

Contenu

    Particularités du mois

    Les diffuseurs de courrier indésirable ont envoyé en février de nombreuses publicités en rapport avec la Saint-Valentin (14 février). Les escroqueries à la nigériane n’ont pas manqué non plus : la situation politique en Ukraine et les événements tragiques qui ont touché ce pays ont servi de prétexte à diverses escroqueries contre les utilisateurs. Parmi les diffusions remarquables du mois, il convient de citer le tirage au sort pour une opération gratuite de correction de la vue au laser.

    Aventures de « touristes nigérians » en Ukraine

    Les escrocs sont souvent attirés par les troubles politiques. Il n’est donc pas étonnant de voir que les événements survenus en Ukraine au mois de février ont été exploités dans des messages d’escroquerie à la nigériane. Cette fois-ci, les escrocs ont utilisé les histoires connues du vol de tous les biens d’un pauvre touriste et l’appel à l’aide matérielle pour celui-ci.

    Dans un des messages d’escroquerie que nous avons détecté, l’auteur du message racontait que le voyage à Kiev en famille avait viré au cauchemar lorsque des individus armés leur avaient tout pris à l’exception des passeports. La police locale et l’ambassade ne sont d’aucune aide et le directeur de l’hôtel ne les laisse pas parti car on leur a volé l’argent qui aurait du servir à payer la note. C’est pourquoi ces voyageurs malchanceux sont obligés de contacter de bonnes âmes inconnues qui seront en mesure de les aider financièrement. L’argent doit être envoyé le plus vite possible car il ne reste pas beaucoup de temps avant le vol de retour. Les touristes s’engagent à tout rembourser dès qu’ils seront de retour chez eux.

    Dans un autre message d’escroquerie à la nigériane, les escrocs inventent également l’histoire d’un touriste en vacances à Kiev avec sa famille à qui on a volé le sac contenant toutes leurs affaires et les passeports. Le consulat leur a délivré un passeport temporaire, mais le touriste « nigérian » ne dispose plus de l’argent nécessaire pour acheter le billet d’avion et payer l’hôtel. A la différence du message antérieur, les escrocs demandent ici une somme déterminée, mais ils tentent également d’amener le destinataire au grand cœur à répondre le plus vite possible car il reste peu de temps pour acheter le vol retour et le transfert de l’argent sur le compte du touriste va durer quelques jours.

    L’histoire du touriste à qui on a tout volé, et certains autres sujets utilisés dans les escroqueries, est universelle. Elle peut être associée à n’importe quel événement marquant qui se déroule actuellement quelque part dans le monde et qui fait la une des journaux. Mais toutes ces histoires qui font référence à des événements réels ne sont que de nouveaux pièges des escrocs. La victime qui mord à l’hameçon ne vient en aide à personne et elle ne sera jamais remboursée.

    Courrier indésirable de fête

    Dans le courrier indésirable anglophone inspiré par la Saint-Valentin, nous avons identifié des diffusions de publicités pour des objets de contre-façon de marques internationales, ainsi que des publicités pour des fleurs et de la confiserie fine. Ces messages publicitaires avaient une mise en page festive. Nous avons également détecté un message d’escroquerie proposant de gagner d’importantes sommes d’argent à l’aide d’une application spéciale envoyée en tant que cadeau à l’occasion de la Saint-Valentin.

    Nous estimons que les diffuseurs de messages non sollicités vont continuer à exploiter en mars les thèmes de fêtes (Saint-Patrick, etc.) dans le cadre de la diffusion de messages non sollicités contenant des publicités pour les biens et services les plus divers.

    Correction de la vue

    Dans l’Internet anglophone, les diffuseurs de courrier indésirable ont fait la publicité de services de correction de la vue au laser, proposés parfois avec une grande remise, voire gratuitement. Le contenu du message diffusé se présentait sous la forme d’une brochure contenant un lien qui, après plusieurs redirections, menait à un des sites du diffuseur contenant des offres de correction de la vue au laser, ainsi que d’autres biens et services. Le message reprenait le nom de la clinique promue afin que l’utilisateur intéressé puisse la rechercher dans un moteur de recherche. Et pour que le message soit encore plus convaincant, certaines diffusions contenaient même des témoignages de patients ravis.

    Remplissage de cartouches

    Parmi les autres sujets marquants du mois dernier, il convient de citer les propositions de remplissage de cartouches d’imprimantes et de photocopieuses. Cette catégorie de messages non sollicités a considérablement augmenté au cours de ces deux dernières années. Nous avons rencontré des messages de ce genre en plusieurs langues, mais la présentation des messages est en général la même.

    Les messages en anglais, en suédois et dans d’autres langues proposaient principalement des services de remplissage de cartouches. La publicité indiquait directement les modèles d’imprimante couverts ainsi que le prix du remplissage. Dans certains cas, des bons de réduction ou des promotions de courte durée étaient utilisés afin de capter l’attention des destinataires. Dans une de ces diffusions, un responsable d’une société en Chine, au nom de laquelle le message était envoyé, se vantait de la participation de sa société à un salon professionnel en Allemagne et pour donner encore plus de force au message, il avait joint une photo prise à cette occasion et invitait le destinataire à le contacter directement pour passer la commande.

    Statistiques

    Part du courrier indésirable dans le trafic de messagerie


    Part du courrier indésirable dans le trafic de messagerie

    La part du courrier indésirable dans le trafic de messagerie au cours du mois de février n’a pratiquement pas changé, à l’exception d’une petite hausse pendant la troisième semaine. La part des messages non sollicités en janvier a atteint en moyenne 69,9%.

    Pays, source du courrier indésirable

    A l’issue du mois de février 2014, la liste des pays source de courrier indésirable diffusé à travers le monde ressemble à ceci :


    Pays, source de courrier indésirable

    La Chine occupe à nouveau la première position (23 %). Le mois dernier, ce pays occupait la deuxième position, mais l’augmentation de 7 % du courrier indésirable diffusé a permis à la Chine de détrôner le leader. Les Etats-Unis occupent la deuxième position (19,11 %). Au cours du mois dernier, le leader du mois de janvier a perdu 2,8 % et recule en deuxième position. La Corée du Sud complète le trio de tête avec 12,8 %. La part de courrier indésirable envoyée depuis ce pays n’a pas enregistré de grandes variations.

    La Russie (7 %) occupe la quatrième position, avec une augmentation de 1,1 %. Taïwan recule en 5e position (5;1 %) après avoir enregistré une contraction de 1,1 % de sa part de messages non sollicités.

    On a observé une réduction du volume de messages non sollicités envoyé de 0,2 % en moyenne dans les pays suivants : Inde (3,4 %), Viet Nam (3 %), Ukraine (2,3 %) et Roumanie (2 %).

    Le Japon referme le Top 10 avec 1,8 %. Par rapport au mois précédent, le pays a perdu 0,3 % et a reculé d’une place dans notre classement.

    Il convient également de noter une certaine augmentation de l’activité des diffusions de messages non sollicités en Allemagne (0,7 %) et en Grande-Bretagne (0,7 %), deux pays qui figurent également dans notre liste pour le mois de février.


    Pays, source de courrier indésirable en Europe

    Parmi les pays source de courrier indésirable destiné à l’Europe, la Corée du Sud occupe une fois de plus la première position en février (48,6 %). Par rapport au mois précédent, son indice a progressé de 1,2 %. Viennent ensuite les Etats-Unis (8,2 %), dont l’indice a augmenté de près de 3 %, ce qui a permis à ce pays de progresser d’une place. Pour rappel, les Etats-Unis refermaient le trio de tête en janvier avec 5,3 %. La troisième place est désormais occupée par Taïwan (5,5 %). La part de messages non sollicités envoyés depuis ce pays a reculé de 0,3 %.

    La Russie progresse d’une position pour atteindre la 4e place avec 5 %. Son indice a progressé de 2 %. La Chine progresse de six positions en février (3,9 %). La part de messages non sollicités envoyés depuis ce pays a augmenté de 2,5 %.

    On a également observé une hausse de 0,5 % de la part de messages non sollicités en Ukraine (2,3 %) et au Viet Nam (1,8 %) ; toutefois, si cette augmentation n’a pas eu un grand impact sur la position de l’Ukraine (elle progresse de la 8e à la 7e position), le Viet Nam quant à lui progresse de huit points et entre dans le Top 10.

    L’Inde referme le Top 10 du mois avec 1,6 %. Les indices de la Grande-Bretagne et de l’Allemagne sont légèrement inférieurs : 1,5 % et 1,4 % respectivement.

    L’Italie, quant à elle, a perdu sept positions et ne figure plus dans le Top 10. La part de courrier indésirable diffusé dans ce pays a diminué de plus d’1 %. On a également observé une réduction du courrier indésirable diffusé en Espagne (0,8 %) et en Argentine (0,7 %). L’Espagne quitte également le Top 10, alors qu’elle avait occupé la 6e position le mois dernier.


    Régions d’origine du courrier indésirable

    L’Asie domine toujours le classement des régions en matière de diffusion du courrier indésirable. Son indice était de 54 %, soit 5 % de plus que par rapport au mois de janvier. L’Amérique du Nord (20 %) occupe la deuxième position. La part de messages non sollicités diffusés depuis cette région a reculé de 3,2 %. L’Europe de l’Est est en troisième position (16,2 %) après avoir enregistré une progression de 1,2 %. Plus loin dans la liste, nous retrouvons l’Europe de l’Ouest (4,5 %), l’Amérique latine (2,7 %) et le Moyen-Orient (2,4 %).

    Pièces jointes malveillantes dans le courrier

    Au mois de février, le Top 10 des programmes malveillants diffusés par courrier électronique était le suivant.

    Cela fait déjà plusieurs mois maintenant que Trojan-Spy.HTML.Fraud.gen occupe la première position. Pour rappel, ce cheval de Troie se présente sous la forme d’une fausse page HTML diffusée dans un message électronique contenant une prétendue notification importante d’une banque, d’un magasin en ligne, d’un éditeur de logiciel, etc.

    Backdoor.Win32.Androm.bngy et Backdoor.Win32.Androm.bmvm occupent respectivement la deuxième et neuvième places. Les programmes malveillants de la famille Andromeda sont des portes dérobées qui permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu de leurs propriétaires. Les ordinateurs qui sont infectés par de tels programmes sont souvent recrutés dans des réseaux de zombies.

    Le ver de réseau Asprox occupe la troisième position. Il infecte automatiquement des sites, télécharge et lance un autre programme, récolte des informations utiles sur l’ordinateur telles que les mots de passe enregistrés ou les données d’accès aux comptes de messagerie ou aux clients FTP.

    Trojan-Spy.Win32.Zbot.rpce et Trojan-Spy.Win32.Zbot.rpce occupent respectivement la quatrième et la cinquième positions. Zbot est un cheval de Troie spécialisé dans le vol de données confidentielles. Pour rappel, il peut également installer CryptoLocker, un programme malveillant qui exige le paiement d’une somme d’argent pour déchiffrer les données de l’utilisateur.

    Vient ensuite Email-Worm.Win32.Bagle.gt, un ver de messagerie qui se propage à toutes les adresses de messagerie électronique récoltées sur l’ordinateur infecté. Le ver est également capable de télécharger des fichiers depuis Internet à l’insu de l’utilisateur. Email-Worm.Win32.Bagle.gt diffuse les messages infectés via sa propre bibliothèque SMTP.

    Trojan.Win32.Inject.hpdp occupe la huitième position. Il s’agit d’un logiciel espion et d’un enregistreur de frappes (Limitless Logger). Le programme intercepte les frappes au clavier, les informations système, les données d’autorisation sur divers sites, les mots de passe de services de messagerie, les mots de passe de gestionnaires de mots de passe.

    Trojan.Win32.Bublik.cbds, un petit Trojan-Downloader qui télécharge et installe des chevaux de Troie de la famille Zbot, referme le Top 10.

    Particularités du courrier indésirable malveillant

    Le nombre de messages relatifs aux sites de rencontre a augmenté en février en raison de la Saint-Valentin. Les messages de beaux inconnus désireux de correspondre étaient accompagnés d’archives qui renfermaient, non pas les photos promises, mais bien divers programmes malveillants, par exemple Trojan.Win32.Reconyc.rb. Il s’agit d’un cheval de Troie de type Dropper qui installe deux programmes malveillants différents dans le système : le premier est un logiciel espion qui vole sur l’ordinateur tous les documents (*.docx, *.xlsx, *.pdf) et qui les envoie à une boîte de messagerie déterminée ; le deuxième est un bot IRC/ver baptisé ShitStorm qui est capable d’organiser des attaques DDoS et de se propager via MSN et les services P2P. Nous avons également observé de nombreux programmes malveillants qui appartiennent au groupe des programmes de chantage qui verrouillent l’ordinateur de la victime et exigent le paiement d’une somme déterminée pour le débloquer. Il s’agit par exemple de Trojan-Ransom.Win32.Gimemo.boyz.

    Nous avons vu aussi des messages sans texte dont le thème se devinait via l’objet, par exemple « Regarde mes photos nues en pièce jointe ». Les pièces jointes de ces messages contenaient des programmes malveillants, dont Backdoor.Win32.Androm.bnaf de la famille Andromeda qui permet aux individus malintentionnés d’administrer l’ordinateur infecté à l’insu de son propriétaire.

    Des programmes malveillants de ce genre ont été diffusés en février via des méthodes plus traditionnelles, par exemple sous la forme de fausses notifications de représentants de réseaux sociaux connus. Ainsi, une fausse notification de Facebook signalait que de nombreux événements intéressants avaient été publiés sur le mur d’un ami depuis la dernière connexion du destinataire à Facebook. Les informations relatives à ces publications étaient prétendument reprises dans l’archive jointe au message. L’archive contenait en réalité le programme malveillant Backdoor.Win32.Androm.bmvv appartenant à la famille Andromeda dont nous avons déjà parlé.

    Phishing

    A l’issue du mois de février, le classement des organisations exploitées par les auteurs d’attaques de phishing n’a pratiquement pas changé.


    Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

    Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

    Les réseaux sociaux conservent la première position (27,3 %) et enregistrent une progression de 0,06 % seulement en février. L’indice des services de messagerie (19,34 %) a également légèrement diminué, mais cette catégorie conserve malgré tout sa deuxième position en février. Les organisations financières et les services de paiement arrivent en troisième position (16,73 %). La part des attaques de phishing impliquant ce secteur a progressé de 1,1 %.

    Les moteurs de recherche reculent en 4e position (16,51 %). Leur indice a diminué de 0,4 %. Comme en janvier, les FAI (8,43 %) et les éditeurs de logiciels (5,85 %) occupent la cinquième et sixième positions.

    Les messages de phishing au nom de grandes organisations financières ou de grands services de paiement de différents pays ont été envoyés en grand nombre par les individus malintentionnés dans le but de voler des informations financières personnelles. Nous avons découvert en février un message d’escroquerie dont l’expéditeur se faisait passer pour la petite banque de Malaisie HongLeong, et plus particulièrement le service technique de celle-ci. Le message signalait que la banque allait améliorer ses solutions de protection des données et tous les clients étaient invités à confirmer les données de leur compte en banque en cliquant sur le lien repris dans le message. L’utilisateur qui cliquait sur le lien se retrouvait sur une page de phishing imitant la page officiel d’accès à l’espace personnel du client sur le site de la banque. Toutes les données fournies étaient transmises aux individus malintentionnés qui avaient ainsi accès à l’espace personnel de la victime. Il faut signaler que l’adresse de l’expéditeur permettait de voir directement qu’il s’agissait d’un faux, même si les escrocs utilisaient le nom de la banque et tentaient de convaincre le destinataire que le message provenait d’une personne en particulier en indiquant le nom de famille et les initiales dans le nom de la boîte aux lettres. Toutefois; le domaine ne ressemblait en rien au domaine de la banque. Il s’agissait en fait du domaine d’une université australienne. Il se peut que les individus malintentionnés avaient eu accès à la boîte aux lettres et l’avait exploitée dans le cadre de cette attaque de phishing à l’insu de son propriétaire.

    Conclusion

    La part du courrier indésirable dans le trafic de messagerie en février a augmenté de 4,2 % pour atteindre 69,9 %. Cette augmentation par rapport à janvier s’explique notamment par le calme qui règne au cours des premiers jours de l’année.

    En février, les utilisateurs de l’Internet russophone ont reçu des offres de biens et de services en l’honneur de la Saint-Valentin. Les escrocs ont envoyé des messages à la nigériane qui tentaient de convaincre les destinataires en faisant référence à des événements réels survenus en Ukraine et en mettant en scène des touristes à qui on avait tout volé.

    Parmi les messages contenant des pièces jointes malveillantes, nous avons observé des fausses notifications standard issues de réseaux sociaux connus ainsi que des messages de sites de rencontre, dont le nombre a augmenté en raison de la Saint-Valentin célébrée en février.

    A l’issue du mois de février, le classement des organisations dont le nom est exploité dans les attaques de phishing est encore et toujours mené par les réseaux sociaux. Les services de messagerie conservent leur deuxième position tandis que les organisations financières et les services de paiement passent en troisième position, après une progression de 1,1 %.

    Posts similaires

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *