Courrier indésirable en juin 2014

Particularités du mois

Au cours du mois de juin, les événements marquants de l’actualité comme la Coupe du monde de football ou la situation en Ukraine ont servi de base à la rédaction de messages d’escroquerie qui visaient à voler l’argent et les données financières des Internautes.

De la même manière, l’approche de la fête religieuse musulmane du Ramadan et de la fête des pères a été exploité dans le courrier indésirable (spam) anglophone afin de promouvoir divers articles ou services. On notera également dans le courrier indésirable du mois de juin des publicités pour divers services de rencontre en ligne ainsi que des offres concernant des cartes de carburant ou des bijoux.

Coupe du monde de football

La XXe Coupe du monde de football, attendue avec impatience par les supporters du monde entier, a débuté en juin. Les grands événements sportifs, parmi lesquels figurent sans aucun doute le Mondial, attirent non seulement des millions de spectateurs, mais suscitent également l’intérêt des diffuseurs de messages non sollicités et des auteurs d’attaques de phishing. Cette année, nous avons recensé les premiers messages d’escroquerie exploitant le sujet de la Coupe du monde dès le mois de novembre, soit bien longtemps avant le coup d’envoi du premier match du tournoi. Au cours du mois de juin, des individus malintentionnés ont envoyé des messages de phishing en portugais qui invitaient le destinataire à participer à un tirage au sort dans l’espoir de remporter des tickets permettant d’assister à la cérémonie d’ouverture et à des matchs de la Coupe du monde. Mais pour cela, il fallait cliquer sur un lien de phishing et saisir des informations d’identification et les données de la carte bancaire. Ce lien malveillant était associé directement à un fichier graphique que le destinataire voyait dès l’ouverture du message. Ces pages de phishing étaient hébergées dans le domaine gratuit .tk, domaine de premier niveau des îles Tokelau qui appartiennent à la Nouvelle-Zélande. Et pour convaincre la victime potentielle de l’authenticité du message, l’adresse de l’expéditeur faisait référence à la société de carte de crédit Visa ou à la FIFA

Courrier indésirable de fête

Au mois de juin, le courrier indésirable anglophone de cette catégorie a été consacré principalement à la fête des pères, célébrée le troisième dimanche du mois. Les diffuseurs de messages non sollicités ont envoyé des publicités pour des gadgets électroniques, des copies d’articles de marques connues et des armes de différentes époques. Ces publicités étaient accompagnées de remises, de soldes et autres offres spéciales pour attirer les clients. Afin de déjouer les filtres antispam, les auteurs ont placé du texte parasite à la fin des messages. Il s’agissait souvent d’extraits d’œuvres littéraires. Ils ont également utilisé les services de génération d’URL courtes dans le but de masquer l’adresse réelle et la redirection des destinataires vers le site de spam. L’objet et le corps du message faisaient allusion à la Fête des pères.

S’il est vrai que les fêtes religieuses exploitées dans le spam sont plus rares que les fêtes laïques, cela ne veut pas dire que les diffuseurs de messages non sollicités oublient de faire parvenir aux utilisateurs des publicités adaptées à l’occasion. Chaque année nous observons des messages non sollicités qui font référence au mois du Ramadan. Cette année n’aura pas été une exception : ainsi, nous avons détecté des publicités pour des restaurants qui faisaient allusion au Ramadan (et qui invitaient également le destinataire à venir voir les matchs de la Coupe du monde). Il y a eu également des messages contenant des offres pour des services informatiques ou des services d’envoi de SMS publicitaires. Le Ramadan se termine au mois de juillet et il est plus que probable que les diffuseurs de messages non sollicités continueront à exploiter ce thème au cours du prochain mois.

Escroquerie à la nigériane et Ukraine

Les auteurs d’escroquerie à la nigériane ont une fois de plus exploité la situation politique en Ukraine afin de voler l’argent d’utilisateurs trop confiants. Cette fois-ci, l’auteur du message était le prétendu assistant personnel d’une femme politique ukrainienne qui figurait parmi les premières victimes des confrontations à Kiev. Bien entendu, dans le respect des canons du genre, la défunte avait laissé à son assistant des millions de dollars qu’il fallait transférer le plus vite possible depuis l’Ukraine vers le compte du destinataire étranger. Les escrocs promettent une récompense pour la victime qui accepte de venir en aide et qui communique son numéro de compte et ils sont même prêts à compenser la victime pour les frais qui pourraient survenir lors du transfert.

Les escroqueries à la nigériane se déroulent toujours selon le même schéma. Les seules modifications se situent au niveau de l’histoire et des personnages. Il faut toutefois rappeler une fois de plus à nos utilisateurs que toutes les offres d’enrichissement évoquées dans ces messages d’escroquerie à la nigériane ne sont rien d’autres qu’une forme de voler votre argent.

Rencontres sur Internet

Une partie considérable du courrier indésirable de juin était composée de publicités pour divers services de rencontres orientés vers des groupes démographiques variés : les diffuseurs de courrier indésirable ont assuré une promotion active de site de rencontre pour les Noirs, les Musulmans, les Chrétiens, et même pour des personnes âgées ou mariées.

Nous avons également vu des messages et des diffusions distinctes au nom d’individus en particulier qui souhaitaient faire connaissance via Internet en vue de « développer une relation sérieuse et de fonder une famille ». Ces personnes utilisaient le courrier indésirable pour trouver non seulement des partenaires hétérosexuels, mais également homosexuels. En règle générale, les expéditeurs joignaient leur photo au message et incluait également leur adresse de messagerie électronique ou un lien vers leur profil sur un site de rencontres quelconque (bien souvent, ceci n’était qu’une forme de publicité déguisée pour ce service et les messages provenaient de membres imaginaires créés uniquement pour attirer des clients potentiels). Dans le corps du message, les expéditeurs décrivaient leur physique, citaient leurs centres d’intérêts et déclaraient qu’ils souhaitaient entamer une correspondance. Dans de nombreux cas, le corps du message expliquait que l’expéditeur avait obtenu l’adresse du destinataire par l’intermédiaire d’un ami commun, sur un réseau social ou sur un autre site de rencontres, ce qui n’était pas nécessairement vrai.

Les diffuseurs de messages non sollicités ont également envoyé des messages dans lesquels ils affirmaient pouvoir choisir un partenaire pour le destinataire sur la base de n’importe quel critère (âge, couleur de la peau, centre d’intérêt, etc.) en trois minutes grâce à leur "base de données des âmes sœurs". Afin de pouvoir utiliser le service, le destinataire devait envoyer un SMS au numéro payant repris dans le message. Outre le montant débité du compte de téléphonie mobile de l’auteur de la requête, les diffuseurs de messages non sollicités retiraient d’autres bénéfices tels que l’accès aux contacts de la victime, dont les numéros de téléphone de ceux-ci.

Il y a également eu des messages destinés aux personnes qui ne sont pas friandes des sites de rencontres et qui préfèrent les contacts en direct. Dans ces cas là, des messages non sollicités proposaient des leçons pour séduire les femmes ("24 lois pour séduire une femme") et autres conseils pour des relations qui fonctionnent.

Nous avons même détecté une diffusion faisant la publicité pour un service de messages non sollicités de rencontre. Les diffuseurs de courrier indésirable proposaient des services de création et de publicité (bien entendu, à l’aide de messages non sollicités) d’un nouveau site de rencontres en attirant des utilisateurs potentiels issus d’un grand nombre de pays. Le message reprenait une adresse de messagerie électronique et un nom d’utilisateur ICQ pour pouvoir communiquer.

Bijoux

Nous avons observé en juin de nombreuses campagnes de diffusion de messages qui proposaient d’acheter des bijoux. Dans la majorité des cas, il s’agissait d’offres spéciales proposées par des petits bijoutiers, des petits fabricants d’accessoire et des sociétés spécialisées dans l’extraction et la transformation de diamants. Ces messages invitaient les destinataires à collaborer et proposaient des remises sur la production.

Cartes de carburant

La vente de cartes de carburant, qui permettent d’automatiser le paiement des pleins d’essence, est un sujet fréquent dans le courrier indésirable anglophone. Ce mode de paiement est très pratique pour les sociétés de transport qui possèdent un parc de véhicules importants et qui proposent de nombreux itinéraires, ce qui complique le contrôle des ravitaillements en carburant. Les intermédiaires proposent au destinataire de comparer les prix et de choisir la chaîne de stations-services qui leur convient le mieux, puis d’introduire une demande de contrat pour une carte de carburant spéciale. Les messages non sollicités consacrés à ce sujet que nous avons détectés se distinguaient par le fait que les liens utilisés menaient à des sites créés sur des domaines enregistrés récemment. Et ces sites servent uniquement à présenter les prix.

Statistiques

Part du courrier indésirable dans le trafic de messagerie


Par du courrier indésirable dans le trafic de messagerie

Au mois de juin, la part de courrier indésirable dans le trafic de messagerie a atteint en moyenne 64,8 %, soit un recul de 5 % par rapport au mois précédent. Le volume de courrier indésirable a atteint un pic de 65,8 % au cours de la deuxième semaine du mois tandis que sa valeur la plus faible (63,5%) a été enregistrée au cours de la troisième semaine.

Répartition géographique des sources de courrier indésirable

Jusqu’à présent, les statistiques relatives aux pays sources de courrier indésirable provenaient de pièges à spam installés dans divers pays. Le courrier indésirable qui tombe dans les pièges se distingue malgré tout du courrier indésirable que reçoivent les utilisateurs réels. Ainsi, les pièges ne captent pas les messages non sollicités ciblés envoyés à des sociétés dont le profil a été étudié. C’est la raison pour laquelle nous avons changé de source de données et que nous utilisons désormais KSN (Kaspersky Security Network) afin d’obtenir les statistiques relatives au courrier indésirable sur la base des messages reçus par nos clients à travers le monde. Vu que les statistiques citées ce mois-ci proviennent d’une autre source, il ne convient pas de réaliser des comparaisons avec les statistiques de la période précédente.


Répartition des sources de courrier indésirable

A l’issue du mois de juin 2014, le trio de tête des pays sources de courrier indésirable diffusé à travers le monde est composé des Etats-Unis (13,2 %), de la Russie (7 %) et de la Chine (5,6 %).

Le Viet Nam occupe la 4e position (5,3 %). L’Argentine se trouve quant à elle en 5e position (4,1 %) Viennent ensuite dans l’ordre l’Allemagne (3,7 %), l’Espagne (3,6 %), l’Ukraine (3,2 %) et l’Italie (2,9 %).

L’Inde referme le Top 10 : 2,8 % du courrier indésirable mondial provenait de ce pays.

Pièces jointes malveillantes dans le courrier

Au mois de juin, le Top 10 des programmes malveillants diffusés par email était le suivant.


Top 10 des programmes malveillants diffusés par email

Le programme malveillant Trojan-Spy.HTML.Fraud.gen conserve sa position de leader au niveau de l’ampleur de la diffusion. Pour rappel, les représentants de la famille de chevaux de Troie Fraud.gen se présentent sous la forme d’une fausse page HTML diffusée dans un message électronique contenant une prétendue notification importante d’une banque, d’un magasin en ligne, d’un éditeur de logiciel, etc.

Trojan-Downloader.MSWord.Agent.z occupe la 2e position. Ce programme malveillant se présente sous la forme d’un fichier *.doc qui contient une macro Visual Basic for Applications (VBA) exécutée à l’ouverture du document. C’est la macro qui télécharge et lance le programme malveillant.

Nous retrouvons différentes modifications de notre vieille connaissance Bublik en 3e, 4e, 5e et 7e positions. Il s’agit de chevaux de Troie de téléchargement des plus traditionnels : ils se contentent de télécharger, puis d’exécuter un fichier malveillant sur l’ordinateur de l’utilisateur.

Backdoor.Win32.Androm.elwa figure en 6e position. Ce programme malveillant est une variation d’Andromada-Gamarue, un bot modulaire universel. Il permet de mettre en place des réseaux de zombies capables de remplir les fonctions les plus diverses. Les fonctionnalités du bot sont enrichies à l’aide d’un système de plug-ins que les individus malintentionnés chargent en quantité requise à n’importe quel moment.

Vient ensuite Email-Worm.Win32.Bagle.gt. Ce ver de messagerie se propage à toutes les adresses de messagerie électronique récoltées sur l’ordinateur infecté. Le ver est également capable de télécharger des fichiers depuis Internet à l’insu de l’utilisateur. Email-Worm.Win32.Bagle.gt diffuse les messages infectés via sa propre bibliothèque SMTP.

Trojan-Banker.Win32.ChePro.ilc se trouve en 10e position. Ce programme de téléchargement se présente sous la forme d’un applet CPL (composant de panneau de configuration) qui va télécharger des chevaux de Troie développés pour voler des informations financières confidentielles. Dans la majorité des cas, les programmes malveillants de ce type visent des banques établies au Brésil et au Portugal.

Email-Worm.Win32.Mydoom.l est en 10e position. Ce ver réseau se propage en tant que pièce jointe d’un message, via des réseaux d’échange de fichiers ou via les ressources réseau accessibles en écriture. Le programme malveillant récolte les adresses auxquelles il va se diffuser sur les ordinateurs infectés. Le ver permet à ses opérateurs d’administrer l’ordinateur infecté à distance.


Répartition des déclenchements de l’antivirus protégeant les emails par pays

L’Allemagne a fait un bon au niveau du nombre de déclenchements de l’antivirus protégeant les emails. Elle a permuté sa position avec l’Angleterre et occupe la position de leader (+8,17 %).

La Russie refait son entrée dans notre Top 20 et occupe la 13e position au mois de juin (2,03 %).

En termes de pièces jointes malveillantes, les Emirats arabes ont dépassé en juin l’Australie, Hong Kong et le Viet Nam (+0,96 %). La Suisse a quitté quant à elle le Top 20 du mois de juin pour les déclenchements de l’antivirus protégeant les emails.

Les indices des autres pays sont restés pratiquement inchangés au mois de juin.

Particularités du courrier indésirable malveillant

La période des vacances se rapproche, de nombreuses personnes en sont toujours au stade des préparatifs tandis que ceux qui ont déjà pris leur décision se chargent eux-mêmes de l’organisation et réalisent les réservations de billets d’avion et de chambres d’hôtel. Outre l’augmentation traditionnelle du volume de publicités non sollicitées consacrées à ce sujet, nous observons également une hausse du nombre de messages d’escroquerie prétendument envoyés au nom de différents services de réservation, dont certains de renommée internationale. Ces messages se présentent comme un avis de confirmation d’une réservation et contiennent des pièces jointes malveillantes présentées sous les traits de la facture pour le paiement de la réservation. Le corps du message fait allusion à des informations comme le numéro de commande, les dates de départ et de retour et le montant de la réservation qui sont toutes fictives. Le programme malveillant Trojan-Spy.Win32.Ursnif est celui que nous avons le plus souvent rencontré en juin dans les faux messages de ce genre. Ce cheval de Troie vole des données confidentielles et les envoie à un serveur distant, mais il est également capable d’écouter le trafic réseau, de télécharger et d’exécuter d’autres programmes malveillants, voire de désactiver certaines applications système comme le pare-feu.

Cela fait longtemps que les escrocs diffusent leurs pièces jointes malveillantes à l’aide de prétendues notifications non seulement de services connus de réservation, de banques ou d’hyper-marchés en ligne, mais également de magasins plus spécialisés. Ainsi, nous avons observé en juin une diffusion malveillante envoyée au nom d’une animalerie en ligne. En général, ces messages invitent le destinataire à télécharger et à imprimer un bon de remise sur l’achat d’articles pour son animal de compagnie. Pour les questions relatives à la remise, les individus malintentionnés renvoient le destinataire vers le service à la clientèle officiel de l’animalerie via un lien qui mène à la page officielle du magasin. Au lieu du PDF promis reprenant les informations relatives à l’achat, l’archive contient le programme malveillant Trojan-Banker.Win32.Shiotob.c. Ce programme malveillant vole différentes informations système, les noms d’utilisateur et les mots de passe de comptes FTP ainsi que ceux de divers sites au moment de l’ouverture de session.

Phishing

A l’issue du mois de juin, le classement des organisations prises pour cible par les auteurs d’attaques de phishing n’avait pratiquement pas changé. Les portails de courrier électronique et de recherche (32,1 %) mènent une fois de plus le classement, et ce malgré un recul de 0,2 %. Les réseaux sociaux occupent la 2e position. Leur indice a atteint 27,7 %, en progression de 3,7 %. Les indices des organisations financières et de paiement et des magasins en ligne ont reculé de 1,2 et 1,5 % pour atteindre respectivement 11,6 et 10,6 %. La part d’attaques de phishing contre les opérateurs de téléphonie et les FAI a diminué de 0,1 %, ce qui place cette catégorie en dernière position du Top 5.


Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Au cours du mois de juin, les escrocs ont envoyés de fausses notifications au nom de la société américaine Electronic Arts, spécialisée dans l’édition et la vente de jeux vidéo. L’objectif des auteurs de cette attaque était d’obtenir les données permettant d’accéder à l’espace personnel des utilisateurs du magasin en ligne Origin. Pour tromper leurs victimes, les individus malintentionnés avaient opté pour un truc vieux comme le monde : ils avaient envoyé un message qui évoquait le renforcement des mesures de sécurité du compte et dans ce contexte, ils demandaient au destinataire de confirmer qu’il était bel et bien le détenteur du compte. Afin de conférer une certaine légitimité au message, les escrocs avaient utilisé le logotype d’Origin, ils avaient placé des liens vers le site officiel de la société dans le message et ils avaient même ajouté l’avertissement traditionnel dans ce genre de message qui rappelle au destinataire de ne jamais transmettre à personne le mot de passe d’accès à son espace personnel.

Conclusion

La part du courrier indésirable dans le trafic de messagerie en juin a diminué de 5 % pour atteindre 64,8 %. Il se peut que cette réduction soit saisonnière car en été, les entreprises réduisent leur activité et de nombreux bots de diffusion de messages non sollicités sont désactivés pendant les vacances.

Les escrocs ont exploité les événements sportifs et politiques marquants du mois de juin dans le but de tromper les utilisateurs. A l’approche de la Coupe du monde de football, l’événement tant attendu par les supporters du monde entier, les auteurs d’attaque de phishing ont tenté d’obtenir les informations bancaires des destinataires en échange d’une participation à un tirage au sort instantané. Les auteurs d’escroquerie à la nigériane ont à nouveau exploité la situation difficile qui règne en Ukraine et ont sollicité de l’aide pour transférer des millions imaginaires.

A l’issue du mois de juin, le classement des organisations prises pour cible par les auteurs d’attaques de phishing est resté inchangé. Les portails de courrier électronique et de recherche occupent la tête du classement (32,1%). Les réseaux sociaux (27,7 %) conservent leur position et progressent de 3,7 %, ce qui peut s’expliquer par la hausse traditionnelle de l’activité des étudiants et des écoliers sur les réseaux sociaux pendant les vacances. Les escrocs ne peuvent pas ignorer ce phénomène. Les organisations financières et les services de paiement referment le trio de tête (11,6 %).

Le programme malveillant Trojan-Spy.HTML.Fraud.gen, diffusé dans une prétendue notification de banques ou de magasins, domine une fois de plus le classement des pièces jointes malveillantes diffusées par email. Comme nous sommes dans la période des vacances d’été, le volume de fausses notifications prétendument envoyées par des services de réservation et qui contiennent des pièces malveillantes a augmenté. L’Allemagne occupe la tête du classement du mois de juin pour les déclenchements de l’antivirus protégeant les emails (16,4 %).

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *