Courrier indésirable en septembre 2012

Sommaire

Septembre en chiffres

  • Par rapport au mois d’août, la part du courrier indésirable dans le trafic de messagerie a diminué de 2,3% pour atteindre en moyenne 72,5%.
  • Par rapport au mois d’août, la part de messages de phishing dans le trafic de messagerie a été multipliée par deux et représente 0,03%.
  • Au mois de septembre, 3,4% des messages électroniques contenaient des fichiers malveillants, soit 0,5% de moins que le mois passé.

Principaux sujets du courrier indésirable

Escroquerie via courrier indésirable

Par rapport au mois d’août, le courrier indésirable a contenu moins de messages malveillants et d’escroquerie. Nous avons toutefois détecté des diffusions de messages d’escroquerie qui exploitaient de nouvelles astuces d’ingénierie sociale.

Escroquerie au pétrole et au gaz

Parmi les messages d’escroquerie traditionnels annonçant un gain à une loterie, nous avons identifié des messages utilisant le nom de la plus grande société russe d’exploitation de gaz, à savoir Gazprom (exemple 1). Le texte assez élémentaire du message indiquait au destinataire qu’il avait gagné 920000 dollars américains et que pour recevoir cette somme, il devait composer le numéro de téléphone indiqué. Pour rappel, dans le cadre d’une escroquerie impliquant des gains à une loterie, les individus malintentionnés exigent le versement d’une commission pour le transfert des gains qui, bien entendu, n’existent pas. Il convient d’indiquer également que le message était rédigé en anglais.

Gazprom n’est pas la seule société russe qui est apparue dans le courrier indésirable d’escroquerie au mois de septembre. Lukoil a également été très rentable pour les escrocs. Des messages non sollicités traditionnels proposant un travail à domicile pour un revenu très attrayant insistaient sur le fait que l’utilisateur n’allait pas travaillé pour « une certaine grande société », mais bien pour Lukoil. Il est clair que cette astuce visait à réduire la méfiance des destinataires du message. En réalité, la mention de cette grande société pétrolière russe n’est qu’une couverture. De telles diffusions visent à recruter les utilisateurs dans des programmes illégaux de blanchiment d’argent, bien souvent à l’insu des utilisateurs. Le « travail » consiste à transférer l’argent des comptes des « employeurs » vers celui de l’utilisateur, puis vers un tiers. Ce travail est présenté à l’utilisateur comme un travail pour un magasin en ligne alors qu’il s’agit en réalité de traiter de l’argent obtenu via des cartes de crédit volées ou clonées.

Il est intéressant de constater que dans ces deux cas, le champ de l’expéditeur reprend une adresse du domaine mail.com, ce qui laisse croire que ces deux diffusions ont la même source. On peut se demander également si l’auteur n’est pas originaire de l’ex-URSS car ces messages en anglais font référence à des sociétés russes.

Pour rappel, les diffuseurs de courrier indésirable peuvent utiliser dans leurs messages n’importe quel nom ou marque connu dans le seul but d’atteindre le niveau de réaction plus important vis-à-vis de leur diffusion. La mention d’une grande société dans un message non sollicité ne rend pas celui-ci inoffensif.

Michelle Obama et Asma Assad

Le quatrième exemple confirme que les diffuseurs de courrier indésirable peuvent citer n’importe quelle personnalité connue dans leurs messages d’escroquerie. Ce message a été écrit au nom de Michelle Obama, l’épouse du Président des Etats-Unis, pour signaler au destinataire qu’il a obtenu un paiement du fond de la Maison Blanche.

Ce message traditionnel de type « loterie » a attiré notre attention non seulement par le fait que son « auteur » est Michelle Obama. Il est intéressant de voir comment les diffuseurs de messages non sollicités tiennent compte de l’opinion publique relative à telle ou telle personnalité. Ainsi, depuis le mois d’avril, nous détectons dans le flux de courrier indésirable des messages envoyé par Asma Assad, l’épouse de Bashar Assad, le leader syrien. Toutefois, à la différence du message envoyé par Michelle Obama, le message de la « première dame de Syrie » n’évoque pas un gain à une loterie, mais bien des sommes d’argent qu’il faut envoyer à l’étranger. Les auteurs de courrier indésirable comprennent que pour l’utilisateur, il serait étrange de voir un membre de la famille du président des Etats-Unis qui tente d’envoyer de l’argent d’origine douteuse hors des Etats-Unis alors que personne ne s’étonne d’un paiement en provenance d’un fond reconnu par la première dame des Etats-Unis. La situation est toute autre avec l’épouse du président syrien: l’utilisateur sera plus méfiant s’il trouve un message à propos de largesses syriennes que s’il reçoit un message relatif à une tentative de transfert d’argent volé hors du pays.

Le contenu du champ « De » du message suscite l’étonnement à lui seul. L’expéditeur du message est World Wide Web Owner. C’est surprenant car cela revient à dire que l’utilisateur a reçu un message d’un propriétaire mythique d’Internet car World Wide Web, c’est bien WWW. Si nous poursuivons notre analyse, nous voyons que le domaine dans lequel se trouve la boîte aux lettres du propriétaire d’Internet est le domaine .ru. Comme le montre le message, ce propriétaire de tout l’Internet écrit au nom de Michelle Obama. La boîte aux lettres de Michelle en personne reprise dans le champ Expéditeur est tout à fait étonnante: tout d’abord, elle commence par la combinaison de lettres « missnadia », ce qui veut dire Miss Nadia. On a du mal à s’imaginer que Michelle Obama aurait choisi un pseudonyme aussi étrange pour sa boîte aux lettres. Il est également difficile d’expliquer pourquoi cette boîte aux lettres a été créée sur la version chinoise de Yahoo. Et puis il est tout à fait impensable que la première dame des Etats-Unis envoie des messages officiels relatifs à des dons depuis une telle adresse.

L’histoire des achats de groupe se poursuit

Comme nous nous y attendions, le thème des achats de groupe et des coupons est de plus en plus populaire chez les individus malintentionnés. Au mois de septembre, nous avons détecté des diffusions contenant des liens vers des sites infectés (exemple 5). Les messages ressemblaient à des messages officiels de Groupon, si ce n’est que le contenu du champ « Expéditeur » n’avait rien à voir avec le service en question.

Les fêtes de fin d’année sont proches

La tradition veut que les diffusions inspirées par les fêtes de fin d’année commencent en général au mois d’octobre. En général, nous détectons d’abord des messages en anglais, en allemand et dans d’autres langues européennes. Cette année fait figure d’exception. Nous avons détecté au mois de septembre déjà la première diffusion qui exploite le thème des fêtes de fin d’année et ces messages étaient en russe. Les messages, envoyés depuis une adresse à Kiev, invitent les destinataires à assister à une représentation de fin d’année pour les enfants Moscou.

Sujets d’actualité

La vidéo « L’innocence des musulmans » diffusée sur Youtube a fait beaucoup de bruit au mois de septembre. En Russie, elle a même été la cause du blocage de Youtube dans certaines régions.

Les partisans de cette vidéo ont tout fait pour la diffuser, y compris par courrier indésirable. Nous nous attendions à découvrir des messages contenant des liens vers des sites infectés présentés comme des liens vers cette vidéo. Nos prévisions ne se sont pas réalisées: les diffusions faisant allusion à cette vidéo que nous avons détectées ne contenaient ni code malveillant, ni liens dangereux.

Nous tenons à préciser que tous les messages que nous avons détectés étaient en anglais.

Survol statistique

Pays, source du courrier indésirable

Voici le classement des pays source de courrier indésirable envoyé aux utilisateurs en Europe.

A l’issue du mois de septembre, les pays qui occupent la deuxième et la troisième place dans le classement des pays source de courrier indésirable diffusé en Europe ont changé: les Etats-Unis ont progressé d’une place (+1,8%) alors que l’Inde a cédé sa deuxième place dans le classement (-1,1%). La Corée du Sud et le Viet Nam enregistrent également un recul marqué: ces deux pays, qui figuraient dans le Top 6 du mois dernier, se sont retrouvés respectivement en 12e et 14e position. La hausse la plus sensible a été enregistrée au niveau du courrier indésirable envoyé depuis l’Espagne (+2,9%) et depuis la Grande-Bretagne (+1,8%).

A l’échelle mondiale, la Chine, avec 26,4%, conserve la tête du classement des pays source de courrier indésirable. On retrouve les Etats-Unis en deuxième position (12,5%) et l’Inde en troisième (10,1%).

A la différence de leur résultats dans le classement pour l’Europe, la Corée du Sud et le Viet Nam figurent dans le Top 10 du classement mondial des pays source de courrier indésirable. Dans l’ensemble, la répartition entre les pays source de courrier indésirable à l’échelon mondial est bien plus équilibrée, même si la Chine, qui mène aussi bien en Europe qu’en Asie, devance ses concurrents les plus proches en raison du volume du trafic de courrier indésirable en provenance de ses frontières.

Pièces jointes malveillantes dans le courrier

Au mois de septembre, 3,4% des messages électroniques contenaient des fichiers malveillants, soit 0,5% de moins que le mois passé.

Répartition des déclenchements de l’Antivirus Courrier par pays

TOP 10 des programmes malveillants diffusés par courrier

A l’issue du mois de septembre, la part de détections par l’Antivirus Courrier de Trojan-Spy.HTML.Fraud.gen s’est fortement contractée. Ce programme malveillant n’est même pas rentré dans le Top 10.

En tête du classement, nous avons le programme malveillant Backdoor.Win32.Androm.kv et en 6e position, un autre programme malveillant de la même famille, la modification Androm.ib. Pour rappel, les programmes malveillants de cette famille sont apparus en juin dans le Top 10 des programmes les plus souvent détectés par notre Antivirus Courrier et ils sont restés tous l’été parmi les programmes malveillants les plus populaires dans le courrier. Ces programmes malveillants, une fois installés dans le système de l’utilisateur, téléchargent d’autres programmes malveillants depuis Internet, y compris des bots de courrier indésirable.

Les vers de messagerie Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m et Mydoom.l occupent respectivement la deuxième, la troisième et la quatrième place. Pour rappel, la fonction standard des vers de messagerie consiste à récolter des adresses de messagerie sur l’ordinateur infecté et à y envoyer sa copie. Bagle.gt est le seul des trois à être doté d’une fonctionnalité complémentaire, à savoir la possibilité de se connecter à Internet et de télécharger d’autres programmes malveillants

Sur les 10 programmes malveillants les plus souvent rencontrés dans le courrier, quatre appartiennent à la famille Trojan-Ransom.Win32.PornoAsset. Il s’agit de programmes d’escroquerie qui bloquent le système d’exploitation et qui exigent le versement d’une somme pour le déblocage. Nous tenons à signaler que même après le versement, le système n’est pas débloqué, si bien que la victime ne gagne rien à obéir aux instructions de l’individu malintentionné. Il est préférable de contacter des experts qui vous expliqueront comment débloquer le système.

Phishing

Par rapport au mois d’août, la part de messages de phishing dans le trafic de messagerie a été multipliée par deux et représente 0,03%.

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Contrairement à nos attentes, la part d’attaques contre les réseaux sociaux n’a pas diminué au mois de septembre. Cette catégorie occupe toujours la première place en terme de popularité chez les auteurs d’attaques de phishing. La part d’attaque a légèrement augmenté (+0,1%). Les attaques contre les organisations financières sont en recul de 3,6%, ce qui ne correspond pas non plus à nos pronostics. Il semblerait que la réduction des attaques contre les banques et les organisations financières soit liée au renforcement de la protection que les banques offrent à leurs clients et à l’introduction de technologies de protection complémentaires et de technologies d’autorisation.

Sujets du courrier indésirable

Conclusion

Comme nous l’avions prévu, le volume de messages malveillants et d’escroquerie a quelque peu diminué en septembre car les vacances sont terminées, l’activité économique reprend et les diffuseurs de courrier indésirable reçoivent plus de commandes de la part de petites et moyennes entreprises. 3,4% des messages électroniques contenaient des fichiers malveillants, soit 0,5% de moins que le mois passé. Ceci étant dit, nous avons détecté des diffusions de messages d’escroquerie qui exploitaient de nouvelles astuces d’ingénierie sociale.

Nous avons repéré au mois de septembre le premier message consacré à la Nouvelle année. En général, ces messages apparaissent seulement en octobre, mais cette année est une exclusion. La part de ces messages va augmenter au cours des prochains moins et les diffusions consacrée aux fêtes de fin d’année vont prendre les formes les plus diverses.

Le classement des pays selon les déclenchements de l’Antivirus Courrier pour le mois de septembre a connu des modifications très marquées. Les Etats-Unis, en tête du classement pendant 8 mois d’affilée, ont enregistré un recul inattendu: la part de détections de notre Antivirus Courrier dans ce pays a reculé de 6,9%. Les modifications touchent également le classement des logiciels antivirus les plus souvent détectés par l’Antivirus Courrier: Trojan-Spy.HTML.Fraud.gen, leader traditionnel de notre classement, a enregistré une très grande chute et ne figure même plus dans le Top 10.

La répartition des attaques de phishing par catégorie ne correspond pas à nos pronostics pour le mois de septembre: la part d’attaques contre les réseaux sociaux n’a pas diminué et au contraire de nos attentes, la part d’attaques contre les institutions financières a diminué. Il semblerait que la réduction des attaques contre les banques et les organisations financières soit liée au renforcement de la protection que les banques offrent à leurs clients et à l’introduction de technologies de protection complémentaires et de technologies d’autorisation. Toutefois, cette perte d’intérêts des auteurs d’attaques de phishing contre le secteur bancaire peut être temporaire car en cas de réussite, ce sont ces attaques qui rapportent le plus aux individus malintentionnés.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *