
Sommaire
Septembre en chiffres
- Par rapport au mois d’août, la part du courrier indésirable dans le trafic de messagerie a diminué de 2,3% pour atteindre en moyenne 72,5%.
- Par rapport au mois d’août, la part de messages de phishing dans le trafic de messagerie a été multipliée par deux et représente 0,03%.
- Au mois de septembre, 3,4% des messages électroniques contenaient des fichiers malveillants, soit 0,5% de moins que le mois passé.
Principaux sujets du courrier indésirable
Escroquerie via courrier indésirable
Par rapport au mois d’août, le courrier indésirable a contenu moins de messages malveillants et d’escroquerie. Nous avons toutefois détecté des diffusions de messages d’escroquerie qui exploitaient de nouvelles astuces d’ingénierie sociale.
Parmi les messages d’escroquerie traditionnels annonçant un gain à une loterie, nous avons identifié des messages utilisant le nom de la plus grande société russe d’exploitation de gaz, à savoir Gazprom (exemple 1). Le texte assez élémentaire du message indiquait au destinataire qu’il avait gagné 920000 dollars américains et que pour recevoir cette somme, il devait composer le numéro de téléphone indiqué. Pour rappel, dans le cadre d’une escroquerie impliquant des gains à une loterie, les individus malintentionnés exigent le versement d’une commission pour le transfert des gains qui, bien entendu, n’existent pas. Il convient d’indiquer également que le message était rédigé en anglais. Gazprom n’est pas la seule société russe qui est apparue dans le courrier indésirable d’escroquerie au mois de septembre. Lukoil a également été très rentable pour les escrocs. Des messages non sollicités traditionnels proposant un travail à domicile pour un revenu très attrayant insistaient sur le fait que l’utilisateur n’allait pas travaillé pour « une certaine grande société », mais bien pour Lukoil. Il est clair que cette astuce visait à réduire la méfiance des destinataires du message. En réalité, la mention de cette grande société pétrolière russe n’est qu’une couverture. De telles diffusions visent à recruter les utilisateurs dans des programmes illégaux de blanchiment d’argent, bien souvent à l’insu des utilisateurs. Le « travail » consiste à transférer l’argent des comptes des « employeurs » vers celui de l’utilisateur, puis vers un tiers. Ce travail est présenté à l’utilisateur comme un travail pour un magasin en ligne alors qu’il s’agit en réalité de traiter de l’argent obtenu via des cartes de crédit volées ou clonées. Il est intéressant de constater que dans ces deux cas, le champ de l’expéditeur reprend une adresse du domaine mail.com, ce qui laisse croire que ces deux diffusions ont la même source. On peut se demander également si l’auteur n’est pas originaire de l’ex-URSS car ces messages en anglais font référence à des sociétés russes. Pour rappel, les diffuseurs de courrier indésirable peuvent utiliser dans leurs messages n’importe quel nom ou marque connu dans le seul but d’atteindre le niveau de réaction plus important vis-à-vis de leur diffusion. La mention d’une grande société dans un message non sollicité ne rend pas celui-ci inoffensif. Le quatrième exemple confirme que les diffuseurs de courrier indésirable peuvent citer n’importe quelle personnalité connue dans leurs messages d’escroquerie. Ce message a été écrit au nom de Michelle Obama, l’épouse du Président des Etats-Unis, pour signaler au destinataire qu’il a obtenu un paiement du fond de la Maison Blanche. Ce message traditionnel de type « loterie » a attiré notre attention non seulement par le fait que son « auteur » est Michelle Obama. Il est intéressant de voir comment les diffuseurs de messages non sollicités tiennent compte de l’opinion publique relative à telle ou telle personnalité. Ainsi, depuis le mois d’avril, nous détectons dans le flux de courrier indésirable des messages envoyé par Asma Assad, l’épouse de Bashar Assad, le leader syrien. Toutefois, à la différence du message envoyé par Michelle Obama, le message de la « première dame de Syrie » n’évoque pas un gain à une loterie, mais bien des sommes d’argent qu’il faut envoyer à l’étranger. Les auteurs de courrier indésirable comprennent que pour l’utilisateur, il serait étrange de voir un membre de la famille du président des Etats-Unis qui tente d’envoyer de l’argent d’origine douteuse hors des Etats-Unis alors que personne ne s’étonne d’un paiement en provenance d’un fond reconnu par la première dame des Etats-Unis. La situation est toute autre avec l’épouse du président syrien: l’utilisateur sera plus méfiant s’il trouve un message à propos de largesses syriennes que s’il reçoit un message relatif à une tentative de transfert d’argent volé hors du pays. Le contenu du champ « De » du message suscite l’étonnement à lui seul. L’expéditeur du message est World Wide Web Owner. C’est surprenant car cela revient à dire que l’utilisateur a reçu un message d’un propriétaire mythique d’Internet car World Wide Web, c’est bien WWW. Si nous poursuivons notre analyse, nous voyons que le domaine dans lequel se trouve la boîte aux lettres du propriétaire d’Internet est le domaine .ru. Comme le montre le message, ce propriétaire de tout l’Internet écrit au nom de Michelle Obama. La boîte aux lettres de Michelle en personne reprise dans le champ Expéditeur est tout à fait étonnante: tout d’abord, elle commence par la combinaison de lettres « missnadia », ce qui veut dire Miss Nadia. On a du mal à s’imaginer que Michelle Obama aurait choisi un pseudonyme aussi étrange pour sa boîte aux lettres. Il est également difficile d’expliquer pourquoi cette boîte aux lettres a été créée sur la version chinoise de Yahoo. Et puis il est tout à fait impensable que la première dame des Etats-Unis envoie des messages officiels relatifs à des dons depuis une telle adresse. Comme nous nous y attendions, le thème des achats de groupe et des coupons est de plus en plus populaire chez les individus malintentionnés. Au mois de septembre, nous avons détecté des diffusions contenant des liens vers des sites infectés (exemple 5). Les messages ressemblaient à des messages officiels de Groupon, si ce n’est que le contenu du champ « Expéditeur » n’avait rien à voir avec le service en question. La tradition veut que les diffusions inspirées par les fêtes de fin d’année commencent en général au mois d’octobre. En général, nous détectons d’abord des messages en anglais, en allemand et dans d’autres langues européennes. Cette année fait figure d’exception. Nous avons détecté au mois de septembre déjà la première diffusion qui exploite le thème des fêtes de fin d’année et ces messages étaient en russe. Les messages, envoyés depuis une adresse à Kiev, invitent les destinataires à assister à une représentation de fin d’année pour les enfants Moscou.
La vidéo « L’innocence des musulmans » diffusée sur Youtube a fait beaucoup de bruit au mois de septembre. En Russie, elle a même été la cause du blocage de Youtube dans certaines régions. Les partisans de cette vidéo ont tout fait pour la diffuser, y compris par courrier indésirable. Nous nous attendions à découvrir des messages contenant des liens vers des sites infectés présentés comme des liens vers cette vidéo. Nos prévisions ne se sont pas réalisées: les diffusions faisant allusion à cette vidéo que nous avons détectées ne contenaient ni code malveillant, ni liens dangereux. Voici le classement des pays source de courrier indésirable envoyé aux utilisateurs en Europe. A l’échelle mondiale, la Chine, avec 26,4%, conserve la tête du classement des pays source de courrier indésirable. On retrouve les Etats-Unis en deuxième position (12,5%) et l’Inde en troisième (10,1%). Au mois de septembre, 3,4% des messages électroniques contenaient des fichiers malveillants, soit 0,5% de moins que le mois passé. En tête du classement, nous avons le programme malveillant Backdoor.Win32.Androm.kv et en 6e position, un autre programme malveillant de la même famille, la modification Androm.ib. Pour rappel, les programmes malveillants de cette famille sont apparus en juin dans le Top 10 des programmes les plus souvent détectés par notre Antivirus Courrier et ils sont restés tous l’été parmi les programmes malveillants les plus populaires dans le courrier. Ces programmes malveillants, une fois installés dans le système de l’utilisateur, téléchargent d’autres programmes malveillants depuis Internet, y compris des bots de courrier indésirable. Les vers de messagerie Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m et Mydoom.l occupent respectivement la deuxième, la troisième et la quatrième place. Pour rappel, la fonction standard des vers de messagerie consiste à récolter des adresses de messagerie sur l’ordinateur infecté et à y envoyer sa copie. Bagle.gt est le seul des trois à être doté d’une fonctionnalité complémentaire, à savoir la possibilité de se connecter à Internet et de télécharger d’autres programmes malveillants Sur les 10 programmes malveillants les plus souvent rencontrés dans le courrier, quatre appartiennent à la famille Trojan-Ransom.Win32.PornoAsset. Il s’agit de programmes d’escroquerie qui bloquent le système d’exploitation et qui exigent le versement d’une somme pour le déblocage. Nous tenons à signaler que même après le versement, le système n’est pas débloqué, si bien que la victime ne gagne rien à obéir aux instructions de l’individu malintentionné. Il est préférable de contacter des experts qui vous expliqueront comment débloquer le système. Par rapport au mois d’août, la part de messages de phishing dans le trafic de messagerie a été multipliée par deux et représente 0,03%. Contrairement à nos attentes, la part d’attaques contre les réseaux sociaux n’a pas diminué au mois de septembre. Cette catégorie occupe toujours la première place en terme de popularité chez les auteurs d’attaques de phishing. La part d’attaque a légèrement augmenté (+0,1%). Les attaques contre les organisations financières sont en recul de 3,6%, ce qui ne correspond pas non plus à nos pronostics. Il semblerait que la réduction des attaques contre les banques et les organisations financières soit liée au renforcement de la protection que les banques offrent à leurs clients et à l’introduction de technologies de protection complémentaires et de technologies d’autorisation. Comme nous l’avions prévu, le volume de messages malveillants et d’escroquerie a quelque peu diminué en septembre car les vacances sont terminées, l’activité économique reprend et les diffuseurs de courrier indésirable reçoivent plus de commandes de la part de petites et moyennes entreprises. 3,4% des messages électroniques contenaient des fichiers malveillants, soit 0,5% de moins que le mois passé. Ceci étant dit, nous avons détecté des diffusions de messages d’escroquerie qui exploitaient de nouvelles astuces d’ingénierie sociale. Nous avons repéré au mois de septembre le premier message consacré à la Nouvelle année. En général, ces messages apparaissent seulement en octobre, mais cette année est une exclusion. La part de ces messages va augmenter au cours des prochains moins et les diffusions consacrée aux fêtes de fin d’année vont prendre les formes les plus diverses. Le classement des pays selon les déclenchements de l’Antivirus Courrier pour le mois de septembre a connu des modifications très marquées. Les Etats-Unis, en tête du classement pendant 8 mois d’affilée, ont enregistré un recul inattendu: la part de détections de notre Antivirus Courrier dans ce pays a reculé de 6,9%. Les modifications touchent également le classement des logiciels antivirus les plus souvent détectés par l’Antivirus Courrier: Trojan-Spy.HTML.Fraud.gen, leader traditionnel de notre classement, a enregistré une très grande chute et ne figure même plus dans le Top 10. La répartition des attaques de phishing par catégorie ne correspond pas à nos pronostics pour le mois de septembre: la part d’attaques contre les réseaux sociaux n’a pas diminué et au contraire de nos attentes, la part d’attaques contre les institutions financières a diminué. Il semblerait que la réduction des attaques contre les banques et les organisations financières soit liée au renforcement de la protection que les banques offrent à leurs clients et à l’introduction de technologies de protection complémentaires et de technologies d’autorisation. Toutefois, cette perte d’intérêts des auteurs d’attaques de phishing contre le secteur bancaire peut être temporaire car en cas de réussite, ce sont ces attaques qui rapportent le plus aux individus malintentionnés.Escroquerie au pétrole et au gaz
Michelle Obama et Asma Assad
L’histoire des achats de groupe se poursuit
Les fêtes de fin d’année sont proches
Sujets d’actualité
Nous tenons à préciser que tous les messages que nous avons détectés étaient en anglais.
Pays, source du courrier indésirable
Pièces jointes malveillantes dans le courrier
Répartition des déclenchements de l’Antivirus Courrier par pays
TOP 10 des programmes malveillants diffusés par courrier
A l’issue du mois de septembre, la part de détections par l’Antivirus Courrier de Trojan-Spy.HTML.Fraud.gen s’est fortement contractée. Ce programme malveillant n’est même pas rentré dans le Top 10.
Phishing
Sujets du courrier indésirable
Conclusion
Courrier indésirable en septembre 2012