Courrier indésirable et phishing au 3e trimestre 2014

Courrier indésirable : particularités du trimestre

Sortie de l’iPhone 6

Le mois de septembre aura été marqué par un événement attendu par la communauté informatique : la présentation et la mise en vente de l’iPhone 6. Les diffuseurs de messages non sollicités et les cybercriminels ne pouvaient pas ignorer cette sortie, si bien que tout au long du trimestre, nous avons observé une augmentation sensible du volume de spam qui exploitait la marque à la pomme. Le nombre de messages de phishing prétendument envoyés par des services populaires d’Apple a également fortement augmenté suite à cette présentation.

Les diffuseurs de messages non sollicités ont commencé à proposer le nouveau smartphone bien avant sa présentation officielle. L’iPhone 6 a été en effet utilisé en tant que récompense pour les destinataires qui accepteraient de participer à des sondages ou à des actions ou en tant que cadeau pour l’achat des biens ou des services présentés dans ces messages non sollicités. Ce téléphone très à la mode a également été offert dans les tirages au sort les plus divers ou dans de faux messages signalant que le destinataire avait gagné quelque chose. D’autres messages proposaient d’acheter l’iPhone 6 à un prix incroyablement bas (par rapport au prix officiel).

L’iPhone 6 se distingue de ses prédécesseurs par quelques points marquants, dont la taille de l’écran. Ceci a entraîné une explosion du nombre de messages non sollicités envoyés par les fabricants des accessoires les plus divers qui proposaient des nouvelles coquilles et de nouveaux films protecteur adaptés aux dimensions du nouvel appareil.

Ainsi, un événement a été à l’origine de l’augmentation du nombre de messages non sollicités dans les domaines les plus variés (escroqueries ou publicités) et dans de nombreux cas, il a servi de puissant levier pour attirer l’attention des destinataires sur le contenu des messages. En effet, la simple mention du nouvel iPhone dans l’objet du message augmentait la probabilité que le destinataire lise le message.

Spam et vol d’adresses e-mail

Il y a eu plusieurs cas de fuites d’informations d’authentification de comptes de gros systèmes de messagerie en ligne au cours du trimestre précédent. Ces données se sont retrouvées sur Internet, ce qui a inquiété les utilisateurs et provoqué une discussion active sur les problèmes liés à la confidentialité. Les sociétés gestionnaires de ces services de messagerie ont déclaré de leur côté que la majorité des comptes publiés n’étaient plus utilisés depuis longtemps et que dans le cas des quelques comptes toujours actifs dont les informations d’identification avaient été volées, les propriétaires avaient certainement été victimes d’une attaque de phishing.

Pour rappel, un escroc qui met la main sur les informations d’identification d’un compte de messagerie peut non seulement consulter la correspondance de la victime et accéder à la liste des contacts, mais également accéder à d’autres services de l’hébergeur du service de messagerie. Les individus malintentionnés peuvent également obtenir les noms d’utilisateurs et les mots de passe d’autres sites très recherchés comme les sites de réseaux sociaux ou les magasins en ligne dont les comptes sont associés à cette boîte aux lettres. L’intérêt pour les noms d’utilisateurs et les mots de passe des boîtes aux lettres est confirmé par le nombre de messages de phishing que nous avons détectés et qui visent à voler directement ces données. Au cours du 3e trimestre, nous avons observé des messages de phishing qui exploitaient les méthodes les plus diverses pour obtenir les données. En voici quelques exemples :

  1. Messages qui contiennent directement la page HTML de phishing.
  2. Messages dont le corps contient des liens vers les pages de phishing. Ce faux lien pouvait être associé à un extrait de texte ou se trouver tel quel dans le texte. Signalons que bien souvent, les escrocs hébergent les pages de phishing sur des domaines de troisième niveau spécialement créés à cette fin.

  3. Messages qui exigent l’envoi de l’adresse e-mail et du mot de passe à une adresse e-mail définie.

Parmi les astuces les plus populaires employées afin de voler des données, il faut citer les notifications qui signalent que l’utilisateur a atteint la limite de stockage de sa boîte aux lettres, qui évoquent une mise à jour du système ou un blocage de la boîte. Et bien que ces messages imitaient souvent les notifications d’un service de messagerie en particulier, la majorité d’entre eux se présentait sous la forme d’une demande de confirmation générique du nom d’utilisateur et du mot de passe de la boîte aux lettres. Ceci s’explique vraisemblablement par le fait que les escrocs envoient les fausses notifications à une base de données d’adresses complètes, sans faire de distinction entre les différents services de messagerie car un tel tri demande beaucoup de temps et ne garantit pas la réception des données convoitées.

Diversification des méthodes de livraison

Un des sujets les plus souvent utilisés dans le courrier indésirable est lié aux offres de mise sur pied d’une campagne de marketing afin de développer une activité commerciale et d’attirer de nouveaux clients grâce à la diffusion massive d’une publicité pour les services offerts. Et de plus en plus souvent, les plateformes de prédilection pour organiser ces campagnes ne sont pas les services de messagerie et les boîtes aux lettres des utilisateurs, mais bien les téléphones mobiles et les smartphones.

Au 3e trimestre 2014, les diffuseurs de messages non sollicités ont commencé à proposer de plus en plus souvent la diffusion de publicités via SMS ou via des services de messagerie instantanée très utilisés comme WhatsApp ou Viber. Faut-il s’attendre à ce que le courrier indésirable classique passe au second plan, détrôné par les SMS non sollicités ? Nous avons analysé le rapport entre les SMS non sollicités et le courrier indésirable et nous sommes arrivés à la conclusion qu’un tel développement est peu probable. Tout d’abord, le nombre de gouvernements qui adoptent des mesures législatives pour lutter contre cette forme de promotion massive augmente. Ensuite, il existe une interaction évidente entre tous les sites utilisés pour diffuser les publicités non sollicitées et le courrier indésirable classique.

Le fait est que les diffuseurs de messages non sollicités recherchent toujours leurs « clients » à l’ancienne, via la diffusion de messages non sollicités. Il existe un type de diffusion distinct dans le cadre duquel les diffuseurs proposent à la vente des bases de données d’adresses e-mail et de numéros de téléphone composées selon des critères particuliers afin de toucher un public cible. Citons également les campagnes de phishing qui visent à obtenir les données personnelles d’utilisateurs et d’entreprises dans le but de les intégrer à des bases de données qui seront ensuite vendues ou exploitées dans le cadre d’une diffusion. Ainsi, le courrier indésirable permet de récolter des données pour des bases que les diffuseurs de messages non sollicités vont soit vendre, soit exploiter pour diffuser d’autres messages non sollicités. Les diffuseurs de messages non sollicités continuent de vendre des numéros de téléphone pour l’envoi de SMS non sollicités et d’attirer de nouveaux clients à l’aide du courrier indésirable classique.

Les réseaux sociaux, qui comptent déjà des millions d’utilisateurs et dont le développement ne semble pas s’arrêter, sont un autre espace où la diffusion de messages non sollicités s’intensifie. D’ailleurs, des centaines de milliers de comptes appartiennent en réalité à des « âmes mortes », des bots créés spécialement pour diffuser des messages non sollicités ou voler les données personnelles des utilisateurs légitimes. Au cours du dernier trimestre, nous avons observé une augmentation du volume de contenu non sollicité dans des notifications formelles légitimes de réseaux sociaux. Il se fait que presque tous les comptes dans les réseaux sociaux sont associés aux adresses e-mail de leurs propriétaires et tout message reçu au sein du réseau est envoyé en double à l’adresse e-mail. Le contenu de ces messages est typique des messages non sollicités : cela va des histoires « à la nigériane » au sujet de sommes astronomiques à la recherche d’un nouveau propriétaire jusqu’aux publicités simples pour les produits les plus divers en passant par les offres d’aide pour monter son entreprise.

Les SMS non sollicités et les messages dans les réseaux sociaux ne représentent pas une nouvelle déclinaison du courrier indésirable, mais constituent simplement de nouveaux outils développés par les diffuseurs de courrier indésirable, et en quelque sorte liés aux messages non sollicités par courrier, afin de remettre les publicités aux destinataires. Qui plus est, les diffuseurs de messages non sollicités peuvent envoyer le même message via plusieurs canaux, ce qui donne l’impression que le volume de publicité non sollicitée est en augmentation.

Evénements dans les escroqueries à la nigériane

Au 3e trimestre, les organisateurs de campagnes d’escroquerie à la nigériane ont exploité la situation politique en Ukraine et l’agitation au sujet de la fièvre Ebola dans leurs messages. La politique est un de leur sujet favori, comme en témoigne le pourcentage élevé de messages liés à ce sujet ou à des hommes politiques célèbres. Il n’est dès lors pas étonnant que la situation qui règne en Ukraine ait été exploitée tout au long du 3e trimestre pour tromper les destinataires. En guise d’auteurs de ces messages, les escrocs ont choisi non seulement des Ukrainiens issus des milieux professionnels les plus divers, mais également des hommes politiques et des hommes d’affaires qui proposaient aux destinataires une récompense pécuniaire pour les aider à transférer ou à investir les importantes sommes d’argent dont ils disposaient.

Les messages qui évoquaient Ebola étaient envoyés au nom d’habitants d’Afrique infectés par cette fièvre hémorragique. Nous avons vu également des messages inhabituels qui invitaient le destinataire à participer à une conférence consacrée à cette maladie. Quel que soit l’auteur du message et le contenu de l’histoire inventée pour convaincre le destinataire, l’objectif des escrocs est toujours le même : voler de l’argent aux victimes.

Pièces jointes malveillants dans le courrier

TOP 10 des malwares diffusés par e-mail, 3e trimestre 2014

A l’issue du 3e trimestre 2014, c’est Trojan.JS.Redirector.adf qui arrive en tête du classement des malwares diffusés par e-mail. Il s’agit d’une page HTML qui, à son ouverture, redirige le visiteur vers un site infecté. Une fois sur cette page, l’utilisateur est invité à télécharger Binbot, un service de transactions automatique en options binaires, très populaires actuellement sur Internet. Le programme est diffusé par e-mail dans une archive ZIP qui n’est pas protégée par un mot de passe.

Vient ensuite Trojan-Spy.HTML.Fraud.gen. Ce malware qui a occupé la tête du classement pendant de nombreux trimestres a enfin été délogé. Pour rappel, Trojan-Spy.HTML.Fraud.gen est une page HTML de phishing sur laquelle la victime doit saisir ses données confidentielles. Ces informations sont ensuite transmises aux cybercriminels. Signalons que par rapport au trimestre précédent, la part de ce malware a diminué de 0,62 point de pourcentage.

Trojan.Win32.Yakes.fize, un Trojan de type Dofoil, occupe la 3e position. Et on retrouve Trojan-Downloader.Win32.Dofoil.dx en 4e position. Les malwares de ce type téléchargent sur l’ordinateur de la victime un autre malware, l’exécutent et l’utilisent pour voler les données les plus diverses, mais principalement des mots de passe.

Les 5e et 9e positions reviennent à des représentants des familles des bots modulaires universels Andromeda/Gamarue : Backdoor.Win32.Androm.enji et Backdoor.Win32.Androm.euqt. Parmi les principales capacités de ces malwares, citons : le téléchargement, l’enregistrement et le lancement d’un fichier exécutable, le téléchargement et le chargement d’une DLL (sans l’enregistrer sur le disque), le téléchargement de plug-ins et la possibilité de se mettre à jour et de se supprimer. Les fonctionnalités du bot sont enrichies à l’aide d’un système de plug-ins que les individus malintentionnés chargent en quantité requise à n’importe quel moment.

Trojan.Win32.Bublik.clhs et Trojan.Win32.Bublik.bwbx occupent respectivement la 6e et 7e positions. Il s’agit de modifications d’un malware que nous connaissons bien : Bublik, un Trojan-Downloader qui télécharge un malware sur l’ordinateur de la victime et qui l’exécute.

Le ver de messagerie Email-Worm.Win32.Bagle.gt occupe la 8e position. La fonction principale de tous les vers de messagerie est de récolter des adresses sur les ordinateurs infectés. Le ver de messagerie de la famille Bagle peut également recevoir des commandes à distance pour installer d’autres programmes malveillants.

Trojan-Banker.Win32.ChePro.ink referme le classement. Ce programme de téléchargement se présente sous la forme d’un applet CPL (composant de panneau de configuration) qui va télécharger des chevaux de Troie développés pour voler des informations financières confidentielles. Dans la majorité des cas, les programmes malveillants de ce type visent des banques établies au Brésil et au Portugal.

Répartition des malwares par famille dans le courrier

S’agissant des familles de malwares les plus prisées, elles sont réparties de la manière suivante dans le courrier :

Top 10 des familles de malwares diffusés par courrier au 3e trimestre 2014

La famille Andromeda domine le classement, avec 12,35 % de l’ensemble les malwares. La famille ZeuS/Zbot occupe la 2e position. Les membres de cette famille peuvent attaquer des serveurs et des ordinateurs de particuliers et ils peuvent également intercepter des données. Bien que ZeuS/Zbot soit en mesure de réaliser diverses actions malveillantes, il intervient généralement dans le vol d’informations d’identification pour l’accès aux services de transactions bancaires par Internet. Il peut également installer CryptoLocker, un programme malveillant qui exige le paiement d’une somme d’argent pour déchiffrer les données de l’utilisateur.

Bublik, qui charge souvent Zbot, figure également dans le Top 10 des familles de malwares les plus répandues.

Pays, cibles des diffusions de malwares

Répartition des déclenchements de l’antivirus protégeant les e-mails par pays, 3e trimestre 2014

Le classement des pays ciblés par les campagnes de diffusion de malwares par e-mail a connu quelques modifications au 3e trimestre. L’Allemagne décroche la 1re position avec 10,11 %. La Grande-Bretagne passe en 2e position, après avoir perdu 1,22 point de pourcentage par rapport au 2e trimestre. Les Etats-Unis sont en 3e position, avec un recul de 1,77 point de pourcentage.

La Russie, qui occupait la 19e position au 2e trimestre avec 1,48 %, s’est hissée en 6e position (4,25 %) ; la part de courrier indésirable malveillant envoyé sur le territoire du pays a presque triplé.

Particularités du courrier indésirable malveillant

Ice Bucket Challenge

Au cours du dernier trimestre, les cybercriminels ont continué d’exploiter les grands événements d’actualité afin d’attirer l’attention sur les messages contenant des malwares. Cette fois-ci, ils ont fait référence au Ice Bucket Challenge dont tout le monde a entendu parler cet été. L’objectif de ce défi était de sensibiliser la population à une maladie appelée « sclérose latérale amyotrophique » et de récolter des fonds pour la recherche sur cette maladie. Beaucoup de personnes à travers le monde ont relevé le défi, dont de nombreuses célébrités : des acteurs, des hommes politiques, des sportifs, des hommes d’affaires et des musiciens ont relevé le défi qui consistait à se verser un seau d’eau glacée sur la tête, ont publié la vidéo sur Internet et ont lancé le défi à d’autres personnes. Quand cette campagne a atteint son pic, des escrocs y ont vu une manière d’attirer les utilisateurs vers leurs messages malveillants.

Ainsi, les utilisateurs qui ne se doutaient de rien ont commencé à recevoir des messages qui les invitaient à rejoindre l’association ALS et à changer leur vie comme des milliers d’autres personnes avant eux. Les destinataires étaient encouragés à regarder une vidéo pleine d’inspiration qui se trouvait dans l’archive en pièce jointe. Mais la vidéo promise n’était rien d’autre qu’un malware comme Backdoor.Win32.Androm.euop par exemple. Ces programmes permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu des victimes et de les enrôler dans des réseaux de zombies.

« Notifications malveillantes » envoyées par des systèmes de réservation

Au 3e trimestre 2014, les individus malintentionnés ont envoyé du courrier indésirable malveillant saisonnier. Ce phénomène est traditionnel pour les vacances d’été. Nous avons détecté de fausses notifications d’hôtels, de services de réservation et de compagnies aériennes en anglais et en allemand. En général, les escrocs tentaient de convaincre le destinataire d’ouvrir l’archive ZIP en affirmant qu’elle contenait les informations relatives à la réservation d’une chambre d’hôtel ou d’un billet d’avion.

Ainsi, nous avons identifié de fausses notifications envoyées au nom d’American Airlines ; ces messages contenaient des fichiers exécutables qui étaient en réalité des malwares de la famille Net-Worm.Win32.Aspxor. Ces vers de réseau sont capables de diffuser des messages non sollicités, de télécharger et d’exécuter des applications aléatoires, de récolter des informations de valeur sur l’ordinateur de la victime (mots de passe enregistrés, comptes de messagerie et FTP) et de rechercher automatiquement des sites vulnérables en vue d’une infection ultérieure afin de pouvoir diffuser le bot.

Les faux messages en allemand, prétendument envoyés par un portail de réservation de chambres d’hôtel allemand, contenaient le malware Trojan-Spy.Win32.Ursnif. Ce Trojan vole des données confidentielles et est capable d’écouter le trafic réseau, de télécharger et d’exécuter d’autres programmes malveillants, voire de désactiver certaines applications système comme le pare-feu.

Malwares dans une archive ARJ

Nous avons détecté au mois de septembre une campagne de diffusion de malwares avec une pièce jointe au format inhabituel pour le courrier indésirable : une archive au format ARJ. Il faut savoir que le choix d’un tel compacteur s’explique plus que probablement par le format inhabituel du fichier. D’après le raisonnement des individus malintentionnés, l’utilisateur qui connaît le danger potentiel posé par les archives jointes aux formats ZIP ou RAR sera moins méfiant vis-à-vis d’une extension inconnue. De plus, le compacteur ARJ permet de réduire au maximum la taille du fichier et son code source est accessible à toute personne qui souhaite l’étudier ou le modifier.

Dans le cadre d’une de ces campagnes, les individus malintentionnés ont envoyé plusieurs types de messages malveillants. Il s’agissait de notifications sur la réception d’un fax, sur l’émission d’une facture d’une société en particulier ou de messages personnels avec une salutation dans le corps du message. Tous ces messages étaient accompagnés de malwares de la famille Trojan-Downloader.Win32.Cabby qui, une fois exécutés, affichaient un document RTF ou DOC et téléchargeaient à l’insu de la victime un malware de la famille ZeuS/Zbot. Tous les noms des fichiers joints étaient créés selon un seul modèle. Afin de rendre chacun de ces messages uniques, les cybercriminels se contentaient de modifier certains extraits du texte et la signature automatique de l’antivirus.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

Part du courrier indésirable dans le trafic de messagerie, avril à septembre 2014

A l’issue du 3e trimestre, la part de courrier indésirable atteignait 66,9 % du trafic de messagerie, soit 1,7 point de pourcentage de moins qu’au trimestre précédent. Le volume le plus important de messages non sollicités a été enregistré en août, tandis que le plus faible a été observé en septembre.

Pays, source du courrier indésirable

Pays, source de courrier indésirable, 3e trimestre 2014

A l’issue du 3e trimestre 2014, les Etats-Unis conservent la tête du classement des pays, source de courrier indésirable. Près de 14 % du courrier indésirable diffusé à travers le monde provient des Etats-Unis. La Russie occupe la 2e position. Elle est à l’origine de 6,1 % du trafic de messages non sollicités mondial. Le Viet Nam referme le trio de tête. Son résultat est presque identique à celui de la Russie. Il est la source de près de 6 % du courrier indésirable mondial.

Le reste de la répartition du courrier indésirable par pays est assez homogène. Le Top 10 des plus grandes sources de courrier indésirable accueille également la Chine (5,1 %), l’Argentine (4,1 %) et l’Allemagne (3,4 %). Le Brésil referme le Top 10 avec un résultat de 2,9 %.

Taille des messages non sollicités

Tailles des messages non sollicités, 3e trimestre 2014

La répartition des messages non sollicités par taille n’a pratiquement pas changé par rapport au 2e trimestre. Les messages très courts d’un Ko, dont l’envoi est simple et rapide dans le cadre de diffusions massives, occupent la tête du classement. La part de ces messages a augmenté de 4,6 points de pourcentage au cours du trimestre.

On observe également un certain recul de la part des messages dont la taille est comprise entre 2 et 5 Ko. Elle chute de 4,8 points de pourcentage. Il en va de même pour la tranche des messages de 5 à 10 Ko qui perd 2,5 points de pourcentage. La part des messages compris entre 10 et 20 Ko augmente quant à elle de 1,7 point de pourcentage.

Phishing

Sur l’ensemble du 3e trimestre 2014, le système Anti-Phishing s’est déclenché 71 591 006 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab. Il s’agit d’une progression de 11,5 millions de déclenchements par rapport au résultat du trimestre antérieur.

A l’instar du 2e trimestre, le pourcentage le plus élevé de victimes du phishing est enregistré au Brésil. Le résultat de ce pays a progressé de 3,53 points de pourcentage pour atteindre 26,73 %.

Géographie des attaques de phishing*, 3e trimestre 2014

* Pourcentage d’utilisateurs sur les ordinateur desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.

Top 10 des pays par pourcentage d’utilisateurs attaqués :

  Pays % d’utilisateurs
1 Brésil 26,73
2 Inde 20,08
3 Australie 19,37
4 France 18,08
5 Emirats arabes unis 17,13
6 Canada 17,08
7 Kazakhstan 16,09
8 Chine 16,05
9 Royaume-Uni 15,58
10 Portugal 15,34

On notera une hausse sensible de la part d’utilisateurs attaqués en Chine (+4,74 points de pourcentage), en Australie (+3,27 points de pourcentage), aux Emirats arabes unis (+2,83 points de pourcentage) et au Canada (+1,31 point de pourcentage).

Organisations victimes du phishing

Les statistiques relatives aux cibles des auteurs d’attaques de phishing reposent sur les déclenchements du module heuristique de l’Anti-Phishing. Le module heuristique du système Anti-Phishing se déclenche lorsque l’utilisateur clique sur un lien qui mène à une page de phishing et que les bases de Kaspersky Lab ne contiennent pas d’informations sur cette page. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encore, suite à l’action d’un programme malveillant. Après le déclenchement du module, un message relatif à la menace potentielle s’affiche dans le navigateur.

Une fois de plus, la catégorie « portails de messagerie et de recherche » (antérieurement, « portails Internet globaux ») occupe la tête du classement des organisations victimes des campagnes de phishing. Toutefois, la part de cette catégorie a enregistré un recul marqué de 22,15 points de pourcentage. Son indice a atteint 28,54 % au 3e trimestre.

Répartition des organisations victimes d’attaque de phishing*, par catégorie, 3e trimestre 2014

Au 3e trimestre 2014, la catégorie « Finances en ligne » a progressé de 13,39 points de pourcentage pour atteindre 38,23 %. La part des déclenchements pour les catégories « Banques » (+6,16 points de pourcentage), « Systèmes de paiement » (+5,85 points de pourcentage) et « Magasins en ligne » (+3,18 points de pourcentage) augmente pour le deuxième trimestre consécutif.

Répartition des attaques de phishing contre les systèmes de paiement, 3e trimestre 2014

L’attrait des auteurs d’attaques de phishing pour les systèmes de paiement s’explique par le fait qu’ils obtiennent un accès direct à l’argent des victimes. PayPal est devenu le leader parmi les organisations de la catégorie « Systèmes de paiement » attaquées avec 32,08 %. Il devance de peu le système de paiement de Visa (31,51 %). American Express referme le trio de tête avec 24,83 %.

Les attaques de phishing contre les utilisateurs de système de paiement sont souvent organisées à l’aide de faux messages prétendument envoyés par des représentants de ces organisations financières. Ces messages évoquent généralement la menace de la fermeture du compte ou de sa suspension, ce qui doit provoquer une réaction émotive chez l’utilisateur et l’amener à prendre des décisions sans réfléchir, comme envoyer ses informations confidentielles aux individus malintentionnés.

Exemple de message de phishing contenant une menace de fermeture du compte de la victime

Dans cet exemple, le message provient d’une adresse douteuse qui ne correspond pas aux adresses utilisées par PayPal. Le message menace le destinataire (actualisation des données sous peine de fermeture du compte) et invite celui-ci à cliquer sur un lien et à saisir ses données personnelles sur la page qui s’ouvre.

Page de phishing imitant une page du site de PayPal

L’utilisateur qui clique sur le lien arrive sur une page dont la mise en page évoque le site officiel de PayPal. Cette page contient des champs pour la saisie des données personnelles. Mais la connexion à cette page n’est pas sécurisée, comme en témoigne l’absence de HTTPS dans la barre d’adresse, et qui plus est, l’adresse IP n’appartient pas à la société PayPal.

Top 3 des organisations attaquées

  Organisation % de liens de phishing
1 Google 10,34%
2 Facebook 10,21%
3 Yahoo! 6,36%

Le trio de tête des organisations ciblées dans les attaques de phishing est une fois de plus composé de Google, Facebook et Yahoo!, mais les positions respectives au sein de ce Top 3 ont été bouleversées. Les indices de Google (10,34%) et de Facebook (10,21%) ont quelque peu augmenté et ces deux organisations ont progressé simultanément d’une place. Yahoo!, qui était devenu contre toute attente le leader absolu au premier semestre 2014 a enregistré un recul tout aussi inattendu. L’indice de cette société a chuté de 24,62 points de pourcentage pour atteindre 6,36 %.

Sujets d’actualité dans le phishing

La société Apple ne figure pas dans le Top 3, mais elle a malgré tout atteint la 4e position dans le classement des organisations ciblées par les auteurs d’attaques de phishing avec 1,39 % (+0,98 point de pourcentage). Au début du mois de septembre, la société de Cupertino a été impliquée dans un scandale retentissant lié à la fuite de photos de célébrités qui étaient stockées sur iCloud. La société Apple a démenti les rumeurs sur l’existence de vulnérabilités dans le service qui auraient provoqués les fuites ; ces fuites auraient peut être le résultat d’une attaque de phishing menée contre les utilisateurs des produits d’Apple (s’agissait-il d’une attaque ciblée ou les pirates ont-ils simplement eu de la chance au point de toucher plusieurs vedettes, personne ne le sait).

De plus, le 9 septembre correspondait à la présentation des nouveaux iPhone 6 et iPhone 6 Plus. Ces événements clés dans la vie de la société suscitent à chaque fois l’intérêt des escrocs. Il est dès lors normal que nous ayons enregistré une augmentation du nombre de fausses notifications envoyées au nom de représentants de services d’Apple tels que iTunes et iCloud.

Les escrocs ont utilisé le nom de la société pour attirer l’attention des utilisateurs. Bien souvent, ils ont utilisé un seul modèle dans lequel ils se contentaient de modifier le nom du service d’Apple.

Nombre de déclenchements journaliers sur des pages de phishing qui imitent les pages de ressources de la société Apple, 2e et 3e trimestre 2014

Pour protéger les données de ses utilisateurs, Apple utilise une vérification à deux étapes pour Apple ID en activant l’enregistrement d’un ou de plusieurs périphériques de confiance. La vérification en deux étapes permet d’éviter l’accès non autorisé à votre compte ou la modification des données du compte utilisateur et empêche les achats par des tiers à l’aide de votre compte. Le 5 septembre, Apple annonçait l’adoption prochaine de mesures de sécurité complémentaires qui permettraient de signaler aux utilisateurs toute activité suspecte avec leurs comptes.

Exemple de pages de phishing demandant des données d’Apple ID

L’utilisateur peut également se protéger en étudiant attentivement la page sur laquelle il est invité à saisir ses informations confidentielles. Il convient de confirmer que la connexion est bien sécurisée et que le domaine appartient bel et bien à Apple. Prêtez également aux informations demandées par les escrocs. En effet, outre les informations requises pour gérer Apple ID, les auteurs d’attaques de phishing demandent souvent également les données relatives à la carte bancaire sous le prétexte que celle-ci doit être associée au compte. Si l’utilisateur transmet lui-même les informations financières aux escrocs, la protection d’Apple ne pourra pas le mettre à l’abri des conséquences.

Exemple de page de phishing qui imite une demande de confirmation des informations personnelles envoyée par Apple

Conclusion

A l’issue du 3e trimestre, la part de courrier indésirable atteignait 66,9 % du trafic de messagerie, soit 1,7 point de pourcentage de moins qu’au trimestre précédent.

Les grands événements tels que la sortie de l’iPhone 6, la situation politique en Ukraine, la fuite sur Internet des informations d’identification de comptes sur d’importants services de messagerie, la campagne Ice Bucket Challenge et les vacances d’été auront influencé les sujets abordés dans les messages non sollicités au 3e trimestre. Les événements marquants de l’actualité internationale ont été utilisés dans les escroqueries à la nigériane.

Le trio de tête des pays source du courrier indésirable diffusé dans le monde entier se présente de cette manière : Etats-Unis (14 %), Russie (6,1 %) et Viet Nam (6 %).

A l’issue du 3e trimestre, le classement des malwares diffusés par e-mail est mené par Trojan.JS.Redirector.adf (2,8 %) qui renvoie l’utilisateur vers un site infecté. Parmi les familles de malwares, la famille Andromeda prend la tête, avec 12,35 % de l’ensemble des malwares. Ce sont les utilisateurs établis en Allemagne qui ont été le plus souvent exposés à des attaques.

Au 3e trimestre, nous avons détecté dans le flux de messages non sollicités des messages de phishing visant à voler des noms d’utilisateur et des mots de passe de comptes tandis que le lancement du nouvel iPhone a également entraîné une augmentation du nombre de messages de phishing envoyés au nom des services iTunes et iCloud d’Apple.

Afin d’installer des malwares sur les ordinateurs des victimes, les cybercriminels ont envoyé au 3e trimestre non seulement de fausses notifications de services de réservation de chambres d’hôtel et de billets, mais également des messages contenant une archive dans un format qui n’était plus utilisé depuis un certain temps.

La part d’attaques de phishing contre des organisations liées aux opérations financières en ligne (banques, systèmes de paiement et magasins en ligne) continue d’augmenter. La part d’attaques contre les organisations de la catégorie "Portails de messagerie et de recherche" a enregistré un recul sensible et se situe à 28,54 %. La part d’attaques contre Yahoo!, qui appartient à cette catégorie, a également enregistre une chute remarquable.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *