Courrier indésirable et phishing au deuxième trimestre 2014

Courrier indésirable : Particularités du trimestre

Courrier indésirable et législation

Depuis le 1er juillet, le Canada est doté d’une nouvelle loi de lutte contre le courrier indésirable : la loi canadienne anti-pourriel (LCAP). Cette loi s’applique aux messages commerciaux, qu’il s’agisse de messages envoyés par courrier électronique, via les réseaux sociaux ou à l’aide d’un client de messagerie instantanée. Les SMS sont également concernés. Désormais, avant d’envoyer les messages, la société devra obtenir l’accord du destinataire. Les sociétés canadiennes ont pris cette loi très au sérieux : au cours du deuxième trimestre, de nombreuses sociétés ont envoyé des messages qui demandaient aux destinataires de confirmer leur accord sur la réception de messages. Outre les demandes de confirmation, nous avons retrouvé dans ces messages des propositions de participation à une tombola en cliquant sur un lien dans le corps du texte.

Il faut également signaler que certaines sociétés ont exploité la loi comme prétexte pour récolter des adresses d’abonnés potentiels. Nous avons retrouvé des demandes de confirmation dans des boîtes aux lettres piégées dont les adresses n’avaient jamais figuré dans des listes de diffusion. De plus, de nombreux utilisateurs ont définis ces messages comme des messages non sollicités.

Ce flux de demandes indique que de nombreux diffuseurs canadiens ne s’étaient jamais souciés du souhait des utilisateurs de recevoir leurs messages. Ils se contentaient de les envoyer aux adresses reprises dans des listes achetées.

La communauté Internet est divisée sur cette loi. D’un côté, l’entrée en vigueur d’une législation de lutte contre le courrier indésirable dans un pays supplémentaire ne peut qu’avoir un impact positif sur la lutte contre ce fléau. D’un autre côté, les entreprises légitimes canadiennes qui utilisent ce genre de publicité craignent d’être considérées comme des entreprises agissant dans l’illégalité. Ainsi, la société Microsoft avait d’abord décidé d’arrêter la diffusion des messages relatifs aux questions de sécurité, mais après quelques jours, elle est revenue sur sa décision, ce qui n’a rien d’étonnant : bien que stricte, la LCAP prévoit de nombreuses exceptions et les diffusions de Microsoft ne sont en aucun cas concernées par cette loi. Ainsi, parmi les exceptions prévues par la loi, on retrouve les messages contenant diverses informations relatives à un produit ou à un service que le destinataire a acheté auprès d’une société, les diffusions de messages contenant des appels pour des dons, les diffusions non commerciales et beaucoup d’autres.

Retour des bourses

Au deuxième trimestre 2014, nous avons détecté beaucoup de messages non sollicités qui évoquaient le cours d’actions de petites entreprises. Il s’agit d’un type d’escroquerie boursière bien connu : le "pump and dump" (pomper et liquider). Ce genre de courrier indésirable a connu son heure de gloire en 2006-2007, mais les individus malintentionnés l’utilisent toujours à l’heure actuelle.

Le "pump and dump" désigne une forme de manipulation des cours de la bourse dans le cadre de laquelle les diffuseurs des messages non sollicités achètent les actions de petites sociétés, gonflent artificiellement le prix de l’action en diffusant de fausses informations positives sur la situation de ces entreprises, puis revendent les actions au nouveau cours plus élevé. 

Il est intéressant de constater qu’outre les anciennes astuces d’escroquerie, les individus malintentionnés ont également ressorti des anciennes astuces pour déjouer les filtres :

  1. Sélection aléatoire de phrases à la fin de chaque message dans une couleur proche de la couleur du fond (dans ces messages, les phrases étaient tirées de Wikipédia) :
  2. Courrier indésirable graphique : l’essentiel de l’information se trouve dans l’image et la taille du texte et de la police, la couleur d’arrière-plan et l’angle d’inclinaison de l’image changent pour chaque message.

Ce genre de courrier indésirable a également connu son heure de gloire en 2006-2007, jusqu’à ce que les éditeurs de solutions de lutte contre le courrier indésirable développent des analyseurs d’image et apprennent à bloquer ce type de message. Qui plus est, en raison d’une utilisation excessive de texte parasite, ces messages n’attirent pas beaucoup de personnes. C’est probablement la raison pour laquelle les diffusions des messages non sollicités à propos des cours d’actions comportent toujours des millions de messages : les diffuseurs espèrent qu’un minimum de destinataires réagira.

Courrier indésirable et coupe du monde de football

Alors que les Jeux Olympiques avaient été particulièrement plébiscités par les diffuseurs de messages non sollicités au premier trimestre 2014, c’est la Coupe du monde de football qui aura obtenu les faveurs au deuxième trimestre. Nous avons observé les diffusions les plus diverses inspirées par ce thème. Notre blog propose un billet détaillé sur les attaques de phishing et malveillantes qui ont utilisé le thème de la Coupe du monde. Outre les nombreux messages dangereux, il y avait également de simples messages de publicité relatifs à des chambres d’hôtel ou des tickets pour assister aux matchs ainsi que des messages inspirés par des thèmes proches de la Coupe du monde, sans oublier des propositions de paris sportifs sur les résultats des matchs.

Comme c’est souvent le cas dans ce genre de message, la thématique de la Coupe du monde intervenait également dans des messages dont le sujet n’avait aucun rapport direct avec l’événement en question. Ainsi, des auteurs de messages non sollicités allemands ont utilisé ce sujet pour vanter les mérites du Viagra :


"Après la finale de la Coupe du monde, devenez le champion de votre chambre à coucher" peut-on lire comme slogan dans un de ces messages.

Envoyé depuis mon iPhone : la thématique mobile dans le courrier

Toujours dans le cadre de l’intégration des messages non sollicités et des périphériques nomades, il faut signaler que les messages non sollicités qui imitaient des messages envoyés depuis un iPad ou un iPhone ont été particulièrement populaires au deuxième trimestre. Le contenu de ces messages était particulièrement varié, depuis les publicités pour des médicaments jusqu’aux messages contenant des pièces jointes malveillantes. Chacun de ces messages contenait la même ligne dans le corps du texte : "Sent from iPhone/iPad" (envoyé depuis un iPhone/iPad).

Dans le premier exemple, le destinataire qui cliquait sur le lien se retrouvait, après plusieurs redirections, sur un site de publicités pour des médicaments contre les troubles de l’éréction. Dans le deuxième exemple, la pièce jointe contenait un programme malveillant détecté par Kaspersky Lab sous le nom de Trojan-PSW.Win32.Tepfer.tmyd.

Il est plus que probable que les messages aient été envoyés par différents groupes car les données techniques des en-têtes (comme Data, X-Mailer, Message-ID) étaient très différentes. Dans certains messages, les en-têtes étaient inexactes tandis que dans d’autres, elles étaient absentes. En réalité, le seul point commun avec des messages envoyés depuis des périphériques sous iOS était la phrase dans le corps du message. Dans d’autres messages, les en-têtes étaient non seulement exactes, mais elles imitaient également les en-têtes fournies par le véritable client de messagerie d’Apple :

X-Mailer: iPhone Mail (9B206)
Message-Id: UNQC4G8K-NTOU-2PNZ-JUVC-WHRCD5GXS1QF@*****.**

Toutefois, quand on y prête plus attention, on remarque que les en-têtes ne font que ressembler aux en-têtes véridiques (sur la base du nombre de caractères et de l’emplacement des traits d’union).š Le fait est que dans un message qui a bel et bien été envoyé depuis des périphériques mobiles sous iOS, le contenu de Message-ID est écrit en code hexadécimal. Le format hexadécimal contient des chiffres de 0 à 9 et les lettres abcdef. Autrement dit, Message-ID ne peut contenir que ces chiffres et ces lettres et rien d’autre. Dans les faux messages, cet en-tête est uniquement composé d’une succession aléatoire de chiffres et de lettres.

Redirections

Afin de déjouer les filtres, les individus malintentionnés tentent souvent de dissimuler l’adresse du site auquel l’utilisateur doit accéder. Les méthodes utilisées pour dissimuler les liens dans les messages non sollicités sont nombreuses, mais une des plus répandues est celle où les liens des messages mènent vers des sites compromis d’où l’utilisateur est redirigé vers le site cible. Il peut s’agir d’un site publicitaire et/ou d’un site contenant du code malveillant. En général, les sites compromis sont repris dans le système de redirection tout simplement parce que les cybercriminels ont réussi à les compromettre. Il arrive parfois que les individus malintentionnés les recherchent activement. Nous avons ainsi observé une diffusion dans le cadre de laquelle l’utilisateur était acheminé vers un site de publicités pour des médicaments via un site compromis. Les sites compromis étaient eux-mêmes en rapport avec le secteur pharmaceutique (rxpharmacy*****.com). Les cybercriminels pratiquent ce ciblage afin que le lien sur lequel l’utilisateur va cliquer n’éveille aucun soupçon.

De plus, nous avons observé ces derniers temps une augmentation du nombre de sites de communautés religieuses parmi les sites compromis. Ceci n’est pas le fruit d’une attaque ciblée ou d’ingénierie sociale. Il se fait que la protection de ce genre de site est délaissée.

Pièces jointes malveillantes dans le courrier


Top 10 des programmes malveillants diffusés par courrier au deuxième trimestre 2014

Le programme malveillant le plus diffusé par courrier demeure Trojan-Spy.HTML.Fraud.gen. Pour rappel, ce programme malveillant est une page HTML de phishing sur laquelle la victime doit saisir ses données confidentielles. Ces informations sont ensuite transmises aux cybercriminels. Il faut toutefois noter que la part de ce programme malveillant a diminué de 1,67 % par rapport au trimestre précédent.

Le cheval de Troie bancaire Trojan-Banker.Win32.ChePro.ilc occupe la deuxième position. Il vise les données personnelles des clients de banques brésiliennes et portugaises.

Pour la première fois depuis longtemps, nous trouvons un code d’exploitation en troisième position (Exploit.JS.CVE-2010-0188.f). Les codes d’exploitation dans le courrier sont plus dangereux car ils ne prennent pas la forme de fichiers exécutables, mais bien de documents Office inoffensifs. Ce code d’exploitation se présente sous les traits d’un document PDF et il exploite une vulnérabilité dans Acrobat Reader 9.3 et antérieur. Il faut savoir que cette vulnérabilité est connue depuis bien longtemps et les utilisateurs qui mettent à jour leurs applications régulièrement n’ont rien à craindre. Toutefois, si la version installée d’Adobe est ancienne, l’exploitation de la vulnérabilité permet d’installer et d’exécuter le fichier exécutable désigné sous le nom de Trojan-Dropper.Win32.Agent.lcqs par Kaspersky Lab. Ce cheval de Troie de type dropper installe et lance un javascriptš (Backdoor.JS.Agent.h) qui récolte les informations relatives au système, les envoie au serveur des individus malintentionnés et reçoit diverses instructions. Les instructions et leurs résultats sont transmis sous forme chiffrée.

Des chevaux de Troie de la famille Bublik occupent les 4e, 6e, 7e et 8e positions. Il s’agit de chevaux de Troie classiques dont l’objectif est le téléchargement et l’installation d’autres programmes malveillants à l’insu de la victime. Ce sont des fichiers EXE qui se font passer pour des documents Adobe à l’aide d’une icône. Dans de nombreux cas, ils téléchargent le programme malveillant bien connu ZeuS/Zbot.

Le ver de messagerie Email-Worm.Win32.Bagle.gt occupe la 5e position. La fonction principale de tous les vers de messagerie est de récolter des adresses sur les ordinateurs infectés. Le ver de messagerie de la famille Bagle peut également recevoir des commandes à distance pour installer d’autres programmes malveillants.

En 9e position dans ce classement, nous retrouvons un autre code d’exploitation : Exploit.Win32.CVE-2012-0158.j. Il prend la forme d’un document Microsoft Word et exploite une vulnérabilité dans le code mscomctl.ocx dans Microsoft Office. Il installe un programme malveillant sur l’ordinateur de l’utilisateur et le lance.

Trojan-Spy.Win32.Zbot.sivm occupe la 10e position. Les programmes malveillants de la famille ZeuS/Zbot sont en mesure de réaliser diverses actions malveillantes (leur charge utile s’enrichit au fil du temps), mais ils interviennent généralement dans le vol d’informations d’identification pour l’accès aux services de transactions bancaires par Internet. Zbot peut également installer CryptoLocker , un programme malveillant qui chiffrent les données de l’utilisateur et qui exige le versement d’une rançon pour les déchiffrer.

S’agissant des familles les plus populaires, et non pas de modifications particulières, elles se sont réparties de manière distincte au cours de ce trimestre :


Top 10 des familles de programmes malveillants diffusés par courrier au deuxième trimestre 2014

Bublik (qui télécharge souvent Zbot), et Zbot lui-même, arrivent en tête, loin devant les autres familles du classement. Ces deux familles représentent plus d’un tiers du total des déclenchements liés à des programmes malveillants dans le courrier. Ceci est tout à fait logique car la majorité des programmes malveillants visent à voler l’argent des victimes et ZeuS/Zbot est un des programmes les plus connus et les plus accessibles de cette catégorie.

Une porte dérobée de la famille Androm occupe la 3e position. Ces programmes permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu des victimes et de les enrôler dans des réseaux de zombies.

Pays, cibles des diffusions de programmes malveillants


Répartition des déclenchements de l’antivirus protégeant les emails par pays au deuxième trimestre 2014.

Le Top 20 des pays qui reçoivent le plus de messages non sollicités malveillants a quelque peu changé par rapport à celui du trimestre précédent. La part de courrier indésirable visant les utilisateurs américains a reculé (-3,5 %), ce qui explique le glissement des Etats-Unis de la 1re à la 3e position, derrière la Grande-Bretagne et l’Allemagne. Parmi les autres modifications notables, citons la multiplication par 2,5 de la part de courrier indésirable diffusée au Brésil, ce qui permet à ce pays de passer de la 15e à la 5e position. Cette progression est due au cheval de Troie bancaire ChePro dont plus de 80 % des exemplaires ont été envoyés à des utilisateurs au Brésil.

Particularités du courrier indésirable malveillant

Bien souvent , les individus malintentionnés présentent les messages contenant des pièces jointes malveillantes sous les traits de messages d’organisations connues telles que des sociétés de courrier, des magasins ou des réseaux sociaux. En règle générale, ces messages imitent des notifications que les destinataires peuvent recevoir régulièrement (facture pour un service, avis sur le suivi d’un colis, etc.) Au cours de ce trimestre, nous avons toutefois pu observer une pointe de créativité dans le domaine de l’ingénierie sociale dans le cadre d’une diffusion prétendument en provenance de la chaîne Starbucks.

Ces messages indiquaient qu’un des amis, désireux de rester anonyme, du destinataire avait passé une commande pour ce dernier chez Starbucks. Pour prendre connaissance du menu ainsi que de l’adresse et de l’heure exacte de la célébration, il fallait ouvrir une pièce jointe qui était un fichier exécutable que les individus malintentionnés n’avaient même pas pris la peine de dissimuler.

Statistiques relatives au courrier indésirable

Part du courrier indésirable


Part du courrier indésirable dans le trafic de messagerie de janvier à juin 2014

A l’issue du 2e trimestre, la part de courrier indésirable atteignait 68,6% du trafic de messagerie, soit 2,2% de plus qu’au trimestre précédent. C’est en avril que nous avons enregistré les plus gros volumes de messages non sollicités. La part de messages non sollicités a commencé à diminuer progressivement par la suite.

Pays, source du courrier indésirable

Jusqu’à présent, les statistiques relatives aux pays sources de courrier indésirable provenaient de nos propres pièges à spam installés dans divers pays. Le courrier indésirable qui tombe dans les pièges se distingue malgré tout du courrier indésirable que reçoivent les utilisateurs réels. Ainsi, les pièges ne captent pas les messages non sollicités ciblés envoyés à des sociétés dont le profil a été étudié. C’est la raison pour laquelle nous avons changé de source de données et que nous utilisons désormais KSN (Kaspersky Security Network) afin d’obtenir les statistiques relatives au courrier indésirable sur la base des messages reçus par nos clients à travers le monde. Vu que les statistiques relatives aux pays sources citées ce trimestre proviennent d’une autre source, il ne convient pas de réaliser des comparaisons avec les statistiques de la période précédente.


Répartition des sources de courrier indésirable par pays au deuxième trimestre 2014

Les Etats-Unis occupent la première place du classement des pays sources de courrier indésirable : 13,4 % des messages non sollicités diffusés à travers le monde proviennent de ce pays. Ceci n’est pas étonnant car les Etats-Unis sont le pays qui comptent le plus grand nombre d’internautes. Bien que les utilisateurs dans ce pays soient en général bien informés sur les dangers d’Internet, les ordinateurs de certains d’entre eux sont malgré tout infectés et se retrouvent dans des réseaux de zombies de diffusion de messages non sollicités.

Pour le reste du classement, la répartition des sources de courrier indésirable par pays est plus ou moins égale. Cela s’explique parfaitement : les réseaux de zombies sont distribués à travers le monde entier. Il n’existe pratiquement aucun pays au monde sans ordinateurs infectés.

La Russie occupe la deuxième position. Elle est à l’origine de 6 % du trafic de messages non sollicités mondial. Le Viet Nam occupe la 3e position (5%).

Nos statistiques montrent clairement que dans de nombreux pays, une partie considérable des messages non sollicités est d’origine domestique. Il s’agit de messages dont l’expéditeur et le destinataire se trouvent dans le même pays. Ainsi, au deuxième trimestre, le courrier indésirable domestique atteignait 18 % pour la Russie et 27,2 % pour les Etats-Unis. Une tendance identique s’observe dans plusieurs autres grandes pays, sources d’un volume considérable du courrier indésirable mondial. Dans les plus petits pays, le courrier indésirable provient principalement de l’étranger.

Taille des messages non sollicités


Tailles des messages non sollicités, deuxième trimestre 2014

La répartition des messages non sollicités par taille n’a pratiquement pas changé par rapport au premier trimestre. Le leader absolu demeurent les petits messages qui ne dépassent pas 1 Ko, ce qui est compréhensible : ces messages peuvent être envoyés plus facilement et plus vite.

On remarquera une légère baisse de la part des messages dont la taille est comprise entre 2 et 5 Ko (-2,7 %) et une augmentation du nombre de messages dans la plage de 5 à 10 Ko (+4,2 %). Ce genre d’augmentation s’explique habituellement par une augmentation de la part de messages non sollicités graphiques, ce que nous avons bel et bien observé au cours de ce trimestre. Tout d’abord, il y a eu beaucoup de campagnes importantes de diffusion de messages d’escroquerie sur les cours d’actions contenant des images (nous en avons parlé ci-dessus). Ensuite, nous avons observé un nombre important de messages non sollicités graphiques en russe sur le thème des régimes ou des articles de contre-façon.

Phishing

Sur l’ensemble du deuxième trimestre 2014, le système Anti-Phishing s’est déclenché 60 090 173 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab.

Ce sont les utilisateurs au Brésil qui ont été le plus souvent attaqués : l’Anti-Phishing s’est déclenché au moins une fois au cours du trimestre sur les ordinateurs de 23,2 % des utilisateurs brésiliens.


Géographie des attaques de phishing*, T2 2014

* Pourcentage d’utilisateurs sur les ordinateur desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.

Top 10 des pays par pourcentage d’utilisateurs attaqués :

  Pays % d’utilisateurs attaqués
1 Brésil 23,2%
2 Inde 19,2%
3 Porto Rico 18,6%
4 Japon 17,1%
5 France 17,0%
6 Arménie 16,8%
7 République dominicaine 16,2%
8 Russie 16,1%
9 Australie 16,1%
10 Royaume-Uni 15,8%

Le Brésil a figuré dans le Top 10 uniquement en 2014. L’activité des auteurs d’attaques de phishing visant des utilisateurs brésiliens s’explique peut-être par la tenue de la Coupe du monde de football au Brésil.

Organisations victimes du phishing

Les statistiques relatives aux cibles des auteurs d’attaques de phishing reposent sur les déclenchements du module heuristique de l’Anti-Phishing. Le module heuristique du système Anti-Phishing se déclenche lorsque l’utilisateur clique sur un lien qui mène à une page de phishing et que les bases de Kaspersky Lab ne contiennent pas d’informations sur cette page. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encoure, suite à l’action d’un programme malveillant. Une fois que le système de protection s’est déclenché, l’utilisateur voit dans son navigateur un message d’avertissement sur la menace éventuelle.

Pour les rapports précédents, notre analyse des cibles du phishing reposait sur le Top 100 des organisations attaquées. Pour ce trimestre, nous allons analyser les statistiques pour l’ensemble des organisations attaquées.

Dans le cadre d’attaques contre des organisations des catégories "Banque", "Systèmes de paiement" et "Magasin et ventes aux enchères en ligne", les individus malintentionnés tentent d’obtenir les informations personnelles de l’utilisateur afin de pouvoir accéder à ses comptes. Sur cette base, nous avons regroupé les trois catégories au sein d’une nouvelle catégorie baptisée "Finances en ligne".


Répartition des organisations victimes d’attaque de phishing, par catégorie, deuxième trimestre 2014

A titre de comparaison, nous fournissons les mêmes données pour le premier trimestre :


Répartition des organisations victimes d’attaque de phishing, par catégorie
premier trimestre 2014

A l’instar du premier trimestre, la catégorie "Portails Internet globaux" occupe la 1re position du classement des organisations ciblées par les auteurs d’attaques de phishing. Son indice n’a reculé que de 1,7 %. Cette catégorie reprend les portails qui regroupent divers services dont un service de messagerie et un moteur de recherche. Les individus malintentionnés qui parviennent à voler les informations d’identification sur ces portails obtiennent un accès à l’ensemble des services proposés. Dans la majorité des cas, les auteurs d’attaques de phishing imitent les pages d’ouverture de session des services de messagerie proposés par ces portails.


Répartition des attaques de phishing contre les portails Internet globaux*

*Le classement n’est pas un indicateur de sécurité des cibles des attaques. Il reflète seulement la popularité et la réputation de ces services parmi les utilisateurs, ce qui explique leur popularité parmi les auteurs d’attaques de phishing.

Le phishing financier représente 24,84 % des attaques, soit 1,8 % de plus qu’au premier trimestre. La part des déclenchements pour les catégories "Banques" (+0,93 %) et magasins en ligne (+0,85 %) a également augmenté.

Les "réseaux sociaux" occupent toujours la 3e position.


Répartition des attaques de phishing contre les réseaux sociaux*

*Le classement n’est pas un indicateur de sécurité des cibles des attaques. Il reflète seulement la popularité et la réputation de ces réseaux sociaux parmi les utilisateurs, ce qui explique leur popularité parmi les auteurs d’attaques de phishing.

Au 1er trimestre, Facebook avait figuré dans 79,5 % des tentatives d’accès des utilisateurs à de fausses pages du site. Le volume d’attaques contre les utilisateurs de Facebook a considérablement diminué au 2e trimestre (-23,54 %). Parallèlement à cela, le pourcentage des tentatives d’accès des utilisateurs à de fausses pages de réseaux sociaux russes a fortement augmenté : +18,7 % pour Odnoklassniki et +10,68 % pour Vkontakte.

Top 3 des organisations attaquées

  Organisation % de liens de phishing
1 Yahoo! 30,96%
2 Google Inc 8,68%
3 Facebook 8,1%

Au deuxième trimestre, les liens de phishing vers de fausses pages des services de Yahoo! ont représenté 30,96 % de l’ensemble des attaques.

Yahoo! est devenu le leader des cibles d’attaques de phishing au premier trimestre 2014 avec 31,94 % suite à une augmentation brusque de ces liens au début du mois de janvier.


Nombre de déclenchements quotidiens provoqués par des pages de phishing qui imitent les pages de Yahoo!, T1 2014

Au deuxième trimestre, la détection de liens de phishing vers de fausses pages des services de Yahoo! n’a pas connu de pic.

En janvier de cette année, Yahoo! annonçait sur son blog que HTTPS avait été activé par défaut pour son service de messagerie. Cette mesure de sécurité, associée à la protection des données transmises, peut constituer une aide dans la lutte contre les auteurs d’attaques de phishing : désormais, dans les cas de phishing où le nom de domaine dans la barre d’adresse reste identique (par exemple, suite à une substitution du serveur DNS), l’absence de l’icône de connexion sécurisée devrait alerter l’utilisateur. Toutefois, il ne faut pas oublier que l’absence d’une connexion sécurisée n’est qu’un seul indice parmi d’autres pour identifier une page de phishing et qui plus est, sa présence ne garantit pas nécessairement l’authenticité du site.


Exemple classique de page de phishing qui imite la page d’ouverture de session du service de messagerie de Yahoo!

La 2e position pour ce trimestre dans le classement des organisations attaquées est occupée par Google (8,68 %) qui déloge Facebook. Alors qu’avant, les auteurs d’attaques de phishing se contentaient d’imiter la page d’ouverture de session de Gmail, on retrouve désormais de plus en plus souvent de fausses pages qui imitent la page d’ouverture de session commune à l’ensemble des services de Google. Il ne fait aucun doute que cette cible est très attrayante pour les auteurs d’attaque de phishing : "Un compte. Tout le monde de Google."

Nous avons été confronté au cours de ce trimestre à un curieux exemple de l’appât du gain des auteurs de phishing pour qui le seul univers de Google ne suffit pas :

Sur cette page de phishing qui imite la page d’ouverture de session pour tous les services Google, les auteurs de l’attaque ont également prévu l’option de saisie de mots de passe pour les utilisateurs des messageries AOL, Hotmail et Yahoo!

Facebook, le leader de l’année dernière, recule à nouveau d’une place et occupe la 3e position dans le classement des déclenchements du module Anti-Phishing (8,02 %). Les attaques de phishing contre les utilisateurs des réseaux sociaux sont peu à peu remplacées par les attaques contre les utilisateurs de portails Internet globaux, mais elles demeurent toujours d’actualité pour les auteurs d’attaques de phishing qui cherchent à accéder aux comptes des utilisateurs à travers le monde.

Sujets d’actualité dans le phishing

La Coupe du monde de football aura été le thème d’actualité choisi par les auteurs d’attaques de phishing au deuxième trimestre.


« Votre chance de gagner des billets pour le prochain match de la Coupe du monde ! »

Les escrocs ont exploité le sujet jusqu’au coup dernier coup de sifflet de la finale. Les diffusions thématiques ont fait leur apparition au début de l’année 2014 et ont tenu un rythme régulier tout au long du premier semestre. En général, les auteurs d’attaques de phishing imitaient les notifications d’organismes connus (principalement, la FIFA) et invitaient les destinataires à cliquer sur un lien en vue de gagner un prix. Les prix, comme dans l’exemple ci-dessus, étaient des tickets pour assister à des matchs de la Coupe du monde. Une fois sur le site, l’utilisateur qui voulaient profiter de l’offre devait saisir ses données personnelles, dont les données de la carte de crédit qui étaient l’objectif des escrocs.

Au cours de ce trimestre, les auteurs d’attaques de phishing ont également ciblé la chaîne de fast-food McDonald’s :š au mois d’avril, des individus malintentionnés ont tenté d’obtenir les données des cartes bancaires d’internautes qui parlaient le portugais. Le destinataire apprenait dans le faux message qu’il pouvait recevoir 150 euros de McDonald’s. Pour ce faire, il devait cliquer sur le lien repris dans le message et participer à un sondage. Une fois qu’il arrivait sur la page de phishing, l’internaute était invité à répondre à quelques questions, puis à saisir les données de sa carte bancaire afin de pouvoir recevoir la somme promise. Les individus malintentionnés sont à la recherche de ce genre de donnés et les utilisateurs peu méfiants ne se doutent pas qu’ils transmettent leurs informations personnelles à des tiers.

Signalons que ce message d’escroquerie était rédigé en portugais et qu’il était plus que probablement destiné aux habitants du Brésil et du Portugal. Toutefois, le texte du sondage quant à lui était en anglais. En général, les auteurs d’attaques de phishing réalisent ces sondages en anglais.

Conclusion

Au cours du deuxième trimestre, nous avons vu de nombreuses diffusions orchestrées par des organisations canadiennes qui souhaitaient obtenir l’autorisation des destinataires pour continuer à envoyer des messages publicitaires avant l’entrée en vigueur de la nouvelle législation de lutte contre le courrier indésirable au Canada. Dans ce contexte, des sociétés peu scrupuleuses à la recherche de nouveaux clients, ont envoyé des demandes similaires à des listes d’adresse d’utilisateurs parmi lesquels figuraient d’autres personnes. Toujours est-il que les effets de cette nouvelle loi ont commencé à se faire sentir avant même son entrée en vigueur.

Un des sujets les plus souvent utilisés dans le courrier indésirable au 2e trimestre aura été le courrier indésirable boursier, et plus spécialement celui associé aux fraudes de type "pump and dump". Il est curieux de voir que les diffuseurs de messages appartenant à cette ancienne catégorie ont tenté de déjouer les filtres à l’aide d’anciennes techniques : courrier indésirable graphique et "texte invisible".

Le sujet "mobile" dans le courrier indésirable est resté d’actualité au deuxième trimestre et nous avons observé des messages prétendument envoyés depuis des périphériques sous iOS. La majorité de ces faux messages avait été créé sans tenir compte des détails et des caractéristiques de ce système d’exploitation, ce qui a permis d’interrompre cette diffusion sans difficultés.

Fraud.gen, un logiciel espion qui vole les données d’accès aux comptes en banque, conserve sa première position parmi les programmes malveillants diffusés par courrier indésirable au deuxième trimestre 2014. Il est suivi par le cheval de Troie bancaire brésilien ChePro. Bublik et Zeus/Zbot figurent parmi les familles de programmes malveillants les plus populaires. Il est intéressant de constater que le Top 10 de ce trimestre accueille pour la première fois depuis longtemps deux codes d’exploitation, dont un qui fait son entrée directement en 3e position.

La Coupe du monde de football a été très utilisée dans les publicités d’articles traditionnels, mais également dans les diffusions de messages malveillants et de phishing. La part de messages non sollicités malveillants envoyés au Brésil au cours du deuxième trimestre a été multipliée par 2,5 par rapport au premier trimestre (principalement à cause du cheval de Troie bancaire de la famille ChePro). De plus, le Brésil occupe la 1ère position parmi les pays pris pour cible par les auteurs d’attaques de phishing. Les portails Internet sont les organisations les plus populaires auprès des auteurs d’attaque de phishing.

D’après les statistiques de KSN, les Etats-Unis occupent la première position du classement des pays source de courrier indésirable, suivis dans l’ordre par la Russie et le Vietnam. Il est intéressant de constater que dans beaucoup de grands pays, une partie importante du courrier indésirable reçu par les utilisateurs est d’origine domestique.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *