Spam au troisième trimestre 2008

Le spam accompagné de pièces jointes malicieuses gagne du terrain et se fait toujours plus dangereux avec en prime, téléchargement de chevaux de Troie et fraudes sur le PC des internautes.

Principales tendances

  • La part du spam dans le trafic de courrier s’élève à 80.5%
  • La part de messages de phising représente en moyenne 0,61% du spam
  • 0,69% des messages électroniques contiennent des pièces jointes malicieuses
  • La part du spam graphique s’élève à 9%.
  • Nette augmentation du nombre de spams pour adultes
  • Les spammeurs continuent d’exploiter les possibilités d’HTML pour contourner les filtres

Répartition du spam

La part du spam pour ce 3ème semestre s’élève à 80,5%, autrement dit 2% de moins qu’au trimestre précédent. Ceci confirme nos pronostics puisque nous avions prévu une baisse pendant la période estivale. La diffusion de spams a été moins soutenue en été pour reprendre au mois de septembre.


Part du spam dans l’internet russophone au troisième trimestre 2008

Le pic d’envoi de spams a été enregistré le 13 septembre avec 95% du trafic de courrier et le plus faible indice a été enregistré le 16 juillet avec 66,2%.

Spam malicieux


Part du spam dont le contenu est malicieux 2008

Le spam accompagné de pièces jointes malicieuses gagne du terrain ce trimestre et dépasse les 1% en septembre. La moyenne pour le trimestre est de 0,69%, quant aux spams contenant des liens vers des pages malicieuses, ils étaient encore plus nombreux.

Pour obliger les internautes à ouvrir ces pièces jointes ou à télécharger des programmes malicieux, les cyber-criminels ont recours à différents moyens.

Un mail reprend par exemple l’actualité de sites d’informations bien connus du type BBC, CNN et autres. Le lien conduit soi-disant vers le site en question mais dirige en fait l’utilisateur vers des sites corrompus, à partir desquels des codes malicieux sont téléchargés sur son PC à son insu.

Une autre tactique consiste à proposer au destinataire du pourriel, de regarder une vidéo insolite mettant en scène des célébrités. Pour ouvrir le lien, l’internaute se voit proposé d’installer un nouveau flash player qui n’est en fait qu’un cheval de Troie téléchargeur (Trojan downloader).

Ou encore, l’utilisateur se voit proposé de télécharger un antivirus gratuit qui n’est là encore, qu’un moyen détourné de télécharger un Trojan downloader.

Autre approche intéressante trouvée dans les spams russophones : on demande à l’utilisateur de désactiver son antivirus pour en télécharger un gratuit. Autre moyen plutôt cynique : la demande de rançon pour récupérer votre enfant avec photo de ce dernier en PJ. Les spammeurs misent sur le fait que, pris de panique, les internautes cliquent sur la photo en pièce jointe qui n’est autre qu’un Trojan Downloader.


We have hijacked your baby
Hey We have hijacked your baby but you must pay once to us $50 000. The details we will send later…
We has attached photo of your fume

Répartition thématique du courrier indésirable


 

Répartition thématique du courrier indésirable au 3ème trimestre 2008

Top 5 des thèmes du courrier indésirable :

  1. « Médicaments, marchandises et services pour la santé » – 19,8%
  2. «Spam pour adultes» – 19,0%
  3. «Education» – 9,4%
  4. «Vacances et voyages» – 9,1%
  5. «Répliques d’vlpub de luxe» – 6,9%

Contre toute attente, on assiste à une progression du spam pour adultes qui passe de 3,7% au deuxième semestre à 19% au troisième (la part du spam russophone a largement contribué à faire pencher la balance avec 27.9%).


Part des messages faisant de la publicité pour des sites pour « adultes » dans l’internet russophone

Les spams de cette rubrique se présentent sous la forme d’un texte bref et d’un lien. Le texte incite l’utilisateur à se rendre sur un site pornographique. Il s’agit de liens de redirection vers une série de sites pornographiques. Le contenu de ces sites est collecté à l’aide de scripts spécifiques en provenances de sources ouvertes d’internet et se répètent souvent. Les visiteurs se voient proposés d’obtenir un code d’accès aux archives en envoyant un sms à un numéro surtaxé. Une fois le sms envoyé, l’utilisateur découvre que la somme débité de son compte d’abonné est bien supérieure à la somme affichée dans la publicité du spam.

Les « trucs » des spammeurs

Les spammeurs continuent d’expérimenter toute les possibilités offertes par le code HTML. Toutefois, on assiste également au retour en force de l’arsenal classique des méthodes des spammeurs.

Ils ont particulièrement exploité les tableaux HTML à partir desquels ils insèrent des mots clés et des contacts (téléphones, adresses de sites). Dans l’exemple ci-dessous, on voit que chaque lettre du mot « viagra » est inscrite dans une cellule de tableau. La couleur des cellules et leur taille varient d’une diffusion à l’autre de sorte que chaque courriel est considéré comme unique par les filtres anti-spams.

html Ce que voit l’utilisateur
<table cellspacing=3D »6″ width=3D »156″>
<tr>
<td align=3D »center » valign=3D »baseline » nowrap=3D »nowrap »
bordercolor=3D »=
#51A918″ bgcolor=3D »#BCF0E9″>
<i>V</i><font
color=3D »#BCF0E9″>n</font> </td>
<td valign=3D »top » nowrap=3D »nowrap »
bgcolor=3D »#BCE1F0″ bordercolor=3D »#C=
706F4″> <strong>I</strong>
</td>
<td bgcolor=3D »#F0BCCF » align=3D »center »
valign=3D »middle » bordercolor=3D »=
#6F7F6E »>A<font color=3D »#F0BDCF »>1</font>
</td>
<td bgcolor=3D »#F0D9BC » nowrap=3D »nowrap »
align=3D »center »> G</td>
<td bordercolor=3D »#0C53B7″ nowrap=3D »nowrap »
bgcolor=3D »#C1BCF0″><strong>R
</strong><font color=3D »#C1BDF0″>i</font>
</td>
<td bordercolor=3D »#13D5F3″ align=3D »center »
valign=3D »middle » bgcolor=3D »=
#CBBCF0″> A
</td>
</tr>
</table>

Autre méthode déjà éprouvée : faire apparaître les coordonnées souhaitées à l’aide de fragments isolés, autrement dit les lettres et chiffres sont composés d’une succession de cellules noires et blanches dans un tableau HTML.

html Ce que voit l’utilisateur
<table height=3D »30″>
<tbody>
<tr>
<td bgcolor=3D »#000000″></td>
<td></td>
<td bgcolor=3D »#000000″></td>
<td></td>
<td bgcolor=3D »#000000″></td>
<td bgcolor=3D »#000000″></td>
<td bgcolor=3D »#000000″></td>
<td></td>
<td bgcolor=3D »#000000″></td>
<td bgcolor=3D »#000000″></td>
<td bgcolor=3D »#000000″></td>
<td></td>
<td></td>
<td></td>

Auparavant le texte invisible était utilisé pour brouiller les messages et était inséré au texte principal. Dorénavant, les spammeurs font le contraire : le texte principal est en caractères blancs alors que le texte supplémentaire inséré à la fin du message est en noir. Les spammeurs comptent sur le fait que les filtres anti-spam n’analysent pas le texte en blanc et que chaque message sera donc considéré comme unique. Les en-têtes de ces spams indiquent en général « surligner pour pouvoir lire ».


 

Toujours à l’aide de ce procédé d’inversion, les spammeurs insèrent le texte principal à l’intérieur de balises de commentaires. Avant, pour passer outre les filtres anti-spam, à l’intérieur de ces balises se trouvait un texte inutile. Désormais les spammeurs tablent sur le fait que les filtres n’analysent pas le texte des balises de commentaires. Toutefois, cette méthode présente un défaut majeur : les textes entre balises de commentaires ne sont pas affichés par la plupart des clients de messagerie et l’information publicitaire n’atteindra pas l’utilisateur final dans de nombreux cas.

Autre approche remise au goût du jour : les messages contrefaits de notifications d’absence du destinataire. Dans ce type de messages, en plus des phrases standard, se trouve une invitation à visiter un site.

I shall reply to you shortly
This is an automatic reply. I am unable to read my email at present. In the meantime please go to {SITE} and discover how I m@ke monthly residual income. I will read your message when I return.
Thank you.
Richard

Conclusion

Malgré un affaiblissement du trafic de courrier indésirable au 3ème trimestre, le spam reste dangereux. On dénombre des courriels pourvus de pièces jointes malicieuses, un grand nombre de spams avec des liens vers des pages Internet infectées, des lettres de phishing, des spams dirigeant vers sites de fraude, et autres spams criminels qui peuvent engendrer des pertes significatives pour l’utilisateur.

Le spam pour adultes monte en puissance mais il est probable que ces diffusions soient à court terme. Ces schémas cessent d’apporter des bénéfices dès que l’utilisateur prend connaissance de l’arnaque. C’est sans doute la raison pour laquelle ce type de spam est désormais si élevé – les spammeurs tentent de tirer un maximum de bénéfices avant que les détails de leur activité ne soient pas trop ébruités.

Il est possible qu’au trimestre suivant, la quantité de spam augmente sensiblement. Les spammeurs vont forcément mettre au point de nouvelles méthodes de contournement des filtres anti spam. On peut s’attendre à ce que la répartition thématique change suite à la baisse des spams à caractère pornographique. De plus, les spammeurs vont certainement tenter d’exploiter la crise financière en vue d’opérations frauduleuses. Aussi, nous recommandons aux internautes la plus grande méfiance envers l’information contenue dans le courrier indésirable.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *