Spam en novembre 2013

Sommaire

Particularités du mois

Nous avons observé au mois de novembre un volume important de diffusions de messages reprenant des offres d’emploi, intérimaire ou permanent et ce malgré le calme attendu sur le marché du travail en raison de la fin prochaine de l’année financière. Ces messages non sollicités ne contenaient pratiquement aucune information concrète sur l’employeur potentiel ou sur les postes vacants. Un nombre considérable de diffusions le mois dernier portaient sur les vacances d’hiver et sur l’organisation de voyages pour les fêtes de fin d’année qui approchent. De plus, nous avons observé du courrier indésirable festif évoquant la journée d’Action de grâce et l’Armistice célébrés en Occident. Les diffuseurs de courrier indésirable ont continué à exploiter les événements tragiques de l’actualité pour tromper les destinataires et ils ont envoyé des messages avec des demandes de dons pour les victimes du typhon aux Philippines.

Les fêtes continuent

Au cours du mois de novembre, les diffuseurs de courrier indésirable ont envoyé, aux noms de petites et moyennes entreprises, des messages proposant des remises sur des biens et des services en l’honneur de l’Armistice, célébré le 11 novembre aux Etats-Unis, et ils ont également attiré l’attention des destinataires à l’aide d’expressions traditionnelles sur les soldes et les économies. Par exemple, les messages annonçant des remises chez des concessionnaires automobiles présentaient ces remises comme une marque de respect envers les anciens combattants américains.

 

Le jour de l’Action de grâce (Thanksgiving), une des plus importantes fêtes célébrées aux Etats-Unis et dans quelques autres pays le dernier jeudi du mois de novembre a également été exploité dans le cadre de publicités pour des biens et des services. Certains messages cherchaient à captiver l’attention du destinataire non seulement en citant la fête dans le corps du message, mais également en travaillant la mise en page et en utilisant des images de dindes, l’animal qui symbolise Thanksgiving, et en avançant des faits à leur sujet. Nous avons également observé au mois de novembre des messages non sollicités et inspirés par la journée d’Action de grâce pour des médicaments ou des méga-ristournes sur des appareils électroniques.

Nous tenons à signaler que le contenu et l’objet des messages ne correspondaient pas toujours au contenu de la page sur laquelle l’utilisateur arrivait après avoir cliqué sur le lien. Par exemple, les liens de messages non sollicités que nous avons détectés menaient vers un fichier MP3 qui, d’après les auteurs du message, devait les aider à survivre à l’avalanche de dindes alors que le destinataire se retrouvait en fait sur une page affichant des publicités pour des médicaments améliorant la puissance sexuelle.

 

 

Les fêtes de fin d’année approchent à grand pas et, par conséquent, le nombre de messages non sollicités consacrés à Noël et au Nouvel an continue d’augmenter. A l’approche de Noël, les petites et moyennes entreprises offrent les biens et les services les plus divers, depuis des excursions de Noël jusqu’à du matériel pour marquer les colis. Outre les publicités pour les cartes de vœux traditionnelles en papier, nous avons vu des messages pour la réalisation de cartes postales vidéo avec l’ajout du logo et des vœux de la société. Les diffuseurs de courrier indésirable n’ont pas oublié les petites têtes blondes qui attendent non seulement des cadeaux, mais également des messages du Père Noël. Une des diffusions que nous avons détectées faisait la publicité d’un service de commandes de telles lettres en ligne.

 

Solidarité avec les escrocs

Comme toujours, les événements tragiques de l’actualité sont une source de revenus pour les diffuseurs de messages non sollicités : nous identifions souvent des messages qui font allusion à des attentats ou à des catastrophes naturelles ou humaines pour soustraire de l’argent aux utilisateurs. Les escrocs envoient souvent des messages au nom de représentants de diverses organisations humanitaires ou évoquent leur coopération avec celles-ci pour venir en aide aux victimes. En novembre 2013, les escrocs ont envoyé des messages d’escroquerie à la nigériane au nom de la Croix rouge pour solliciter une aide en faveur des Philippins victimes du typhon.

 

Afin que la victime ne se doute de rien, les escrocs ne demandaient pas cette fois-ci le versement d’une somme concrète mais indiquaient simplement que même la somme la plus modeste serait appréciée. Le message provenait d’une fausse adresse de l’organisation et la seule manière de contacter le faux représentant de la Croix-Rouge était via un numéro de téléphone et une adresse de messagerie électronique personnelle enregistrée dans un tout autre domaine. Qui plus est, nous rencontrons souvent des messages d’escroquerie reprenant des liens vers une page HTML affichant des informations détaillées sur un événement et les victimes mais dans les messages recensés au mois de novembre, le lien des messages menait vers une page présentant une vidéo de la catastrophe et des informations complémentaires sur le transfert d’argent. Pour convaincre le destinataire de l’authenticité du message, les escrocs incluaient dans le texte un lien vers le site officiel de la Croix-rouge.

Offres d’emploi fantômes

En général, la fin de l’automne et le début de l’hiver s’accompagnent d’une légère accalmie sur le marché du travail. Au cours de cette période, les entreprises dressent les bilans financiers et élaborent les plans pour l’année suivante et dans ce contexte, le recrutement de nouveaux employés est ralenti. Toutefois, pour ce mois de novembre, nous avons vu un nombre important de messages non sollicités portant sur des offres d’emploi. Il ne s’agissait pas du tout de messages relatifs à de nouveaux postes vacants envoyés par des grandes sociétés de recrutement via Internet.

 

Il s’agissait avant tout de messages impersonnels qui signalaient au destinataire l’existence de postes vacants. Les conditions étaient très avantageuses et l’employé potentiel pouvait choisir entre un emploi à temps plein ou à temps partiel. Mais bien souvent, aucune description du poste vacant n’était fournie et pour obtenir ces informations, il fallait écrire à une adresse de messagerie électronique différente de l’adresse d’origine du message. De plus, l’adresse à laquelle il fallait envoyer la réponse et le CV changeait à chaque message tandis que le corps du message restait identique.

Parfois, ces messages contenaient le nom d’une société déterminée qui recrutait ainsi qu’une brève description de son activité principale. Certains expéditeurs de ces messages affirmaient qu’ils avaient obtenu les coordonnées du destinataire dans un CV qui leur avait été remis par un chasseur de têtes. Les messages indiquaient également les conditions que devait remplir le candidat et le niveau de la rémunération proposée.

 

Vacances d’hiver

Les fêtes de fin d’année sont proches et nombreux sont ceux qui tentent de les faire coïncider avec leurs vacances. C’est la raison pour laquelle le nombre de messages non sollicités faisant la promotion d’excursions et de voyages divers pendant la période des fêtes augmente sensiblement vers la fin de l’automne. Il n’y aura pas eu d’exception pour ce mois de novembre.

 

 

Outre les offres de vacances au soleil très populaires à cette époque de l’année, nous avons observé un nombre important d’offres pour des activités typiques pendant les vacances d’hiver : moto-neige et snowboard, vacances dans des chalets à la montagne et même des excursions et des randonnées à ski de fond dans les bois.

Répartition géographique des sources de courrier indésirable

Part du courrier indésirable dans le trafic de messagerie

 
Part du courrier indésirable dans le trafic de messagerie

Au cours des trois premières semaines du mois de novembre, la part de courrier indésirable a progressivement augmenté, mais elle a à nouveau diminué vers la fin du mois, si bien que sur l’ensemble du mois de novembre, la part de courrier indésirable dans le trafic de messagerie a atteint en moyenne 72,5 %

Pays, source du courrier indésirable

 
Pays, source de courrier indésirable

A l’issue du mois de novembre 2013, il n’y a eu pratiquement aucune modification dans la liste des pays sources de courrier indésirable diffusé à travers le monde. Cela fait déjà plusieurs mois maintenant que la Chine occupe la tête du classement (23,3 %) et sa part a augmenté de 2 %. Viennent ensuite les Etats-Unis (18 %) et la Corée du Sud (14,5 %). Les indices de ces deux pays n’ont pratiquement pas changé. Taïwan occupe la quatrième position (6,7 %). La Russie occupe une fois de plus la cinquième position (5,4 %), en progression de 1,4 %.

Il y a eu un léger recul (-1 %) de la part de courrier indésirable envoyée depuis l’Ukraine (2,9 %) qui perd une place et se retrouve en 8e position. Nous avons également observé une légère contraction de la part de courrier indésirable envoyé depuis le Canada (-0,4 %). Le Canada quitte le Top 10 et cède sa place au Japon, en progression de 0,9 %.

La Roumanie referme le Top 10 (1,6 %) et progresse de trois places avec une augmentation de 0,2 %.

 
Pays, source de courrier indésirable en Europe

A l’issue du mois de novembre, la Corée du Sud demeure le leader incontesté de l’envoi de courrier indésirable en Europe avec 56 %, soit une progression de 4,7 %. Taïwan recule de 1 % et occupe la seconde position avec 6,4 %. Et le trio de tête du mois de novembre est refermé par les Etats-Unis (5,5 %), soit une progression de 1,4 %.

La part de messages non sollicités envoyés depuis Hong-Kong (+0,4 %) a légèrement augmenté et passe de la 6e à la 4e position, à l’instar de celle de Singapour (+0,6 %) qui gagne trois points et entre dans le Top 10 en huitième position.

Une situation opposée s’observe en Russie (2,5 %) qui recule de la 3e à la 5e position (-2,7 %) et en Ukraine (2,3 %) qui recule de 1,2 % pour se retrouver en 7e position. Le Kazakhstan (-0,6 %) et l’Italie (-0,8 %) ont quitté le Top 10 pour la même raison.

La Roumanie (1,3 %) referme le Top 10 du mois de novembre. La part de messages non sollicités envoyés depuis ce pays n’a pratiquement pas changé (-0,1 %).

 
Régions d’origine du courrier indésirable

La situation au niveau des régions n’a pas changé : les leaders de la diffusion de courrier indésirable en novembre demeurent l’Asie (+2,6 %), l’Amérique du Nord (+0,5 %) et l’Europe de l’Est (-2,3 %). Viennent ensuite encore et toujours L’Europe de l’Ouest (-0,7 %) et l’Amérique latine (-0,02%).

Pièces jointes malveillantes dans le courrier

Au mois de novembre, le Top 10 des programmes malveillants diffusés par courrier électronique était le suivant :

 
Top 10 des programmes malveillants diffusés par courrier électronique

La première place est à nouveau occupée par Trojan-Spy.HTML.Fraud.gen. Ce programme malveillant se présente sous la forme d’une copie d’une page HTML pour la saisie de données qui sont envoyées directement aux individus malintentionnés. Trojan-Spy.HTML.Fraud.gen se propage d’habitude sous la forme d’un avis important envoyé par de grandes organisations commerciales, des banques, des magasins en ligne, etc.

Les programmes malveillants bien connus de la famille Bublik n’ont pas bougé au cours du mois de novembre et occupent au total quatre positions dans notre liste (2e, 3e, 8e et 10e positions respectivement). Tous les programmes de la famille qui figurent dans le Top 10 sont des chevaux de Troie de téléchargement qui téléchargent et exécuter des fichiers malveillants sur l’ordinateur de l’utilisateur.

La quatrième position est occupée par le ver Email-Worm.Win32.Bagle.gt qui est diffusé sous la forme de pièce jointe dans des messages électroniques. Après l’infection, il se propage à toutes les adresses électroniques relevées sur l’ordinateur infecté. Ce virus a comme tâche principale le téléchargement et l’exécution de fichiers depuis Internet à l’insu de l’utilisateur.

Trojan.Win32.Buzus.ofhx et Trojan-Spy.Win32.Zbot.qsec occupent les 5e et 6e positions. Il s’agit de programmes utilisés par des individus malintentionnés pour voler diverses informations bancaires, telles que les informations d’identification pour les services de transactions bancaires par Internet, sur les ordinateurs des victimes. En règle générale, ces programmes malveillants ne causent aucun effet visuel, ce qui complique sensiblement leur détection sur l’ordinateur des victimes privé d’un logiciel antivirus. De plus, afin de se protéger, les programmes de cette famille utilisent les technologies rootkit qui permettent de masquer la présence de leurs fichiers exécutables et processus.

Le programme malveillant Trojan-Ransom.Win32.Gimemo.blyq, un logiciel espion qui vole les cookies dans les navigateurs ainsi que les mots de passe des clients FTP et des clients de messagerie pour les envoyer aux individus malintentionnés, occupe la septième position.

 
Répartition des déclenchements de l’Antivirus Courrier par pays

En tête du classement des pays en fonction des déclenchements de l’Antivirus Courrier, nous retrouvons en novembre la Grande-Bretagne (12,3 %). Ce pays a progressé de 2,4 %, ce qui lui permet de laisser l’Allemagne en deuxième position (11,2 %) et les Etats-Unis en troisième position (10 %).

La part de déclenchements des autres pays de la liste n’a pas contenu de grands bouleversements. On notera toutefois la présence du Qatar (1,5 %) dans le Top 20. Le volume de déclenchements de l’Antivirus Courrier sur le territoire russe a diminué pour atteindre 1,9 % en novembre.

Particularités du courrier indésirable malveillant

En novembre, les diffuseurs de messages non sollicités ont diffusé des programmes malveillants sous la forme de notification de messageries vocales. Dans la majorité des cas, le texte des messages que nous avons détectés était le même. "Vous avez reçu un message vocal de XX minutes XX secondes de la société/utilisateur X : date, heure. Le message vocal est en pièce jointe et peut être lu sur la majorité des ordinateurs." Le message décrit dans la notification se trouvait dans une archive ZIP qui s’appelait message.zip et qui contenait en réalité un programme malveillant.

 

C’est cette formule qui a été utilisée dans l’envoi de messages au nom de Skype, un service de messagerie instantanée et de vidéo conférence très utilisé. Ici, le nom de l’expéditeur était SkypeVoiceMessage et l’adresse d’expédition n’avait rien à avoir avec le service connu et ressemblait à une succession de lettres obtenue de manière aléatoire. Le corps du message mentionnait également la longueur du fichier vocal ainsi que la date et l’heure de l’appel présumé. Pour écouter le message, il fallait ouvrir une archive ZIP nommée Skype_Voice_Message-DB43DD7B84C.zip. L’archive contenait en réalité un programme malveillant détecté par Kaspersky Lab sous le nom de Trojan-PSW.Win32.Tepfer.sjsm. Il s’agit d’un logiciel espion qui vole les cookies des navigateurs et les mots de passe de clients FTP et de clients de messagerie avant de les envoyer à ses maîtres.

 

Phishing

A l’issue du mois de novembre, le classement des organisations prises pour cible par les auteurs d’attaques de phishing n’avait pratiquement pas changé.

 
Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

A l’instar du mois passé, la première place du classement est occupée par les réseaux sociaux (26,9 %), même si cette catégorie a reculé de 1,3 %. Les indices des services de messagerie (19,2 %) et des moteurs de recherche (16,5 %) ont légèrement augmenté en novembre, ce qui place ces catégories en 2e et 3e position respectivement.

Les organisations financières et de paiement (16,1 %) conservent leur 4e position. La part d’attaques contre les représentants de cette catégorie continue d’augmenter. Ainsi, elle a progressé de 0,7 % en novembre.

L’indice des éditeurs de logiciels (9,2 %) a augmenté de 2,2 %, ce qui leur a permis de passer à la 5e position et de reléguer en 6e position les opérateurs de téléphonie et les FAI qui ont enregistré un recul de 2,9 % au cours de ce mois.

En novembre, les auteurs d’attaques de phishing se sont à nouveau intéresser au Australia and New Zealand Banking Group. Les messages d’une de ces attaques présentaient différentes adresses dans le champ From et l’objet des messages et les liens de phishing variaient également, toutefois le contenu restait inchangé. Le message demandait au destinataire de confirmer s’il était bien l’auteur de la transaction citée et non pas une autre personne. Le message contenait un lien pour accéder au compte du client, mais ce lien menait à une page de phishing dont le style et le contenu imitaient une page du site officiel. Naturellement, les informations saisies par la victime sur cette page étaient transmises aux escrocs.

Afin que le faux message ne ressemble pas à un message d’escroquerie traditionnel qui effraie tout de suite la victime potentielle en évoquant le gel du compte, les auteurs de l’attaque avaient placé cette information vers la fin du message. Ces informations pouvaient passer inaperçues lors d’un simple survol du message. Afin de conférer un caractère légitime aux notifications, le champ From utilisait le domaine officiel de la société tandis qu’une signature automatique de la banque apparaissait à la fin du message.

 

Conclusion

La part du courrier indésirable dans le trafic de messagerie est restée inchangée et représentait 72,5 % en novembre. Par rapport au mois précédent, la répartition géographique du courrier indésirable n’a enregistré aucun chamboulement.

Comme nous l’avions prévu, les diffuseurs de courrier indésirable ont envoyé beaucoup de messages inspirés par les fêtes de fin d’année, dont du courrier indésirable graphique. Le Jour d’action de grâce et l’Armistice, célébré en Occident, ont été activement exploités par les diffuseurs de messages non sollicités dans le cadre de publicités pour des médicaments d’aide au régime ou contre les dysfonctionnement érectiles. Les entreprises ont cherché à attirer de nouveaux clients en annonçant des remises sur les biens et les services à l’occasion des fêtes de fin d’année. En décembre, les préparatifs pour les fêtes iront bon train et le volume de courrier indésirable de cette catégorie atteindra son pic.

Malgré l’accalmie sur le marché du travail, un certain volume de messages non sollicités contenait des offres d’emploi pour des candidats potentiels à travers le monde. Nous avons également vu beaucoup d’offres pour des excursions ou des séjours aux sports d’hiver en raison de l’approche des fêtes et des vacances qui les accompagnent. Nous nous attendons à ce que la diffusion de cette catégorie de messages non sollicités se poursuive tout au long du mois de janvier également.

Le mois de novembre n’aura pas été épargné par les messages d’escroquerie qui exploitent les tragédies les plus marquantes. Cette fois-ci, les diffuseurs de messages non sollicités ont tenté d’obtenir de l’argent des utilisateurs en évoquant la solidarité avec les victimes du typhon aux Philippines.

Un volume considérable de messages contenant des programmes malveillantes en novembre était composé de fausses notifications sur la réception d’un message vocal. C’est le célèbre service de téléconférence Skype qui a été pris pour cible par les individus malintentionnés.

Le classement des organisations ciblées par les auteurs d’attaques de phishing n’a pratiquement pas changé. L’indice des réseaux sociaux a reculé, mais cette catégorie conserve malgré tout sa position dominante en novembre. Comme nous l’avions prédit, le nombre d’attaques contre les organisations financières continue d’augmenter. Dans l’effervescence des fêtes, il faut être particulièrement prudent en lisant les notifications des magasins en ligne, des services de réservation ou des banques et des services de paiement. Cette période se caractérise par une augmentation des achats et des opérations financières via Internet et pour cette raison, les individus malintentionnés en profitent pour envoyer des messages de phishing en comptant sur l’inattention des destinataires. 

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *