Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



PAC et la problématique de la configuration automatique



10 astuces simples pour renforcer la sécurité de votre Mac



Enquête sur un incident : vol dans une banque électronique
 
 

  Page d'accueil / Analyses

Evolution du courrier indésirable – Janvier-Juin semestre 2007

22.10.2007   |   comment

Anna Vlasova

Techniques et méthodes

Au cours du premier semestre 2007, les spammeurs ont déployé des trésors d’ingéniosité pour moderniser leurs technologies d’images en pièces jointes des spams (spam en « images »). Ainsi en février 2007, on assistait à des tentatives de mise à jour de la technique des images animées, pratiquement abandonnées au mois de novembre 2006. Ce nouveau type d’animation se distinguait par le fait que l’image source était décomposée en plusieurs fragments, et chacun d’entre eux était biaisé à différents angles. l’utilisateur voyait à peu près la chose suivante :

Ci-dessous, on peut voir les différents cadres de l’animation de ce même spam :


Puis sont apparues d’autres variantes de spams images. On note plus particulièrement que les spammeurs se sont essayés à employer des polices différentes et pas forcément les plus courantes :

Néanmoins, ces essais se sont révélés infructueux et la part de spam doté de pièces jointes en images (*.gif, *.jpeg etc.) a commencé à décroitre régulièrement. En janvier, la part de ce type de spam représentait 33% du total, mais en mars cet indice chutait à 25,7% et en juin à 18,8% :

La raison principale de cette chute est la baisse de son efficacité. Les différents éditeurs de filtres anti-spam ont déployés des technologies capables de faire barrage aux fichiers graphiques et bloquent avec succès les spams en « image ». Toutefois, les spammeurs n’ont pas pour autant l’intention d’arrêter les images en pièces jointes, c’est pourquoi ils cherchent de nouvelles voies de diffusion de fichiers graphiques en plus des pièces jointes traditionnelles au format .gif et .jpeg. Au premier semestre 2007, de nouvelles méthodes de diffusion ou d’affichage de spams en image ont été identifiées :

  1. Insertion de fichiers graphiques sur des sites d’hébergements gratuits Insertion de fichiers graphiques sur des sites d’hébergements gratuits (par exemple imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com etc.). Le corps du spam contient un lien vers une adresse à laquelle se trouve l’image. Lorsque le destinataire ouvre le message, dans la majorité des clients de messagerie, l’image se télécharge automatiquement depuis l’URL.
  2. Utilisation de spams image sous forme d’image d’arrière plan. Le fichier graphique n’était pas inséré dans le message mais une fois encore, était publié sur des sites web. Dans le corps du message, seule était indiquée l’URL vers le site – comme source d’image d’arrière plan (il s’agit de l’attribut « background »). A l’issue de quoi l’image se téléchargeait automatiquement dans plusieurs clients de messagerie ainsi que dans les interfaces web de certains services de messagerie.
  3. Le spam avec une pièce jointe au format *.pdf. Ce type de pièce jointe ne s’ouvre pas et ne se charge pas automatiquement. Pour voir le contenu du spam, l’utilisateur doit ouvrir la pièce jointe lui-même.
  4. Le spam avec une pièce jointe au format *.fdf. l est relativement similaire au spam aux pièces jointes .pdf d’autant plus que les ouvrir et les consulter n’est possible que via Adobe Acrobat Reader.

Concernant les deux premières innovations, les spammeurs font en sorte que le spam image ne soit pas visible dans le corps du message. Cette tactique est destinée à tromper le filtre anti-spam qui ne trouve rien à analyser. Dans les deux derniers cas, l’image est attachée, mais le format de la pièce jointe est tel que de nombreux programmes de filtrage l’ignorent. Au final, l’analyse intégrale anti-spam n’est pas réalisée.

Toutes ces nouvelles méthodes se sont avérées relativement efficaces au moment de leur apparition, mais à partir de quelques mois voire semaines, les filtres anti-spam se sont adaptés à ces nouvelles techniques. Ceci dit, pour certains filtres avancés, ces nouveautés n’ont posé aucun problème même au moment de leur apparition. Par exemple, le filtre de serveur Kaspersky Anti-Spam est équipé des moyens indispensables pour lutte contre le spam aux pièces jointes .pdf et .fdf, ce qui lui a permis de lutter contre la nouvelle forme de spam immédiatement.

Ci-dessous un exemple de spam FDF. Voici à quoi ressemble le spam (le message est vide, il ne contient aucun texte) :

Et voici ce qui se trouve en pièce jointe :

Les différentes catégories de spam

Durant la première moitié 2007, la part du spam, dans l’ensemble, s’est maintenue dans les 70-80%. La raison de cette stabilité réside dans le caractère changeant du spam. Cette approche voit évoluer la part attribuée au spam vers une cyber-criminalisation. Un genre qui s’éloigne du genre publicitaire traditionnel. Le spam qui se criminalise ne tombe pas sous le coup de la loi du marché publicitaire et n’est pas sujet aux fluctuations liées au caractère saisonnier de l’offre et la demande.

La valeur minimale du spam est de 62.9% - enregistrée par les experts de Kaspersky Lab le 27 avril, et de 86 % pour la valeur maximale, enregistrées le 11 février et le 28 mai.

La composition des catégories thématiques leaders du spam au premier semestre 2007 est la suivante:

  1. Médicaments, produits et services pour la santé (17,3% du total).
  2. Formation (13,8%).
  3. Ordinateurs et Internet (9,2%).
  4. Escroquerie informatique (8,6%).
  5. 5.Service de publicité électronique (8,3%).

Comme le veut la tradition, la part du spam à caractère « pharmaceutique » est la plus élevée. Une grande partie de ce type de spam se trouve être de la publicité en anglais de médicaments bon marché (viagra, tsialis etc.). En plus des offres traditionnelles en anglais de viagra et d’antidépresseurs, le spam de cette catégorie est maintenant complété par des offres en russe et des produits pour la santé : lunettes de massage, méthodes anti-tabac et abonnements à des centres de fitness.

La part de spam pour cette catégorie a augmenté régulièrement depuis le début de l’année et pendant toute la durée du premier semestre a pratiquement doublé – de 11,5% en janvier à 21,4% en juin :

En deuxième position, le thème de l’éducation et des formations – en général il s’agit de propositions russes de stages de formation et de séminaires ainsi que des offres en anglais de « diplômes ». Cette catégorie représente 13,8% du spam.

La catégorie «Ordinateurs et Internet» en troisième position est principalement représentée par des offres en anglais de logiciels pirates.

Les catégories thématiques « Escroquerie informatique » et « Service de publicité électronique » sont pratiquement à part égales – 8,6% et 8,3% respectivement. Des indices élevés comme toujours pour les « Service de publicité électronique » - ce qui est le signe que les spammeurs ne cessent de chercher de nouveaux clients.

Au cours de ce semestre, la part de spams dédiée aux « Finances Personnelles » a systématiquement diminué. En janvier, cette catégorie occupait la première place avec 13% mais depuis février 2007, le spam financier délaisse ses positions dominantes au profit des publicités pour les médicaments.

En juin, la part du spam « Finances personnelles » a baissé jusqu’à 3,7%. L’indice le plus bas de cette thématique, 1.1%, a été enregistré la première moitié de décembre.

Une telle réduction est déterminée par plusieurs facteurs :

  • une saturation de la demande, autrement dit même les quelques utilisateurs confiants restants ont perdu de l’intérêt pour ce type de spam et ont cessé d’y réagir
  • les filtres anti-spam des différents éditeurs ont appris à détecter le « spam financier »
  • les autorités du Canada et des Etats-Unis au premier trimestre 2007 ont exprimé leur inquiétude face au spam financier et ont promis de protéger les investisseurs contre ce type de menaces ce qui a sans aucun doute fait monté la pression d’un cran parmi les spammeurs

Les phishers désormais s’intéressent au segment russe d’internet

Au premier semestre 2007 quelques tentatives de phishing dirigées vers les services destinés aux internautes russes, ont été enregistrées.

Au premier trimestre, une tentative de phishing à l’encontre d’une banque était identifiée. C’est un fait très rare puisque d’ordinaire le point de mire des cyber-escrocs sont les banques occidentales. Ces dernières disposent en effet de divers services bancaires en ligne et d’une grande quantité de clients qui utilisent ce type de système. La cible de l’attaque du 20 février 2007 était Alfa Bank. Les phishers ont procédé selon le schéma classique : ils diffusent un spam, soit disant au nom de l’administration d’Alfa Bank. Ce dernier comporte un lien vers le site contrefait à l’image du site d’Alfa Bank (plus exactement le style, les coordonnées bancaires, les textes et autres sont copiés depuis le site de la banque). Sur le site contrefait, l’utilisateur se voit proposé de taper son compte utilisateur ainsi que son mot de passe. Une fois ces opérations réalisées, les données sont directement transmises aux cyber-escrocs.

En mai une série d’attaques envers le système de paiement Yandex.Dengui était enregistré. Le but de ces attaques était on ne peut plus ordinaire : convaincre l’utilisateur de transmettre ses données personnelles sur le site de phishing afin d’obtenir l’accès aux comptes dans le système de paiement.

Dans le premier et le deuxième cas, les utilisateurs qui ne se sont doutés de rien, ont mis sérieusement en péril leurs avoirs financiers.

Les tentatives de s’en prendre à des entités russes sont encore très exceptionnelles. Il s’agit certainement d’un essai de la part des phishers afin de tester les internautes russes en tant que victimes potentielles, et d’élucider si les services de transactions financières sont populaires. Compte-tenu du fait que cet essai n’a pas eu un gros retentissement, les phishers restent certainement peu satisfaits quant au résultat pour l’instant. Il serait toutefois déraisonnable de penser que ce type d’attaques va disparaître. Les cyber-escrocs vont certainement repasser à l’offensive à plus ou moins long terme.


Pour ce qui est du deuxième semestre 2007, les spammeurs vont certainement faire de nouveaux essais pour mettre à jour leurs technologies de diffusion de spams images. En même temps, ils vont certainement étudier et expérimenter de nouvelles technologies. Par ailleurs, un retour au « bon vieux temps » est possible, en d’autres termes la renaissance de vieux « trucs » et technologies.

Quant aux spams aux pièces jointes .pdf et .fdf, il ne faut pas s’attendre à une sérieuse menace, la part attribuée à ce type de spam démontre déjà une tendance à la baisse, tendance qui ne peut que se renforcer.

Les spammeurs ont trouvé des moyens d’effectuer un ciblage minimal pour leur diffusion massive de spams. Cela concerne en particulier toutes les variantes de phishing (par exemple la cyber-fraude visant Alfa Bank se diffuse parmi les internautes du segment russe d’Internet autrement dit, un ciblage géographique spécifique est effectué) et l’escroquerie informatique.

Apparemment au moins une partie de la diffusion de spams peut se transformer en attaques ciblées autrement dit orientées vers un auditoire dont la position sociale, géographique, la langue et l’âge sont spécifiques. Toutefois, cette nouvelle approche n’est pas pour tout de suite.

La part du spam dans le trafic total des emails ne subira pas de grands changements. Aussi qu’il est peu probable que les 5 catégories leaders énumérées ci-dessus évoluent.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com