Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Courrier indésirable en août 2014



Enquête sur un incident : vol dans une banque électronique



Livraison des diffuseurs de spam : danger garanti



Evolution des menaces informatiques au 2e trimestre 2014



Les prédateurs sur Internet
 
 

  Page d'accueil / Analyses

Courrier indésirable au premier semestre 2008

24.09.2008   |   comment

Daria Gudkova

Bilan du premier semestre

  1. Nous avons pu observer cette année une diminution saisonnière du volume de courrier indésirable.
  2. Les diffuseurs de courrier indésirable privilégient la qualité des publicités.
  3. Le marché russe du courrier indésirable connaît un développement actif.
  4. Le nombre de messages non sollicités de la rubrique "Répliques d'articles de luxe" a sensiblement augmenté.
  5. Pour brouiller le texte des messages, les diffuseurs de courrier indésirable ont mis au point de nouvelles astuces qui exploitent les particularités des clients de messagerie.

Répartition du courrier indésirable

Au premier semestre 2008, le courrier indésirable a représenté en moyenne 85% du trafic de messagerie dans l'espace Internet russophone. L'indice le plus faible (64,2%) a été recensé par les analystes de Kaspersky Lab le 3 mai tandis que l'indice le plus élevé, à savoir 97,8%, le 1er mars.

 

Le pourcentage de courrier indésirable dans le trafic de messagerie au cours du premier semestre 2008 n'a cessé de fluctuer. Ceci étant dit, certaines tendances sont visibles. Ainsi, un pourcentage élevé des messages non sollicités du mois de janvier était en rapport avec les fêtes, période où le courrier normal est fortement réduit. Le pourcentage a ensuite progressivement reculé jusqu'au mois de mars où un autre pic a été enregistré.

Au mois de mai, le pourcentage de messages non sollicités a fortement diminué. Bien que la part du courrier indésirable ait commencé à augmenter à nouveau au mois de juin, il ne s'agissait pas d'une augmentation significative. C'est une réduction classique du courrier indésirable en été. Il est intéressant de constater qu'une telle chute saisonnière n'avait plus été enregistrée depuis deux ans déjà : en 2007, la réduction estivale avait été minime, tandis qu'en 2006, elle avait été inexistante.

Le concept de saison est assez caractéristique pour le marché du courrier indésirable. En été, les gens lisent moins leur courrier, ils sont en vacances et par conséquent, les diffusions de courrier indésirable ont moins d'impact. Par conséquent, les diffuseurs de courrier indésirable ont moins de commandes, ce qui se traduit par un recul du volume global de courrier indésirable.

Mais ces deux dernières années, le marché du courrier indésirable s'est développé tellement vite qu'aucune réduction ne s'était présentée : les diffuseurs de courrier indésirable décrochaient activement des nouveaux clients à un tel rythme que le volume de messages sollicités continuait à augmenter même en été. Le ralentissement estival que nous observons maintenant témoigne peut-être de l'assèchement du marché du courrier indésirable et du fait que le nombre de clients et de diffuseurs de courrier indésirable se maintient au même niveau. Une preuve indirecte de ce phénomène est la réduction du nombre de publicités pour les diffuseurs de courrier indésirable : alors qu'en 2007, la rubrique "Service de publicité électronique" représentait près de 7% du courrier indésirable, elle n'atteignait plus que 4,3% en 2008.

Types et tailles des messages non sollicités

 
Types de messages non sollicités

Comme le montre le diagramme, la majorité des messages non sollicités sont au format texte. Dans ce format, un message n'est jamais très lourd et, par conséquent, les diffusions peuvent être réalisées plus vite. Viennent ensuite les messages au format HTML. Ces messages sont un peu plus lourds mais le code HTML permet de rendre le message plus attrayant et d'exploiter d'autres astuces pour le contournement des filtres. En troisième position, nous retrouvons les messages avec des images en pièce jointe (jpeg et gif) qui représentent 23,9% du total.

Il est intéressant de constater que les messages avec d'autres types de pièce jointe n'atteignent même pas un pour cent. En 2007, les diffuseurs de courrier indésirable ont tenté d'exploiter activement divers types de pièces jointes : pdf, fdf, exl ou mp3. Ces expériences ont cependant été infructueuses et les diffuseurs de courrier indésirable se sont à nouveau tournés vers les types de courrier indésirable classiques.

 
Taille des messages non sollicités

Le rapport entre le type de message non sollicité et sa taille est évident. Les messages au format texte figurent parmi les messages les plus légers. Les messages au format HTML ont une taille comprise entre 1 et 20 Ko, soit les trois premières colonnes du diagramme en fonction du type de message (il existe des messages avec un lien html dans le message ou des messages avec plusieurs tableaux en couleur). Les messages plus lourds, à partir de 20 Ko, sont principalement des messages avec des images.

Par rapport à la fin de l'année dernière, la répartition des messages selon la taille a fortement changé : le nombre de messages compris entre 1 et 5 Ko et supérieurs à 50 Ko a augmenté tandis que le nombre de messages compris entre 5 et 10 Ko et 20 et 50 Ko a diminué. Cette modification peut être associée à deux tendances contradictoires. Tout d'abord, les diffuseurs de messages non sollicités s'efforcent de maintenir la taille des messages au niveau minimum pour pouvoir les envoyer à un nombre plus importants de personnes en un laps de temps bref. Deuxièmement, les diffuseurs de courrier indésirable tentent de rendre le message attrayant afin d'intéresser un plus grand nombre de clients potentiels.

Développement actif du marché russe du courrier indésirable

Alors que dans les années 2004-2005, les diffuseurs de courrier indésirable russe prenaient toujours des leçons chez leurs "collègues" occidentaux et leur empruntaient les technologies et les astuces, de nos jours ils agissent avec plus de professionnalisme et d'agressivité. La majorité des messages non sollicités dans l'Internet russophone sont envoyés par des diffuseurs de courrier indésirable russophones. La prédominance des messages en russe et l'activité des réseaux de zombies employés pour diffuser le courrier indésirable aux utilisateurs russes confirment cette situation.

Répartition linguistique du courrier indésirable dans l'Internet russophone

 

Le nombre de messages non sollicités en russe ne cesse d'augmenter dans l'Internet russophone. Alors que cet indice n'était que de 60% il y a quelques années, il atteint près de 80% de nos jours.

Il est intéressant de constater que les diffuseurs de courrier indésirable russes sont également impliqués dans les 21% restant. Le fait est qu'ils enrichissent sans cesse les bases d'adresses auxquelles les messages non sollicités sont envoyés. Alors qu'auparavant les diffuseurs de courrier indésirable russes proposaient de diffuser les messages principalement dans différentes villes russes, voire parfois en Ukraine ou au Kazakhstan, on observe assez souvent maintenant des propositions de diffusion vers des pays d'Europe ou vers les Etats-Unis. Ceci signifie que les services des diffuseurs de courrier indésirable peuvent être utilisés non seulement par des hommes d'affaires russes qui souhaitent vendre leurs marchandises et leurs services à l'étranger mais aussi par des clients étrangers. De même, les publicités pour les services de diffusion de messages non sollicités proposent de plus en plus des services couvrant le monde entier. Il semblerait que les adresses russes sont également utilisées dans ces diffusions, ce qui explique pourquoi les utilisateurs russes reçoivent des messages non sollicités en anglais ou d'autres langues envoyés par des spammeurs russes. L'activité journalière d'un réseau de zombie axée sur le fuseau horaire de Moscou ou les messages non sollicités classiques en anglais (par exemple, les publicités pour le viagra) avec des en-têtes russe écrites en caractères latin en témoignent indirectement.

Répartition géographique du courrier indésirable dans l'espace Internet russe

 

La répartition géographique des sources du courrier indésirable dans l'espace Internet russe ne présente aucune surprise. Les deux premières positions sont occupées par la Russie et les Etats-Unis, deux pays qui dominent, à l'échelle internationale, la diffusion du courrier indésirable. Viennent ensuite des pays d'Europe et d'Amérique latine. Il est intéressant de constater que la Chine continue à perdre du terrain en tant que source de courrier indésirable. A la fin du deuxième semestre, elle occupait le même niveau que l'Ukraine en termes de courrier indésirable diffusé.

Réseaux de zombies : répartition par pays

Voici ce que donnait la répartition des machines infectées par pays à la fin du premier semestre 2008 :

 

Remarquez que les Etats-Unis, deuxième pays au niveau des sources de courrier indésirable, ne figurent pas dans le Top 5 des pays selon les machines infectées. On y retrouve par contre la Chine en quatrième position. Cette contradiction s'explique peut-être par les différences de législation ou par la possibilité d'identifier et de neutraliser les réseaux de zombies : les Etats-Unis luttent plus activement que la Chine contre le courrier indésirable et les diffuseurs de messages non sollicités.

N'oubliez pas que l'administration des réseaux de zombies qui diffusent les messages non sollicités peut être théoriquement effectuée depuis n'importe où dans le monde, quel que soit l'emplacement géographique des machines infectées. Le courrier indésirable présent dans les flux de messagerie de l'Internet russophone et diffusé via des réseaux de zombies est principalement en russe. De plus, l'activité des réseaux de zombies à diverses heures de la journée est révélatrice.

Réseaux de zombies : activité journalière

 

Le diagramme représente le comportement de trois réseaux de zombies observés par les collaborateurs de Kaspersky Lab. Bien que seulement 13% des ordinateurs infectés dans ces réseaux se trouvent en Russie, l'activité journalière des réseaux est axée sur le fuseau horaire de Moscou : tous les réseaux enregistrent une augmentation de l'activité à partir de 10h et une accalmie vers 17h ou 18h00. Ceci montre que les individus qui administrent le réseau de zombies vivent selon le fuseau horaire de Moscou.

Répartition thématique du courrier indésirable

La répartition thématique du courrier indésirable au premier semestre 2008 ressemble à ceci :

  • "Médicaments, marchandises et services pour la santé" - 27,45%
  • "Formation" - 13,86%
  • "Répliques" - 10,68%
  • "Vacances et voyages" - 8,45%
  • "Services de publicité électronique" - 4,33%

 

Le Top 5 des principaux sujets des messages non sollicités est on ne peut plus traditionnel, à l'exception de la présence de la nouvelle rubrique "Répliques d'articles de luxe" qui regroupe les publicités pour des articles de luxe (en général, il s'agit des fausses montres Rolex et des téléphones cellulaires Vertu). Le courrier indésirable de cette catégorie existe depuis longtemps mais ce n'est que cette année qu'il a reçu sa propre catégorie suite à une augmentation sensible de sa circulation.

 

Depuis sa création au mois de mars, cette rubrique a pris directement la troisième position pour ne plus la quitter depuis. L'apparition de cette rubrique témoigne de l'activité des diffuseurs de courrier indésirable russophones. Ce sont principalement les messages en russe qui ont permis à cette catégorie d'atteindre un tel pourcentage. Les messages en anglais de cette catégorie existent depuis longtemps mais ils n'ont jamais occupé une place significative dans la répartition thématique du courrier indésirable.

On remarquera avec intérêt que la catégorie "Escroquerie informatique", une des catégories dominantes du premier semestre 2007, a non seulement disparu du Top 5 mais qu'elle occupe désormais une position d'outsider. Elle ne représentait que 2,54% et ce nombre est resté inchangé tout au long du premier semestre et n'a jamais dépassé les 3%. Pour rappel, cette catégorie était responsable, en 2007, de 6,9% du trafic, 8,6% au premier semestre 2007 et 14,3% en 2006. Malheureusement, ce recul ne témoigne en rien d'une réduction de la criminalisation d'Internet. Au contraire, il témoigne d'un meilleur ciblage des attaques et de l'accent mis sur la qualité des messages diffusés et non pas tant sur la quantité.

Au cours du premier semestre 2008, les diffuseurs de courrier indésirable ont accordé une attention toute particulière à la qualité de la publicité pour leur service. Le pourcentage de publicités pour les services de diffusion de courrier indésirable a chuté de 7,2% à 4,3% par rapport à 2007. La qualité, quant à elle, a sensiblement augmenté : dans la publicité pour leurs service de diffusion, les diffuseurs de courrier indésirable ont utilisé des astuces telles que la reproduction de correspondances authentiques et les références à des événements internationaux (particulièrement, les championnats de football) et ils ont concentré leurs efforts sur l'aspect des messages. Pour attirer les clients et redorer leur image aux yeux du public, les diffuseurs de courrier indésirable ont proposé de réaliser des diffusions de messages gratuites pour contribuer aux recherches de personnes disparues. Il semblerait que les diffuseurs de courrier indésirable estiment que leur activité est tout à fait légale alors qu'elle est interdite pratiquement dans tous les pays, y compris en Russie.

Astuces et méthodes employées par les diffuseurs de courrier indésirable

Au premier semestre 2008, les diffuseurs de courrier indésirable ont tenté à plusieurs reprises d'améliorer d'anciennes techniques de contournement des filtres. Les principales d'entre elles reposaient sur des méthodes de brouillage du texte. Cette fois-ci, les diffuseurs de courrier indésirable cherchaient à brouiller le texte tout en lui laissant une apparence "propre" pour l'utilisateur. C'est ici qu'interviennent les balises HTML.

Cela fait longtemps que les diffuseurs de courrier indésirable utilisent le code HTML pour contourner les filtres. Ils permettent, par exemple, de changer la couleur de paragraphes complémentaires utilisés par les diffuseurs de courrier indésirable pour créer des messages uniques ou pour réduire la taille de ceux-ci en les rendant moins visibles (et rendant de la même manière le message lisible pour le destinataire, mais en permutation constante pour le filtre). Les diffuseurs de courrier indésirable utilisaient également le "texte invisible", de la même couleur que le fond du message mais les filtres d'aujourd'hui bloquent les messages qui contiennent ce genre de texte. Cette fois-ci, les spammeurs ont inventé de nouvelles astuces qui exploitent les particularité des clients de messagerie.

Au mois de janvier, des messages non sollicités contenant de pseudo balises html sont apparus. Des séquences aléatoires de caractères étaient insérées au hasard dans le message entre des chevrons. Le contenu de ces chevrons est considéré par les clients de messagerie comme des balises erronées et n'est pas affiché à l'ouverture du message.

Message HTML Message tel que le voit le destinataire
rMi<gpn>ni-jou<x>ets
uma<eznkyjrayc>xxx.in<aogecvugxp>fo
Mini-jouets sur umaxxx.info

Au mois de février les diffuseurs de courrier indésirable ont commencé à enrichir le texte de balises de commentaires. Le client de messagerie n'affiche plus ces balises au destinataire. Les balises contiennent un texte aléatoire et c'est la raison pour laquelle chaque message de la diffusion est unique pour le filtre de messages non sollicités.

Dans l'exemple ci-après, les individus mal intentionnés ont non seulement ajouté du texte aléatoire dans les balises de commentaires mais ils ont également dissimulé, à l'aide du code html, un véritable lien (en bleu dans la colonne gauche) : l'utilisateur voit un lien vers le site populaire postcard.ru alors que le lien mène en fait vers un tout autre site.

Message HTML Message tel que le voit le destinataire

<html>
<!-- tulipes ethniques déclarer rongeurs-->
<!-- premier simultané inutile-->

<body>
Vous avez reçu une carte virtuelle.
<!-- irretrievable wei --><bR>
Pour la lire, rendez-vous sur le site <a href="http://www.postcard.ru/card.php?289723****"><table><tr><td><a href="http://usadba.e-brest.net/card.php?fr=Bishop****&n=a-log@mail.ru">www.postcard.ru/card.php?289723****</td></tr></table></a>
puis cliquez sur le lien 'recevoir la carte'
<!-- shitepoke bordeaux afghanistan --><br>
<!-- narcosis thrash numismatist craven --><br>
Service de diffusion de cartes POSTCARD.RU
</html>

Vous avez reçu une carte virtuelle.
Pour la lire, rendez-vous sur le site

www.postcard.ru/card.php?289723****

puis cliquez sur le lien 'recevoir la carte'
Service de diffusion de cartes
POSTCARD.RU

Au mois d'avril, les diffuseurs de courrier indésirable ont inventé une nouvelle astuce : changer de manière aléatoire le codage de certains caractères en UTF-8. Le client de messagerie affiche normalement le texte enrichi de ces codes. L'utilisateur voit un texte normal tandis que le filtre considèrera chaque message comme un message unique et les compteurs de masse ne réagiront pas.

2 version d'un message HTML Message tel que le voit le destinataire
T-shirt exclusifs de : Nasha
Р=#x430;sha, Comedy Cl&#=430;b
et Ninavizhu &=x434;om2 pour les fête sur
www.mnogoma&=101;k.info
T-shirts exclusifs de : Nasha Pasha,
Comedy Club et Ninavizhou Dom2 pour
les Fêtes sur www.xxxmaek.info.

Conclusion

Ces dernières années, nous avons été les témoins du développement du marché russe du courrier indésirable. Simultanément, nous observons, comme dans tout marché développé, une spécialisation : le développement de logiciels pour diffuser les messages, la collecte d'adresses pour enrichir les bases de diffusion de messages non sollicités, l'interaction avec les commanditaires des diffusions et la diffusion de messages non sollicités proprement dite est réalisée par différentes personnes. Le temps des diffuseurs de courrier indésirable solitaires est révolu.

Les diffuseurs de courrier indésirables agissent dans des villes russes comme Moscou et Saint-Pétersbourg. Il est fort probable que les grandes sociétés de diffusion de courrier indésirable se partagent déjà les zones d'influence dans ces villes. Tout indique également qu'il existe un marché des commanditaires de messages non sollicités. Et les diffuseurs de courrier indésirable tentent d'attirer de nouveaux clients sur la base de la qualité des publicités envoyées. On voit que les modèles des messages sont développés non seulement par des programmeurs, mais aussi par des spécialistes du marketing et des designers.

Malheureusement, tout ce professionnalisme est au service d'une activité illégale : la diffusion de messages non sollicités est une activité hors-la loi en Russie et dans de nombreux autres pays. C'est dans ce contexte que nous observons une coopération active avec les autres représentants du cybercrime, à savoir les escrocs en ligne et les auteurs de virus. C'est précisément cette interaction qui rend le courrier indésirable particulièrement dangereux.

Que va nous réserver le deuxième semestre ? Selon toute vraisemblance, les diffuseurs de courrier indésirable vont poursuivre leurs expériences avec le code HTML au cours de ce deuxième semestre et il n'est pas exclu que quelques astuces anciennes soient à nouveau utilisées. Il ne fait aucun doute que le pourcentage de messages non sollicités dans le courrier va augmenter en automne. Le recul saisonnier de l'activité des diffuseurs de courrier indésirable sera immanquablement suivi par une reprise.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com