Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
Les Analyses les plus Populaires



Courrier indésirable et phishing au deuxième trimestre 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Evolution des menaces informatiques au 2e trimestre 2014



10 astuces simples pour renforcer la sécurité de votre Mac



PAC et la problématique de la configuration automatique
 
 

  Page d'accueil / Analyses

Bulletin de Kaspersky sur la sécurité 2012. Spam en 2012

25.01.2013   |   comment

Daria Gudkova

Chiffres de l'année

  • La part des messages non sollicités dans le courrier a atteint une moyenne de 72,1 %.
  • La part de messages de phishing a atteint 0,02 % du trafic de messagerie total.
  • La part des messages contenant des pièces jointes malveillantes a représenté 3,4 % du trafic de messagerie.

Tendances de l'année 2012

Réduction de la part de courrier indésirable

Le volume de courrier indésirable a diminué tout au long de l'année. Sur l'ensemble de l'année, la part de courrier indésirable a atteint une moyenne de 72,1 %, soit un recul de 8,2 % par rapport à 2011.


Part du courrier indésirable dans le trafic de messagerie

Ce n'est pas la première fois qu'on peut observer un tel recul constant et significatif de la part de courrier indésirable. Mais la part moyenne de courrier indésirable en 2012 a été sensiblement inférieure à celles de 2010 (82,2 %) et de 2011 (80,3 %), quand des centres de commandes de réseaux de zombies et des partenariats de diffusion de messages non sollicités pharmaceutiques avaient été démantelés. En 2012, la part de courrier indésirable a atteint son niveau le plus bas des 5 dernières années.

La cause principale de la réduction du volume de messages non sollicités dans le courrier est l'amélioration des niveaux de protection contre ce fléau.

Tout d'abord, le moindre système de messagerie, même gratuit, possède actuellement des filtres de lutte contre le courrier indésirable et en général, le niveau de détection de ces messages non sollicités n'est pas inférieur à 98 %.

Deuxièmement, de nombreux fournisseurs de services de messagerie ont mis en place des stratégies de signature DKIM obligatoire (signature numérique qui confirme l'authenticité du domaine d'expédition du message).

Le principe DKIM est apparu en 2006, mais il s'est répandu assez lentement. Ce n'est qu'au cours de ces deux dernières années qu'il est devenu un critère important pour les fournisseurs de service de messagerie au moment de décider de remettre un message à un destinataire. C'est la raison pour laquelle les individus malintentionnés ont commencé à falsifier les signatures DKIM. Ceci fut possible car nombreuses étaient les sociétés qui utilisaient un algorithme de chiffrement de la signature en vigueur en 2006 et les signatures DKIM chiffrées à l'aide de cet algorithme en 2012 pouvaient être facilement déchiffrées.

Toutefois cette année, la revue Wired a publié un article qui décrivait la faiblesse du chiffrement des signatures DKIM. Après cette publication, beaucoup de grandes sociétés comme Google, Yahoo et Microsoft ont remplacé le chiffrement de la signature à l'aide d'une clé de 512 bits par une clé plus moderne (1 024 ou 2 048 bits). La falsification était désormais impossible (du moins, dans l'état actuel des puissances de calcul).

Suite au renforcement des mesures de protection contre le courrier indésirable, le volume de messages non sollicités qui arrivent dans la boîte aux lettres des destinataires a été réduit au minimum. Le courrier indésirable est donc devenu particulièrement inefficace, ce qui pousse les commanditaires de ces diffusions à choisir d'autres plateformes. Cela contribue également à la réduction du volume de messages non sollicités. 

Publicité légitime sur Internet en guise d'alternative au courrier indésirable

Quand on interroge les experts de la lutte contre le courrier indésirable sur les mesures à adopter pour réduire le volume de messages non sollicités, ils répondent souvent en évoquant non seulement les lois contre le courrier indésirable, la mise en place de filtres de qualité et la formation du public, mais également en citant la possibilité de pouvoir placer des publicités à un prix raisonnable sur des plateformes légitimes. L'émergence du Web 2.0 a considérablement élargi les possibilités en matière de publicité sur Internet : il est possible désormais de diffuser des publicités via des bannières, de recourir à la publicité contextuelle ou de profiter des réseaux sociaux et des blogs. 

La publicité diffusée via des plateformes légitimes n'énervent pas les utilisateurs qui y sont exposés. Elle n'est pas bloquée par les filtres de lutte contre le courrier indésirable et elle atteint un public cible intéressé par l'achat. De plus, le prix par utilisateur qui clique sur le lien est bien meilleur marché que pour la publicité par courrier indésirable.

Sur la base de quelques études organisées par des tiers, nous avons calculé que pour un prix moyen de 150 dollars pour 1 million de messages non sollicités envoyés, le coût au clic (coût pour un utilisateur qui clique sur le lien de la publicité dans le message) s'élève au minimum à 4,45 dollars. Sur un réseau social comme Facebook, le coût au clic n'est que de 0,1 dollar.

Ainsi, d'après nos estimations, la publicité légitime est plus efficace que le courrier indésirable. Nous sommes confortés dans notre idée par le fait que les catégories de publicité traditionnelles du courrier indésirable (par exemple, la publicité pour des articles de luxe de contre-façon) se déplacent vers les réseaux sociaux. Nous avons même identifié certaines correspondances : l'adresse IP d'un magasin qui faisait sa publicité via Facebook apparaissait avant dans un message non sollicité.

Il existe une autre méthode de publicité légitime sur Internet qui attire l'attention des commanditaires : les services de coupons. Les sites d'achats groupés qui proposent ces coupons sont apparus il y a quelques années. L'utilisateur qui a acheté un coupon le présente au moment d'acheter un bien ou un service et il bénéficie d'une remise. Cette année, la popularité de ces services a atteint des niveaux jamais vus : de part le monde, de nombreuses sociétés utilisent cette technique pour tenter d'élargir leur clientèle tandis que les clients, quant à eux, reçoivent des offres intéressantes.

Les commanditaires de campagnes publicitaires qui utilisaient avant les services de diffuseurs de messages non sollicités n'ont pas manqué de remarquer le développement de ces services. Ainsi, plus de 10 % des offres proposées par les services de coupon appartiennent à la catégorie « Vacances et tourisme » alors que le courrier indésirable de cette catégorie a pratiquement disparu. Il semblerait que grâce à la popularité des services de coupon, la migration des publicités depuis le courrier indésirable vers d'autres supports est plus perceptible.

Il est intéressant de constater que la popularité de ces services a eu un effet sur le courrier indésirable : les individus malintentionnés ont commencé à falsifier des messages de services de coupon afin de faire de la publicité pour leurs propres produits ou services ou pour envoyer les utilisateurs vers un site malveillant.

 

Signalons que la migration vers des plateformes légales est possible principalement pour la publicité de biens et de services légitimes. Ceci concerne particulièrement la Russie et d'autres pays d'Europe de l'Est où le courrier indésirable reste encore une solution adoptée par les petites et moyennes entreprises en quête de publicité. Mais si l'on sait que même dans ces pays, la majorité du courrier indésirable sert à diffuser des publicités pour des articles de contre-façon et des programmes malveillants, la part de courrier indésirable va se maintenir à un niveau élevé. 

Messages malveillants et escroqueries

L'année 2012 aura été marquée par la diversité des sujets utilisés dans le courrier indésirable. Les individus malintentionnés nous avaient déjà habitués aux fausses notifications d'hébergeurs, de réseaux sociaux, de sociétés de courrier ou d'organisations financières ou publiques. Cette année, ils ont élargi leur champ d'inspiration. Nous avons recensé de fausses notifications de compagnies aériennes, de services de réservation de chambres d'hôtel ainsi que de faux messages de services de coupon.

Ces faux messages peuvent contenir des pièces jointes malveillantes ou des liens vers des ressources malveillantes.

 

 

Le schéma des attaques qui font intervenir ces liens est le même pour toutes. Le destinataire qui ne se doute de rien clique sur le lien dans le message. Ce lien l'amène sur un site compromis qui héberge un script. Ce script redirige à son tour le visiteur vers un site malveillant avec des codes d'exploitation. Dans la majorité des cas, le visiteur est redirigé vers le kit de codes d'exploitation Blackhole, mais ce n'est pas le seul qui a été utilisé.

Outre la méthode décrite ci-dessus, les individus malintentionnés ont utilisé quelques fois la possibilité de diffuser du contenu sur des sites légitimes. Les fausses notifications reprenaient des liens vers Wikipedia ou Amazon. Les individus malintentionnés profitaient de la possibilité de créer des pages sur ces ressources afin d'y placer leur contenu malveillant. Toutefois, ce genre page est en général très vite supprimé avant que les messages contenant ces liens n'aient vraiment eu le temps d'être diffusés. Il va sans dire que cette technique n'est pas la préférée des individus malintentionnés.

Nous avons repéré des liens vers d'autres ressources légitimes dans le courrier indésirable. Ainsi, les individus malintentionnés utilisent toujours les formulaires google.spreadsheets pour voler les données confidentielles des utilisateurs (principalement, les données d'identification pour des services de messagerie en ligne).

 

Parmi les techniques d'ingénierie sociale adoptées par les individus malintentionnés, les faux messages personnels figurent toujours en haut du classement. Ces messages sont rédigés avec soin, à un tel point que le contenu ne permet pas de les identifier facilement comme un message non sollicité. Les fichiers repris dans les archives jointes sont identifiés lors de l'analyse antivirus en tant que modifications de divers programmes malveillants.

 

En général, les individus malintentionnés tentent de masquer le caractère exécutable des fichiers dans l'archive (format .exe). Ils les dissimulent sous les traits de diverses applications de bureautique :

 

Nous avons également identifié des messages personnels qui jouent sur l'appât du gain qui va pousser le destinataire à ouvrir le fichier dans l'archive : l'utilisateur reçoit "par hasard" un message avec des données de Western Union qui lui permettraient de recevoir une certaine somme d'argent.

 

Toutefois, l'archive ne contient pas les données promises, mais bien un cheval de Troie de la famille Zbot.

Répartition des sources de courrier indésirable

Il y a eu des chamboulements dans la répartition des sources de courrier indésirable en 2012.

La Chine, qui ne figurait même pas dans le Top 20 des sources de courrier indésirable l'année dernière, occupe la première place de ce classement en 2012 avec un indice équivalant à 19,5 %. La part du pourcentage de courrier indésirable envoyé depuis les USA a augmenté de 13,5 %, ce qui place ce pays en deuxième position avec 15,6 %.

Ce n'est pas la première fois que ces pays occupent une position dominante dans la diffusion de courrier indésirable. La part de courrier indésirable envoyé depuis la Chine a diminué en 2007 après l'adoption d'une législation contre les messages non sollicités. De son côté, le courrier indésirable en provenance des Etats-Unis a été réduit à néant après la mise hors services de centres de commande de plusieurs réseaux de zombies en 2010. Toutefois, ces deux pays dominent le classement du nombre d'internautes, et avec un grande longueur d'avance sur le reste du monde. Globalement, les Etats-Unis et la Chine abritent plus de 30 % de tous les internautes au monde. Il va de soi que les créateurs de réseaux de zombies, qui essaient toujours d'agrandir leurs réseaux d'ordinateurs infectés, ne pouvaient pas rester indifférents à ce potentiel.

 
Répartition des sources de courrier indésirable par pays

La redistribution des sources de diffusion de courrier indésirable par pays s'est déroulée tout au long de l'année. La composition du groupe de leaders pour les pays d'Asie a fortement changé : la Chine s'est emparée de la première place tandis que les anciens leaders de la région comme l'Inde, l'Indonésie ou la Corée du Sud sont en recul.

 
Dynamique de la répartition des sources de courrier indésirable par pays (Top 10)

L'Asie occupe toujours la première place parmi les régions d'origine du courrier indésirable. En un an, l'indice pour cette région a augmenté de 11,2 % et dépassait 50 % à la fin de l'année. Ainsi, la moitié du courrier indésirable envoyé à travers le monde provient d'Asie.

 
Répartition des sources de courrier indésirable par région, 2012

 
Répartition des sources de courrier indésirable par région, 2011

Grâce à l'augmentation sensible de la part des Etats-Unis dans la diffusion de courrier indésirable, l'Amérique du Nord occupe la deuxième place du classement des régions avec 15,8 %. L'année dernière, cet indice n'était que de 2 %. De son côté, l'Amérique latine a enregistré un recul de 8 % (11,8 %).

 
Part de courrier indésirable envoyé depuis l'Amérique du Nord et l'Amérique latine (janvier à décembre 2012).

L'Europe est en recul. La part conjointe de l'Europe de l'Ouest et de l'Europe de l'Est dans la diffusion de courrier indésirable en 2012 a atteint 15,1 %, soit près de la moitié du niveau de 2011 (30 %).

Pièces jointes malveillantes dans le courrier

Malgré la réduction de la part de courrier indésirable dans le courrier, la part de messages contenant des pièces jointes malveillantes a à peine reculé et représente 3,4 %. C'est un chiffre assez élevé quand on sait que cet indice concerne uniquement les messages avec des pièces jointes malveillantes alors qu'il existe également des messages non sollicités avec des liens vers des sites malveillants.

La pièce jointe malveillante la plus fréquente en 2012 fut Trojan-Spy.HTML.Fraud.gen. Il a dominé de loin les trois premiers trimestres. Le quatrième trimestre, quant à lui, a été dominé par Trojan-Spy.Win32.Zbot.fsfe et Trojan-PSW.Win32.Tepfer.cfwf. Ces trois programmes malveillants ont été développés pour voler les données d'accès (nom d'utilisateur et mot de passe) aux comptes des victimes. Fraud.gen et Zbot (ZeuS) visent uniquement les mots de passe des systèmes de paiement et des organisations financières. Tepfer quant à lui vole également d'autres types de mot de passe.

 
TOP 10 des programmes malveillants dans le courrier

Des vers de messagerie occupent la deuxième et la troisième position. Ce nombre important de vers s'explique de la manière suivante : une fois qu'un ver a infecté un ordinateur, il se propage aux contacts des carnets d'adresses des victimes. Ces vers sont particulièrement répandus en Asie où le public utilise souvent des applications "piratées" et n'actualise pas les bases antivirus. Le ver Bagle, outre sa fonction principale, peut également installer d'autres programmes sur l'ordinateur infecté.

 
TOP 10 des programmes malveillants dans le Répartition des déclenchements de l'Antivirus Courrier par pays

C'est aux Etats-Unis que le plus grand nombre de déclenchements de l'Antivirus Courrier a été enregistré en 2012. L'Allemagne a été en tête pendant quelques mois, mais sur l'ensemble de l'année, elle occupe la deuxième position. L'Angleterre complète le trio de tête. La Russie, qui avait reçu le plus grand volume de messages malveillants en 2011, finit en neuvième position.

Il est intéressant de constater que la part de messages contenant des pièces jointes malveillantes reçus par les utilisateurs aux Etats-Unis a augmenté en même que la part de courrier indésirable envoyé depuis les Etats-Unis. Le nombre de messages malveillants visant les utilisateurs chinois a également augmenté. Il est plus que probable que les programmes malveillants diffusés de cette manières ont, entre autres, chargé des bots de courrier indésirable sur les ordinateurs des victimes. Par conséquent, les ordinateurs infectés ont été intégrés à des réseaux de zombies et ils ont commencé à diffuser des messages non sollicités.

Phishing

 
Répartition du TOP 100 des organisations victimes d'attaques de phishing par catégorie

Le classement des catégories des organisations victimes d'attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l'utilisateur a tenté de cliquer, qu'il s'agisse d'un lien dans un message ou sur Internet.

En 2012, les auteurs d'attaques de phishing ont visé principalement les réseaux sociaux (24,5 %). Parmi ceux-ci, c'est Facebook qui a le plus souffert. Les individus malintentionnés utilisent les comptes qu'ils ont volés pour envoyer du courrier indésirable et des programmes malveillants aux contacts de l'utilisateur du réseau social.

La part d'attaques de phishing contre les organisations financières a reculé par rapport à l'année dernière, mais elle reste malgré tout élevée (22,9 %). Les magasins en ligne et les sites de ventes aux enchères (18,4 %) occupent la troisième place. Une fois qu'ils ont obtenu l'accès à ce type de compte, les auteurs des attaques de phishing peuvent obtenir les données des cartes de crédit des utilisateurs.

Les moteurs de recherche, avec une part assez importante (14,1 %), occupent la quatrième position. Vu que de nombreux moteurs de recherche, comme Google et Mail.ru, sont de grands portails, ils offrent une multitude de services complémentaires aux utilisateurs. Ces comptes sont attrayants pour les escrocs.

 
Répartition des hébergements de sites de phishing par pays

A part la Russie et l'Inde, qui occupent respectivement la quatrième et la sixième position, le Top 10 ne compte que des pays dont l'économie est développée.

Presque la majorité des pays de cette liste possède des systèmes avancés pour les transactions bancaires par Internet et il s'agit également des pays qui comptent le plus grand nombre d'utilisateurs des réseaux sociaux. Et ce sont principalement les réseaux sociaux, les organisations financières et les systèmes de paiement qui sont le plus souvent pris pour cible par les auteurs d'attaques de phishing. Mais les sites de phishing ne doivent pas nécessairement être hébergés dans le pays des utilisateurs attaqués. Il y a toutefois une nuance : En général, les auteurs d'attaques de phishing tentent de trouver pour leur faux site un nom qui ressemble le plus à la ressource authentique (par exemple, en remplaçant une lettre dans le nom du site original) afin que l'internaute ne remarque pas qu'il se trouve sur une page d'escroquerie. Pour que le site ressemble vraiment au site d'origine, le domaine dans lequel le faux site et le site original se trouvent doit également coïncider. C'est ce qui explique peut-être cette répartition des zones de domaine.

Il est intéressant de constater que les trois pays qui hébergent le plus de sites de phishing, à savoir les Etats-Unis, l'Allemagne et l'Angleterre, sont également les pays dont les internautes reçoivent le plus de messages avec des pièces jointes malveillantes.

Conclusion

Au fil de l'année 2012, la part de courrier indésirable a reculé et au cours du dernier trimestre, le pourcentage de courrier indésirable n'a pas dépassé 70 %. Ceci s'explique par la migration progressive de la publicité pour des biens et des services légitimes vers des plateformes plus pratiques, mais aussi légales. Toutefois, il est encore trop tôt pour déclarer que le courrier indésirable disparaîtra bientôt : les messages non sollicités malveillants, les escroqueries et la publicité pour des articles interdits, en raison de leur caractère criminel, ne peuvent tout simplement pas se tourner vers des plateformes légales. Nous ne nous attendons pas à un recul sensible du courrier indésirable au cours de l'année prochaine.

La part de courrier indésirable envoyé depuis les Etats-Unis et la Chine a augmenté en 2012. Ce n'est pas la première fois que ces deux pays dominent le classement des pays sources de courrier indésirable, mais le flux de messages non sollicités en provenance de ces pays avait sensiblement diminué après l'adoption de lois contre le courrier indésirable et le démantèlement de réseaux de zombies. De toute évidence, les diffuseurs de courrier indésirable souhaitent toujours exploiter les grandes puissances de calcul des Etats-Unis et de la Chine et ils mettent en place de nouveaux réseaux de zombies dans ces pays.

Les programmes malveillants les plus diffusés en 2012 étaient des programmes qui volaient les noms d'utilisateur et les mot de passe. Parmi ce genre d'informations, les plus recherchées ont été les données d'identification pour l'accès à des services de paiement ou de transactions financières. Ceci étant dit, les individus malintentionnés n'ont pas négligé les mots de passe pour d'autres types de service : réseaux sociaux, messagerie ou autres services.

Le nombre de messages malveillant s'est maintenu à un niveau élevé tout au long de l'année. Les individus malintentionnés reproduisent de plus en plus des notifications légitimes. Cette situation nous pousse à prévenir à nouveau nos utilisateurs : au moment de recevoir un message, assurez-vous qu'il provient bien de la ressource indiquée. Evitez de cliquer sur les liens dans les messages d'origine douteuse. Et surtout, veillez à maintenir vos logiciels à jour.

Source:
Kaspersky Lab
Related links
Analysis
Courrier indésirable et phishing au deuxième trimestre 2014
Courrier indésirable en juin 2014
Courrier indésirable en mai 2014
Courrier indésirable en avril 2014
Gains assurés ou le véritable visage de la Chance déguisée
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com