Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
A propos du Spam
Analyse
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
Analyses les Plus Populaires



IoT : comment j'ai piraté ma maison



Courrier indésirable et phishing au deuxième trimestre 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Baromètre de Kaspersky sur la cybercriminalité. Courrier indésirable en 2008



La fraude dans les jeux en ligne, ou comment prendre les joueurs à l'hameçon
 
 

  Page d'accueil / Spams / Analyse

Courrier indésirable en septembre 2011

25.10.2011   |   comment

Maria Namestnikova

Septembre en chiffres

  • Par rapport au mois d'août, la part du courrier indésirable dans le trafic de messagerie a diminué de 1,5% pour atteindre 78,5% en moyenne.
  • Par rapport au mois d'août, la part de messages de phishing dans le trafic de messagerie n'a pas changé et représente 0,03%.
  • Au mois de septembre, 4,5% des messages électroniques contenaient des fichiers malveillants, soit 1,4% de moins que le mois passé.

Survol des principaux événements du mois

La nouvelle crise financière vue par le courrier indésirable

En septembre, des experts ont évoqué le spectre d'une nouvelle crise financière. Au début de l'année 2010, alors que l'économie récupérait de la crise, nous avions déjà dit que les grands processus économiques se reflétaient dans le courrier indésirable. Non seulement dans le contenu des messages non sollicités, mais également dans l'activité de diffusion de courrier indésirable dans son ensemble. La récession de cette année ne s'est pas fait longtemps attendre et le courrier indésirable présente déjà les premières conséquences de l'instabilité économique.

Messages au sujet de la crise

Au cours du mois de septembre, nous avons relevé dans le flux de messages non sollicités les messages les plus divers sur le thème de la situation financière complexe. A l'instar de ce qui se passe avec toute autre information importante, certains messages faisaient allusion à la récession dans l'objet du message afin de capter l'attention des destinataires, mais le contenu du message lui-même n'avait rien à voir avec les finances.

Parmi les messages qui faisaient allusion à la nouvelle crise financière non seulement dans l'objet du message, mais également dans le corps de celui-ci, nous avons recensé des offres douteuses pour gagner de l'argent, des publicités pour des services juridiques, de même que des arnaques nigériennes.

 

Ces changements au niveau du contenu des messages non sollicités ne nous ont pas surpris. Nous avions déjà observé cette tactique chez les diffuseurs de messages non sollicités à l'occasion de la crise de 2008-2009 : à cette époque, l'instabilité financière était un sujet utilisé régulièrement dans le courrier indésirable financier ou d'escroquerie.

S'agissant du courrier indésirable financier ou « juridique », l'évocation de la crise est parfaitement compréhensible : le souhait de gagner de l'argent rapidement et la demande en services juridiques sont d'actualité lorsque la situation économique n'est pas stable. Parmi les messages d'escroquerie qui exploitent le sujet de la récession, nous avons surtout observé au mois de septembre des messages « nigériens » qui attirent les victimes à l'aide de prêts « anticrise ».

Courrier indésirable d'escroquerie : l'élargissement de l'arsenal se poursuit

Dans le rapport du mois d'août, nous évoquions les nouveaux pièges développés par les diffuseurs de courrier indésirable pour tromper les destinataires. Au mois de septembre, les diffuseurs de courrier indésirable ont introduits de nouvelles astuces d'ingénierie sociale rarement utilisées, ou jamais, jusqu'à présent. Nous avons publié deux billets dans notre blog au sujet de ces astuces.

Le premier d'entre eux concernait une espèce de phishing réalisé à l'aide de messages envoyés au nom de la célèbre chaîne de restauration rapide McDonalds. Le destinataire était invité à participer à une enquête en échange d'un paiement de 80 dollars américains. Lorsqu'il cliquait sur le lien afin de répondre aux questions, l'utilisateur se retrouvait sur une page contenant un formulaire dans lequel il devait saisir les données de sa carte de crédit. Les données saisies étaient transmises aux individus malintentionnés.

Le deuxième billet évoquait une astuce qui devait éveiller la curiosité du destinataire au point de l'amener à ouvrir l'archive jointe au message : La mise en page du texte du message avec la pièce jointe évoquait un bref message officiel, mais dans le mauvais encodage.

L'utilisation des astuces présentées dans le rapport du mois d'août ou évoquées dans les deux billets ci-dessus pourraient laisser penser que les escrocs préfèrent jouer avec la curiosité des destinataires et non pas les effrayer.

Toutefois, les méthodes d'ingénierie sociale que nous allons décrire maintenant démontrent que ce n'est pas toujours le cas : les individus malintentionnés continuent à utiliser des techniques qui intimident, voire menacent, les destinataires.

Ainsi, le message d'arnaque nigérienne présenté ci-après évoque des menaces sur la vie du destinataire.

 

Le message apprend au destinataire que quelqu'un a payé l'expéditeur pour le tuer. Mais, pour la modeste somme de 8 000 dollars, l'assassin est prêt non seulement à ne pas honorer son contrat, mais également à dévoiler l'identité du commanditaire.

Je pense qu'un tel sujet ne doit pas impressionner la majorité des destinataires car le message du tueur à gages pris de remords est trop tiré par les cheveux par endroit. (Mon passage préféré est la recommandation de ne pas sortir après 20h00). De plus, ce tueur à gages qui est censé tout connaître de la vie de l'utilisateur ne pense même pas à inclure une touche personnelle dans le message, ce qui confirme une fois de plus qu'il s'agit d'un message d'escroquerie.

Les messages qui menacent de poursuivre l'utilisateur en justice pour diffusion de courrier indésirable contenant du code malveillant ont un potentiel bien plus élevé du point de vue de l'efficacité de l'ingénierie sociale.

 

Le destinataire est invité à ouvrir l'archive jointe au message qui contient les preuves de l'utilisation de son adresse pour la diffusion de courrier indésirable. Le fichier exécutable dans l'archive que nous avons obtenue était endommagé et par conséquent, nous n'avons pas été en mesure d'identifier exactement le code malveillant diffusé de cette manière.

Mais nous tenons à souligner une fois de plus que l'astuce est assez efficace. L'utilisateur qui reçoit un tel message n'a aucune raison de paniquer. En général, ces messages ne mentionnent aucune donnée personnelle du destinataire, ni de la société qui le poursuit en justice. Il s'agit de signes caractéristiques des messages d'escroquerie dont l'objectif principal est d'amener l'utilisateur à installer un fichier exécutable malveillant sur son ordinateur.

Microsoft poursuit la lutte contre les réseaux de zombies

A la fin du mois de septembre, Microsoft a une fois de plus réjoui la communauté internationale en annonçant le démantèlement d'un réseau de zombies. L'assistance technique pour l'opération de démantèlement du réseau de zombies Hlux/Kelihos a été offerte par les experts de Kaspersky Lab. Bien que cette fois-ci, la société ne puisse pas se vanter de la victoire contre un des plus grand réseaux de zombies au monde (il comptait plus de 40 000 ordinateurs), cette opération est unique : pour la première fois, Microsoft est en mesure de dire exactement qui se cache derrière ce réseau de zombies. Tous les détails sont repris dans le blog officiel de Microsoft.

En ce qui nous concerne, nous pouvons signaler que dans la mesure où ce réseau de zombies était modeste, son démantèlement n'a pas eu d'effets notables sur les flux de courrier indésirable.

Survol statistique

Pays, source du courrier indésirable

 
Pays, source de courrier indésirable en septembre 2011

Le Top 5 des pays source de courrier indésirable au mois de septembre n'a pas changé au niveau de sa composition. Les pays ont seulement changé de position. De la première à la cinquième position, nous retrouvons l'Inde (14,1 %), le Brésil (10,1 %), l'Indonésie (9 %), la Corée du Sud (7,3 %) et le Pérou (4,9 %).

Ces quatre pays d'Asie et ce pays d'Amérique latine sont responsables de 45 % de l'ensemble du courrier indésirable. Plus de 60 % du courrier indésirable provient des dix premiers pays du classement (Asie, Europe de l'Est et Amérique latine). Le seul pays d'Europe occidentale qui figure dans le Top 10 du mois de septembre est l'Italie qui a été la source de 2,7 % de l'ensemble du courrier indésirable international.

La modification la plus remarquable de ce mois est le recul de près de 3 % de la part de courrier indésirable envoyé depuis l'Indonésie. Les variations dans les indices des autres pays ne dépassent pas 1,5 %.

Dans la poursuite de l'étude de la diffusion de messages non sollicités depuis les pays que nous avons organisés en différents groupes au cours des mois précédents, nous tenons à signaler les éléments suivants :

  1. La diffusion du courrier indésirable en provenance du groupe formé par l'Indonésie, l'Ukraine, la Thaïlande et le Pérou est toujours synchronisée. Seule la Thaïlande a perdu le rythme : le volume de courrier indésirable envoyé depuis ce pays en août et en septembre est si faible que les valeurs minimales et maximales locales ne sont pas représentatives.

     
    Modification de la part de courrier indésirable envoyé depuis l'Indonésie,
    le Pérou, l'Ukraine et la Thaïlande entre le 22 août et le 2 octobre

  2. La diffusion de courrier indésirable depuis l'Inde et le Brésil est toujours relativement bien synchronisée, bien que les chiffres pour ces deux pays soient toujours influencés par les facteurs locaux.

     
    Modification de la part du courrier indésirable envoyé depuis
    l'Inde et le Brésil du 22 août au 2 octobre

  3. Les observations du couple Viet Nam - Russie ont mis en évidence un rapport intéressant : les flux de courrier indésirable diffusés depuis ces pays sont en phases opposées. Il est encore trop tôt pour expliquer les causes de ce phénomène.

     
    Modification de la part de courrier indésirable envoyé depuis
    la Russie et le Viet Nam du 1 août au 2 octobre

Pièces jointes malveillantes dans le courrier

Au mois de septembre, 4,5% des messages électroniques contenaient des fichiers malveillants, soit 1,4% de moins que le mois passé.

Le classement des pays en fonction des déclenchements de l'Antivirus Courrier n'a pas connu de grands bouleversements. Le trio de tête reste inchangé. Les variations au niveau des indices de ces pays sont dans les limites de 1 %.

L'augmentation la plus remarquée des déclenchements de l'Antivirus Courrier a été enregistrée en Inde (+1,5 %), ce qui lui permet de passer de la sixième à la quatrième position.

 
Répartition des déclenchements de l'Antivirus Courrier par pays en septembre 2011

Pour la première fois depuis longtemps, Trojan-Spy.HTML.Fraud.gen a cédé sa première place dans le classement des programmes malveillants les plus souvent détectés par l'Antivirus Courrier :

 
Top 10 des programmes malveillants diffusés par courrier en septembre 2011

La première place revient au programme malveillant Trojan.Win32.FraudST.at. Il s'agit d'un bot de courrier indésirable dont la spécialité est la diffusion de courrier indésirable pharmaceutique.

Sur les dix programmes malveillants du classement, trois sont des variantes de Trojan.Win32.Yakes que nous avons présenté en détail dans le rapport du mois d'août. Ils occupent la deuxième, la sixième et la huitième position. A l'instar de Trojan-Downloader.Win32.Agent.gxtn que nous retrouvons en quatrième position, Yakes est un cheval de Troie de téléchargement classique.. Une fois qu'ils sont installés sur l'ordinateur, ils contactent une ressource de réseau définie et y récupèrent des liens pour le téléchargement d'autres programmes malveillants.

Comme le mois passé, Email-Worm.Win32.Mydoom.m est l'unique représentant des vers de messagerie dans le classement. Pour rappel, ce ver ne remplit que deux fonctions : la collecte d'adresses de messagerie sur les ordinateurs infectés et la diffusion de ses copies à ces adresses.

Phishing

Par rapport au mois d'août, la part de messages de phishing dans le trafic de messagerie n'a pas changé et représente 0,03%.

 
Top 10 des organisations victimes d'attaques de phishing*

*Le classement repose sur la part d'URL de phishing réparties dans Internet. Il n'indique pas le niveau de danger des organisations indiquées mais se contente d'illustrer la popularité de divers services parmi les auteurs d'attaque de phishing. Les auteurs d'attaques de phishing préfèrent attaquer les services les plus utilisés et les plus appréciés des utilisateurs.

Le principal changement dans le classement des organisations victimes d'attaques de phishing est la progression de Facebook de la quatrième à la deuxième place. La part des attaques contre ce service a augmenté de 5,4% pour atteindre 14,1%.

La part d'attaques contre le site d'enchères eBay qui occupait la deuxième place au mois d'août a légèrement reculé (de 0,9 %) et cet habitué de notre classement s'est retrouvé en troisième position au mois de septembre.

Nous tenons également à signaler l'intérêt des auteurs d'attaques de phishing pour le jeu en ligne gratuit RuneScape qui a été victime d'un nombre d'attaques qui a pratiquement doublé par rapport au mois d'août. Ceci s'explique probablement par la fin des vacances d'été car les principaux adeptes de ce jeu sont des écoliers et des étudiants.

Sujets du courrier indésirable

 
Catégorie du courrier indésirable en septembre 2011

Au mois de septembre, à nouveau près de la moitié du courrier indésirable anglophone était composé de messages d'escroquerie. Nous avions déjà observé une augmentation de la part des messages d'escroquerie lors de la crise de 2008. Ceci est compréhensible : quand la situation financière est instable, les diffuseurs de courrier indésirable qui n'ont pas la possibilité de maintenir leur revenu en raison de la baisse du pouvoir d'achat des clients tentent de gagner de l'argent en trompant les utilisateurs.

Le courrier indésirable à caractère financier occupe la deuxième position en termes de popularité auprès des diffuseurs de courrier indésirable, ce qui est tout à fait logique en temps de récessions, comme nous l'avons indiqué ci-dessus.

Conclusion

Quand une récession sévit, la probabilité d'observer une augmentation du nombre de messages d'escroquerie augmente, qu'il s'agisse de messages visant à voler l'argent des destinataires sans utiliser de programmes malveillants ou à l'aide de liens malveillants. Dans le courrier indésirable anglophone, on observe depuis l'été une augmentation de la part de messages non sollicités qui ne cherchent pas à faire la publicité d'articles quelconques, mais qui visent à installer un programme malveillant, à voler les données personnelles des utilisateurs ou à les impliquer dans des escroqueries.

Les utilisateurs doivent être extrêmement prudents lorsqu'ils reçoivent un message qui les invite à télécharger une pièce jointe, à cliquer sur un lien ou à transmettre un mot de passe. Les individus malintentionnés renforcent leur arsenal d'ingénierie sociale et mettent au point des méthodes capables de surprendre le plus expérimenté des utilisateurs. Soyez vigilants !

Source:
Kaspersky Lab
Related links
Analysis
Courrier indésirable et phishing au deuxième trimestre 2014
Courrier indésirable en juin 2014
Courrier indésirable en mai 2014
Courrier indésirable en avril 2014
Gains assurés ou le véritable visage de la Chance déguisée
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com