Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
A propos du Spam
Analyse
Actualité
Glossaire


Techniques des Spammeurs

 
Encyclopédie Virus
Encyclopédie Virus

Découvrez tous les vers, virus, Trojans et plus dans notre Encyclopédie Virus.

A propos des Hackers
A propos des Hackers

Tout ce qu'il faut savoir sur les hackers et les vulnérabilités dans notre section Hackers et Vulnérabilités.

 

  Page d'accueil / Spams / A propos du Spam / Techniques des Spammeurs

Les Techniques des Spammeurs

Les spammeurs utilisent des programmes spécifiques pour générer et transmettre les milliards de mails qui sont envoyés chaque jour. Cela demande un investissement considérable en temps et argent.

L'activité du spammeur peut se définir comme suit:

  1. Collecte et vérification d'adresses : trier les adresses par groupes (de cibles)
  2. Création de plateformes pour du mailing de masse (serveurs et/ou ordinateurs particuliers)
  3. Ecrire des programmes de mailing de masse
  4. Promouvoir les services des spammeurs
  5. Développement de textes pour des campagnes spécifiques
  6. Envoi du spam

Toutes les étapes sont effectuées indépendamment les unes des autres.

Création de bases d'adresses

Collecter et vérifier les adresses, créer des listes d'adresses

La première étape du travail d'un spammeur est la mise en place d'une base de données d'adresses. Chaque entrée ne doit pas seulement contenir une adresse email mais des informations complémentaires telles que l'emplacement géographique, la sphère d'activité (pour les entrées corporate) ou centre d'intérêts (pour les entrées particuliers). Une base de données peut contenir des adresses provenant de providers de messagerie spécifique tels que Yandex, Hotmail et AOL etc. ou de services en ligne tels que PayPal ou eBay.

Il existe un nombre de méthodes typiques utilisées par les spammeurs pour collecter des adresses :

  • Scanner des ressources publiques tels que sites webs, forums, chat rooms (sites de discussion), Whois databases, Usenet News etc pour trouver des combinaisons de mots (i.e. mot1@mot2.mot.3, avec mot3 étant un domaine très courant tel que .com or .info)
  • Usurpation d'adresses utilisant des combinaisons de mots classiques - john@, destroyer@, alex-2@
  • Usurpation d'adresses par analogie – s'il existe une adresse vérifiée joe.user@yahoo.com, alors une recherche est effectuée sur joe.user@hotmail.com, @aol.com etc
  • Vol de bases de données depuis des services Web, ISPs
  • Vol de données personnelles d'utilisateurs à l'aide de Trojans

Les bases ayant un thème bien précis, sont créées en utilisant la troisième méthode, étant donné que les ressources publiques regroupent en général des informations concernant les préférences des utilisateurs, en plus d'information personnelles telles que le sexe, l'age etc. Les bases volées de services web et des ISP peuvent également contenir des infos qui permettent aux spammeurs de personnaliser et cibler leurs mailings.

Le vol de données personnelles telles que des carnets d'adresses est une innovation récente mais redoutablement efficace étant donné que la majorité des adresses est active. Malheureusement, les récentes épidémies de virus ont démontré que de grands systèmes sont encore dépourvus de solution antivirus appropriée ; cette méthode sera employée avec succès jusqu'à ce que ces sytèmes soient protégés correctement.

Vérification d'adresses

Une fois que la base a été créée, il est nécessaire que les adresses soient vérifiées avant de pouvoir être vendues ou utilisées pour du mailing de masse. Les spammeurs envoient de nombreux messages tests pour vérifier que les adresses sont bien actives et que leurs emails seront bien lus.

  1. Test mailing initial. Un message avec un texte aléatoire prévu pour éviter les filtres anti-spams, est envoyé à la liste d'adresses. Les logs du serveur de messagerie sont analysés pour détecter les adresses actives et obsolètes, et la base de données est modifiée en conséquence.
  2. Une fois que les adresses ont été vérifiées, un second message est souvent envoyé pour vérifier que les destinataires lisent le message. Par exemple le message peut contenir un lien vers une image se trouvant sur un serveur spécifique. Une fois que le message est ouvert, l'image est ouverte automatiquement et le site web enregistrera l'adresse comme étant active. Cette méthode est cependant sur le déclin puisque de nombreux clients de messagerie ne téléchargent plus les images automatiquement.
  3. La méthode la plus efficace pour s'assurer qu'une adresse est active, est d'utiliser le social engineering. La plupart des utilisateurs finaux savent qu'ils ont le droit d'annuler l'inscription à des mails non sollicités. Les spammeurs détournent la difficulté en incluant dans leurs messages un bouton « annuler l'inscription ». Les internautes cliquent alors sur ce bouton et reçoivent un message comme quoi ils ont soi-disant bien annulé leur inscription. A la place, le spammeur reçoit la confirmation que l'adresse en question n'est pas seulement valide mais également que l'utilisateur est actif.

Cependant, aucune de ces méthodes n'est infaillible, et toute base de spammeur contiendra des adresses inactives.

Mise en place de plateformes pour le mailing de masse

Les spammeurs utilisent trois méthodes de mailing de masse :

  1. Envoi direct de mails depuis des serveurs de locations.
  2. Utilisation de serveurs de relais et proxy ouverts – serveurs qui ont été mal configurés et donc facile d'accès.
  3. Réseaux de bots – réseaux de machines zombies infectés par un logiciel malveillant, en général un Trojan, qui permet aux spammeurs d'utiliser les machines infectées comme plateformes pour du mass mailing à l'insu du propriétaire.

La location de serveurs est problématique, étant donné que les organisations antispams contrôlent le mailing de masse et ajoutent rapidement des serveurs sur des blacklists (listes noires). La plupart des solutions antispam et ISP utilisent des blacklists comme méthode d'identification du spam : ce qui veut dire que une fois que le serveur a été placé sur liste noire, il ne peut plus être utilisé par les spammeurs.

L'utilisation de serveurs de relais et proxy ouverts coûte beaucoup de temps et d'argent. Tout d'abord, les spammeurs écrivent et maintiennent des robots qui recherchent des serveurs vulnérables sur Internet. Un fois trouvé, le serveur est infiltré. Cependant, peu de temps après quelques mailings de masse réussis, ces serveurs seront détectés et mis sur blacklists.

En conséquence, les spammeurs préfèrent créer ou acheter des réseaux de bots. Les auteurs de virus professionnels utilisent une variété de méthodes pour créer et entretenir ces réseaux :

  1. Exploiter des failles sur des navigateurs web surtout MS Internet Explorer. Il existe un grand nombre de failles dans les navigateurs qui rendent possible l'infiltration d'un ordinateur depuis un site visité par un utilisateur. Les auteurs de virus exploitent ces trous de sécurité, et créent des Trojans et autres logiciels malveillants pour s'infiltrer dans la machine des victimes, s'offrant un contrôle total des machines infectées. Par exemple, les sites pornographiques et autres sites semi légaux sont très souvent infestés de Trojans. Ces chevaux de Troie attaquent ensuite l'ordinateur des utilisateurs.
  2. Utiliser des vers et exploiter des vulnérabilités dans les services de MS Windows pour distribuer et installer des Trojans
    1. Les récentes épidémies ont été causées par des menaces mixtes qui combinent l'installation d'une backdoor sur la machine infectée. En fait pratiquement tous les vers ont un Trojan payload
    2. Les systèmes MS Windows sont par nature vulnérables et les hackers et auteurs de virus sont toujours prêts à les exploiter. Des tests indépendants ont démontré qu'un système Windows XP sans pare-feu ou un logiciel antivirus est attaqué dans les 20 minutes qui suit sa connexion à Internet
  3. Les logiciels piratés sont également un support de choix pour propager des codes malicieux. Etant donné que ces programmes sont souvent transmis par réseaux de partage de fichiers (peer to peer) tels que Kazaa, eDonkey et autres, les réseaux sont eux-mêmes pénétrés et les utilisateurs qui n'utilisent pas de logiciel piratés sont exposés.

Le logiciel du spammeur

Un mailing moyen contient environ un million de messages. L'objectif est d'envoyer un maximum de messages en un minimum de temps, c'est à dire avant que les éditeurs d'antispams mettent à jour les signatures pour détecter les derniers types de spams.

L'envoi d'un grand nombre de messages en un temps limité exige une technologie appropriée. Il existe des ressources développées et utilisées par les spammeurs. Ces programmes doivent être capable de :

  1. Envoyer des mails via une variété de canaux comprenant des relais et des ordinateurs particuliers infectés
  2. Créer des textes dynamiques
  3. Parodier des en-têtes de messages plausibles
  4. Vérifier la validité d'une base d'adresses
  5. Détecter si les messages arrivent bien à destination pour le cas échéant, les renvoyer depuis des plateformes alternatives si les originaux ont été placés sur liste noire.

Ces applications de spammeurs sont disponibles soient en souscrivant à ces services très particuliers, soit en achetant l'application une fois pour toute.

Rédaction du corps du message

Les filtres antispams d'aujourd'hui sont suffisamment sophistiqués pour détecter et bloquer instantanément un grand nombre de messages identiques. Les spammeurs font en sorte que les mailings de masse contiennent un contenu identique avec des textes légèrement différents les uns des autres. Les spammeurs ont développé un tas de méthodes pour masquer la similarité des messages dans chaque mailing.

  • Inclusion de textes aléatoires, mots ou texte invisible. Cela peut être aussii simple que d'inclure une chaîne de mots aléatoire et/ou des caractères, ou bien un texte tiré d'une vraie source aussi bien à la fin du message qu'au début. Un message HTML peut contenir un message invisible – police réduite ou texte coloré pour masquer l'arrière plan.
    Toutes ces ruses interfèrent avec l'assortiment flou et les méthodes de filtrage de Bayesian utilisées par les solutions antispams. Cependant les éditeurs d'antispam ont répondu en développant des scanners de cotations, des analyses détaillées de code HTML et autres techniques. Dans de nombreux cas, les filtres anti-spams détectent ce genre de ruses et les reléguent au rang de spams.
  • Spam graphique. Envoyer des spams en format graphique entrave l'analyse de texte pour un certain temps bien qu'aujourd'hui une bonne solution antispam soit capable de détecter et d'analyser les graphiques entrants.
  • Graphique dynamique. Les spammeurs utilisent désormais des graphiques compliqués accompagnés d'informations supplémentaires pour tromper les filtres antispams.
  • Texte dynamique. Le même texte est réécrit de plusieurs manières rendant nécessaire la comparaison avec un grand nombre d'échantillons de messages avant qu'il soit possible d'identifier le spam. Ce qui veut dire que les filtres antispams peuvent être remis à jour une fois que le mailing a déjà atteint sa cible.

Une bonne application de spammeur utilisera toutes les méthodes décrites ci-dessus étant donné que les victimes utilisent différents filtres antispams. L'utilisation de techniques variées garantit qu'une quantité suffisante de messages échapperont aux filtrages et atteindront le destinataire final.

Les services marketing des spammeurs

Assez étrangement, les spammeurs font la publicité de leurs services au travers du spam. En fait, la publicité que déploient les spammeurs pour promouvoir leurs services est une catégorie à part. Les spams vantant les spams véhiculent de la publicité pour les applications de spammeurs, réseaux de bots et base de données d'adresses électroniques.

La structure du business des spammeurs

Les étapes énumérées ci-dessus exigent une équipe de différents spécialistes ou bien la sous-traitance de certaines tâches. Les spammeurs eux-mêmes, autrement dit, les personnes qui dirigent l'affaire et collectent l'argent des clients, achètent en général ou louent les applications et services dont ils ont besoin pour conduire les mailings de masse.

Les spammeurs se divisent en deux catégories. Les programmeurs professionnels et auteurs de virus qui développent et implantent le logiciel nécessaire pour envoyer des spams, et les amateurs qui ne sont pas forcément des programmeurs mais qui veulent simplement faire de l'argent facile.

Tendances à venir

Le marché du spam est évalué à environ 700 millions de dollars par an. Comment atteint-on ce chiffre ? Diviser le nombre de messages détectés par jour par le nombre de messages dans un mailing standard. Multiplier le résultat par le coût moyen d'un mailing standard : 30 milliards de messages divisés par 1 million de messages multiplié par 100$ US multiplié par 365 jours nous donne un chiffre d'affaires annuel estimé à 1095 millions de dollars US.

Un marché aussi lucratif encourage à organiser de vraies entreprises qui travaillent de façon professionnelle et rentable. Il y a cependant des problèmes concernant la législation : collecter des données personnelles et envoyer de la correspondance indésirable est illégale dans la plupart des pays du monde. Cependant les sommes en jeu sont suffisamment considérables pour attiser l'intérêt de personnes peu scrupuleuses prêtes à prendre des risques et faire potentiellement de gros profits.

L'industrie du spam semble suivre les pas d'autres activités illégales : aller vers l'underground informatique et s'engager dans une bataille sans merci avec les agences du maintien de l'ordre.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com