Kaspersky Spam Report Nov11 FR

Spam en novembre 2011
Maria Namestnikova
Sommaire
Novembre en chiffres ...................................................................................................... 2
Survol des principaux événements du mois .................................................................... 2
Escroqueries de fin d'année et autres.......................................................................... 2
Vous avez commandé des cadeaux ? .................................................................................................... 2
Faux messages envoyés par les réseaux sociaux .................................................................................. 3
Les fêtes continuent ..................................................................................................... 6
Survol statistique ............................................................................................................. 6
Pays, source du courrier indésirable ............................................................................ 6
Pièces jointes malveillantes dans le courrier ............................................................... 7
Phishing ....................................................................................................................... 9
Sujets du courrier indésirable .................................................................................... 10
Conclusion..................................................................................................................... 11
Novembre en chiffres

Par rapport au mois d'octobre, la part du courrier indésirable dans le trafic de messagerie
a augmenté de 1,4 % pour atteindre 80,6 %.

Par rapport au mois d'octobre, la part de messages de phishing dans le trafic de
messagerie a été divisée par deux et représente 0,02 %.

Au mois de novembre, 3 % des messages électroniques contenaient des fichiers
malveillants, soit 0,5 % de plus que le mois passé.
Survol des principaux événements du mois
Escroqueries de fin d'année et autres
Les escrocs tentent d'exploiter l'effervescence qui précède Noël et le Nouvel An et diffusent de nombreux
messages dont le but est d'amener le destinataire à saisir ses données financières ou personnelles sur
un site de phishing. Leur calcul est simple : les utilisateurs sont joyeux et plus occupés, ce qui les rend
moins attentifs que d'habitude. De plus, les utilisateurs ont plus souvent tendance au cours de cette
période à réaliser des achats en ligne. C'est la raison pour laquelle les faux messages signalant que la
carte de crédit ou le compte en banque ont été bloqués attirent l'attention car sans ces moyens, il sera
impossible d'acheter les cadeaux.
Vous avez commandé des cadeaux ?
Au mois de novembre, nous avons détecté plusieurs diffusions importantes de messages imitant les
notifications de magasins en ligne. Les messages ne faisaient allusion à aucune marque en particulier : le
message invitait le destinataire à prendre connaissance de la facture ou à cliquer sur un lien pour vérifier
la commande. Il faut bien avouer qu'à la veille des fêtes, les utilisateurs ne se méfient pas comme il le
faudrait de tels messages car dans la majorité des cas, ils ont bel et bien passé des commandes en
ligne. Mais ces messages contenaient en réalité des liens vers du code malveillant.
Comme l'illustre l'exemple, un de ces messages a été diffusé non seulement en anglais, mais dans
d'autres langues européennes également. Nous avons notamment détecté des messages destinés aux
utilisateurs germanophones, italophones et néerlandophones.
Faux messages envoyés par les réseaux sociaux
Cela fait longtemps que les réseaux sociaux sont exploités comme plateforme de diffusion de publicités
pour des médicaments ou de code malveillant et les comptes des utilisateurs de ces réseaux sont la cible
constante de diffusion de phishing. Au mois de novembre, nous avons enregistré plusieurs diffusions de
messages qui exploitaient d'une manière ou d'une autre les réseaux sociaux.
Flickr
Les messages exploitant le réseau social Flickr sont assez rares dans le courrier indésirable. Mais au
mois de novembre, même ce site n'a pas échappé aux spammeurs. Il est intéressant de constater que
les messages reçus étaient envoyés depuis des comptes Flickr à l'aide de la fonction "inviter un ami". Les
spammeurs ont invité beaucoup de personnes et le texte de l'invitation contenait des liens menant vers
un site qui vendait des produits pharmaceutiques. En optant pour cette méthode de diffusion de publicité
pharmaceutique, les spammeurs comptaient déjouer les filtres antispam : du point de vue technique, les
messages avaient l'air de messages officiels car ils étaient envoyés via la fonction légitime d'invitation du
site.
Comme on le voit sur la capture d'écran, le lien dans le message fait référence à des médicaments
destinés aux hommes.
Twitter
Les diffuseurs de courrier indésirable ont utilisé le microblog Twitter de la même manière pour diffuser
des invitations d'inscription au réseau social. Les invitations contenaient du texte clair et des liens vers un
site pornographique. Il est intéressant de constater que les messages utilisent le service des liens cours
situés dans la zone cn.
De faux messages de Twitter ont également été observés ce mois. Le volume de fausses notifications en
provenance de ce réseau social diffusé était identique à celui de l'été 2010, époque ou l'Internet a connu
une véritable explosion de ces faux messages. Ces messages sont toujours parmi les favoris des
spammeurs. Comme par le passé, le lien repris dans le message, amène l'utilisateur sur un site
contenant des publicités pour le viagra et du code malveillant.
LinkedIn
Le mois de novembre aura été marqué par un cas étonnant impliquant le site LinkedIn et les spammeurs.
Outre les fausses notifications envoyées au nom de ce site contenant des liens vers des sites
pharmaceutiques, on a observé au mois d'août une diffusion inhabituelle.
L'objet des messages reçus par les utilisateurs contenait le texte : «So now you're on LinkedIn: What's
next?». Le champ "From" (De) imitait également celui d'une notification officielle de LinkedIn. Mais voici
l'élément surprenant : après avoir ouvert le message, quelle n'était pas la surprise pour l'utilisateur de lire
un texte indiquant qu'un paiement électronique réalisé il y a peu depuis son compte avait été annulé.
Ce n'est pas la première fois que de faux messages masqués sous les traits de notifications du système
de paiement Nacha arrivent dans les boîtes aux lettres, mais en général, ils possèdent des objets et des
adresses d'expéditeurs plus logiques et en rapport avec la société de paiement. Il est difficile de
comprendre pourquoi les spammeurs se sont pris les pinceaux.
Il faut dire que plusieurs diffusions de ce genre au nom de LinkedIn ont été enregistrées au mois de
novembre.
Les fêtes continuent
Les diffuseurs de courrier indésirable ont continué à envoyer des messages consacrés à différentes
fêtes. En novembre, il y a le Jour d'action de grâce largement célébré aux Etats-Unis et dans d'autres
pays et les pays musulmans fêtent le Kurban bairami.
Les messages consacrés au Kurban Bairami que nous avons détectés étaient principalement rédigés en
turc et proposaient du tourisme religieux. Les diffusions consacrées au Jour d'action de grâce contenaient
principalement des publicités pour des cadeaux.
Les diffusions liées à Noël et au Nouvel An se sont poursuivies.
Il faut signaler que le nombre de messages faisant la publicité de loisir et de divertissements a doublé
(+3,5 %). Cela s'explique par l'approche des congés liés aux fêtes.
Survol statistique
Pays, source du courrier indésirable
Pays, source de courrier indésirable en novembre 2011 (Top 20)
Dans le classement des pays source de courrier indésirable du mois de novembre, nous
retrouvons les mêmes pays dans les quatre premières positions (la seule différence étant la
permutation de place entre le Brésil et l'Indonésie). Les indices de ces pays ont augmenté : Inde
(+1,86 %), Corée (+2,31 %), Indonésie (+2,29 %) et Brésil (+0,12 %). Le Viet Nam occupe la
cinquième position (+0,25 %). Globalement, la part de courrier indésirable en provenance des
pays du Top 5 a augmenté de 7,2 %.
La part de l'Italie, qui avait fait son entrée dans le Top 5 en octobre, a diminué (-0,76 %) et ce
pays se retrouve en 6e position.
Pièces jointes malveillantes dans le courrier
Au mois de novembre, 3% des messages électroniques contenaient des fichiers malveillants, soit
0,5% de plus que le mois passé.
Le duo de tête des déclenchements de l'Antivirus courrier au mois de novembre n'a pas changé.
La Russie occupe toujours la première position, avec 6 % d'avance sur les Etats-Unis. Les
résultats des deux pays ont augmenté respectivement de 3,39 % et de 2,77 % par rapport au mois
précédent.
La part de déclenchements de l'Antivirus Courrier sur le territoire de Grande-Bretagne a été
pratiquement divisée par deux et représentait 4,8 %. Les résultats pour l'Australie ont également
été divisé presque par deux (3,1 %). En conséquence, ces pays se retrouvent respectivement en
quatrième et en dixième position.
Les modifications au niveau des parts de déclenchements de l'Antivirus Courrier dans les autres
pays du Top 10 tournent aux alentours de 1 %.
Répartition des déclenchements de l'Antivirus Courrier par pays en novembre 2011
La liste des programmes malveillants détectés le plus souvent par notre antivirus dans le courrier
est toujours menée par le même duo.
La première place revient une fois de plus à Trojan-Spy.HTML.Fraud.gen. Il représente 12 % des
déclenchements de l'Antivirus Courrier, soit 1 % de moins que par rapport au mois passé.
Trojan-Spy.HTML.Fraud.gen est un leader traditionnel de notre classement. Ce verdict est
attribué aux programmes malveillants qui se présentent sous la forme d'une page HTML qui
imite la page d'ouverture de session sur le site d'une entité financière ou d'un service en ligne
quelconque.
En deuxième position, nous retrouvons Email-Worm.Win32.Mydoom.m, un ver de messagerie
qui ne remplit que deux fonctions : la collecte d'adresses de messagerie sur les ordinateurs
infectés et la diffusion de ses copies vers celles-ci. Email-Worm.Win32.NetSky.q, un autre habitué
de notre Top 10, est doté de fonctions élémentaires semblables. Un autre ver de messagerie, à
savoirEmail-Worm.Win32.Bagle.gt occupe la huitième position. En plus des fonctions que l'on
retrouve également chez ses congénères plus anciens, ce programme malveillant contacte
également les ressources Internet afin de télécharger des programmes malveillants.
Top 10 des programmes malveillants diffusés par courrier en novembre 2011
Au mois de novembre, le Top 10 des applications que notre Antivirus a le plus souvent détecté
dans le courrier ne compte qu'une seule modification de Trojan.Win32.Yakes :
Trojan.Win32.Yakes.jyh. Pour rappel, les applications de cette famille sont des chevaux de Troie
de téléchargement classiques. Une fois qu'ils sont installés sur l'ordinateur, ils contactent une
ressource de réseau définie et y récupèrent des liens pour le téléchargement d'autres programmes
malveillants.
Les chevaux de Troie de la famille Trojan.Win32.Pakes que l'on retrouve en 5e et en 7e position
sont des compacteurs utilisés pour empêcher la détection d'autres programmes malveillants par
les logiciels antivirus.
Phishing
Par rapport au mois d'octobre, la part de messages de phishing dans le trafic de messagerie a été
divisée par deux et représente 0,02 %.
Top 10 des organisations victimes d'attaques de phishing*
*Le classement repose sur la part d'URL de phishing réparties à travers Internet. Il n'indique pas le niveau
de danger des organisations indiquées mais se contente d'illustrer la popularité de divers services parmi les
auteurs d'attaque de phishing. Les auteurs d'attaque de phishing préfèrent attaquer les services les plus utilisés et
les plus appréciés des utilisateurs.
Le classement des organisations ciblées par les attaques de phishing a une fois de plus été
chamboulé par rapport au mois précédent.
La plus grande surprise est l'apparition en deuxième position du réseau social Habbo (il avait
quitté le classement en octobre). La part d'attaques lancées contre Habbo a été multipliée par 10.
La part d'attaques contre Facebook, que l'on retrouvait en quatrième position au mois d'octobre, a
légèrement augmenté
Les jeux en ligne ne figurent pas dans ce Top 10 des organisations victimes d'attaques de
phishing.
Les banques, quant à elles, font toujours l'objet de toutes les attentions des auteurs d'attaques de
phishing : la moitié des entrées du Top 10 sont des banques.
Il est intéressant de constater que les diffusions de messages de phishing visant le fisc américain
(IRS) augmentent traditionnellement vers la fin de l'année, ce qui s'explique par l'approche de la
date d'échéance pour la rentrée des déclarations.
Sujets du courrier indésirable
Le Top 3 des catégories de courrier indésirable anglophone n'a pas été modifié par rapport au
mois d'octobre. Les messages d'escroquerie occupent toujours la première position. La part du
courrier indésirable financier a augmenté de 4 % et il occupe la deuxième place du classement.
La position dominante de ces deux sujets est liée à la fois au contexte de crise dans le secteur
financier et à l'approche des fêtes de fin d'année. Le manque d'argent se fait cruellement sentir et
les diffuseurs de courrier indésirable exploitent ce contexte en envoyant des messages qui
proposent des méthodes rapides et douteuses de gagner de l'argent.
La troisième place revient à la catégorie "Biens et services divers" composée dans la majorité par
des messages consacrés à Noël. Dans l'ensemble, les messages qui exploitent d'une manière ou
d'une autre le thème du Nouvel an ou de Noël représentent de 3 à 3,5 % du courrier indésirable
de novembre.
Conclusion
En novembre, la répartition des sources de courrier indésirable et la répartition des
déclenchements de l'Antivirus Courrier par pays n'ont réservé aucune surprise : les deux
classements n'ont connu que de légères modifications.
A l'heure actuelle, l'attention des auteurs d'attaques de phishing se répartit de manière équitable
entre l'argent réel et virtuel qu'ils tentent de voler aux utilisateurs. Le retour du réseau social
Habbo parmi les cibles des auteurs d'attaque de phishing témoigne du regain d'intérêt de ces
escrocs pour le monde virtuel.
Au mois de décembre, les flux de courrier indésirable vont être dominés par la thématique des
fêtes de fin d'année : nous allons voir le maintien de la croissance des offres de vacances de fin
d'années et de fêtes d'entreprises ainsi que des messages de la catégorie "Biens et services divers"
proposant les idées de cadeaux les plus diverses pour Nouvel an. La part des messages
d'escroquerie va également augmenter. Vers la fin du mois de décembre et pendant la période
des fêtes de fin d'année, on devrait observer en Russie la réduction sensible traditionnelle de
l'activité des diffuseurs de courrier indésirable. Au cours de cette période, la majeure partie des
flux de courrier indésirable est imputable aux partenariats de diffusion de publicités pour du
viagra ou du code malveillant.