Kaspersky Spam Report Nov11 FR
Transcription
Kaspersky Spam Report Nov11 FR
Spam en novembre 2011 Maria Namestnikova Sommaire Novembre en chiffres ...................................................................................................... 2 Survol des principaux événements du mois .................................................................... 2 Escroqueries de fin d'année et autres.......................................................................... 2 Vous avez commandé des cadeaux ? .................................................................................................... 2 Faux messages envoyés par les réseaux sociaux .................................................................................. 3 Les fêtes continuent ..................................................................................................... 6 Survol statistique ............................................................................................................. 6 Pays, source du courrier indésirable ............................................................................ 6 Pièces jointes malveillantes dans le courrier ............................................................... 7 Phishing ....................................................................................................................... 9 Sujets du courrier indésirable .................................................................................... 10 Conclusion..................................................................................................................... 11 Novembre en chiffres Par rapport au mois d'octobre, la part du courrier indésirable dans le trafic de messagerie a augmenté de 1,4 % pour atteindre 80,6 %. Par rapport au mois d'octobre, la part de messages de phishing dans le trafic de messagerie a été divisée par deux et représente 0,02 %. Au mois de novembre, 3 % des messages électroniques contenaient des fichiers malveillants, soit 0,5 % de plus que le mois passé. Survol des principaux événements du mois Escroqueries de fin d'année et autres Les escrocs tentent d'exploiter l'effervescence qui précède Noël et le Nouvel An et diffusent de nombreux messages dont le but est d'amener le destinataire à saisir ses données financières ou personnelles sur un site de phishing. Leur calcul est simple : les utilisateurs sont joyeux et plus occupés, ce qui les rend moins attentifs que d'habitude. De plus, les utilisateurs ont plus souvent tendance au cours de cette période à réaliser des achats en ligne. C'est la raison pour laquelle les faux messages signalant que la carte de crédit ou le compte en banque ont été bloqués attirent l'attention car sans ces moyens, il sera impossible d'acheter les cadeaux. Vous avez commandé des cadeaux ? Au mois de novembre, nous avons détecté plusieurs diffusions importantes de messages imitant les notifications de magasins en ligne. Les messages ne faisaient allusion à aucune marque en particulier : le message invitait le destinataire à prendre connaissance de la facture ou à cliquer sur un lien pour vérifier la commande. Il faut bien avouer qu'à la veille des fêtes, les utilisateurs ne se méfient pas comme il le faudrait de tels messages car dans la majorité des cas, ils ont bel et bien passé des commandes en ligne. Mais ces messages contenaient en réalité des liens vers du code malveillant. Comme l'illustre l'exemple, un de ces messages a été diffusé non seulement en anglais, mais dans d'autres langues européennes également. Nous avons notamment détecté des messages destinés aux utilisateurs germanophones, italophones et néerlandophones. Faux messages envoyés par les réseaux sociaux Cela fait longtemps que les réseaux sociaux sont exploités comme plateforme de diffusion de publicités pour des médicaments ou de code malveillant et les comptes des utilisateurs de ces réseaux sont la cible constante de diffusion de phishing. Au mois de novembre, nous avons enregistré plusieurs diffusions de messages qui exploitaient d'une manière ou d'une autre les réseaux sociaux. Flickr Les messages exploitant le réseau social Flickr sont assez rares dans le courrier indésirable. Mais au mois de novembre, même ce site n'a pas échappé aux spammeurs. Il est intéressant de constater que les messages reçus étaient envoyés depuis des comptes Flickr à l'aide de la fonction "inviter un ami". Les spammeurs ont invité beaucoup de personnes et le texte de l'invitation contenait des liens menant vers un site qui vendait des produits pharmaceutiques. En optant pour cette méthode de diffusion de publicité pharmaceutique, les spammeurs comptaient déjouer les filtres antispam : du point de vue technique, les messages avaient l'air de messages officiels car ils étaient envoyés via la fonction légitime d'invitation du site. Comme on le voit sur la capture d'écran, le lien dans le message fait référence à des médicaments destinés aux hommes. Twitter Les diffuseurs de courrier indésirable ont utilisé le microblog Twitter de la même manière pour diffuser des invitations d'inscription au réseau social. Les invitations contenaient du texte clair et des liens vers un site pornographique. Il est intéressant de constater que les messages utilisent le service des liens cours situés dans la zone cn. De faux messages de Twitter ont également été observés ce mois. Le volume de fausses notifications en provenance de ce réseau social diffusé était identique à celui de l'été 2010, époque ou l'Internet a connu une véritable explosion de ces faux messages. Ces messages sont toujours parmi les favoris des spammeurs. Comme par le passé, le lien repris dans le message, amène l'utilisateur sur un site contenant des publicités pour le viagra et du code malveillant. LinkedIn Le mois de novembre aura été marqué par un cas étonnant impliquant le site LinkedIn et les spammeurs. Outre les fausses notifications envoyées au nom de ce site contenant des liens vers des sites pharmaceutiques, on a observé au mois d'août une diffusion inhabituelle. L'objet des messages reçus par les utilisateurs contenait le texte : «So now you're on LinkedIn: What's next?». Le champ "From" (De) imitait également celui d'une notification officielle de LinkedIn. Mais voici l'élément surprenant : après avoir ouvert le message, quelle n'était pas la surprise pour l'utilisateur de lire un texte indiquant qu'un paiement électronique réalisé il y a peu depuis son compte avait été annulé. Ce n'est pas la première fois que de faux messages masqués sous les traits de notifications du système de paiement Nacha arrivent dans les boîtes aux lettres, mais en général, ils possèdent des objets et des adresses d'expéditeurs plus logiques et en rapport avec la société de paiement. Il est difficile de comprendre pourquoi les spammeurs se sont pris les pinceaux. Il faut dire que plusieurs diffusions de ce genre au nom de LinkedIn ont été enregistrées au mois de novembre. Les fêtes continuent Les diffuseurs de courrier indésirable ont continué à envoyer des messages consacrés à différentes fêtes. En novembre, il y a le Jour d'action de grâce largement célébré aux Etats-Unis et dans d'autres pays et les pays musulmans fêtent le Kurban bairami. Les messages consacrés au Kurban Bairami que nous avons détectés étaient principalement rédigés en turc et proposaient du tourisme religieux. Les diffusions consacrées au Jour d'action de grâce contenaient principalement des publicités pour des cadeaux. Les diffusions liées à Noël et au Nouvel An se sont poursuivies. Il faut signaler que le nombre de messages faisant la publicité de loisir et de divertissements a doublé (+3,5 %). Cela s'explique par l'approche des congés liés aux fêtes. Survol statistique Pays, source du courrier indésirable Pays, source de courrier indésirable en novembre 2011 (Top 20) Dans le classement des pays source de courrier indésirable du mois de novembre, nous retrouvons les mêmes pays dans les quatre premières positions (la seule différence étant la permutation de place entre le Brésil et l'Indonésie). Les indices de ces pays ont augmenté : Inde (+1,86 %), Corée (+2,31 %), Indonésie (+2,29 %) et Brésil (+0,12 %). Le Viet Nam occupe la cinquième position (+0,25 %). Globalement, la part de courrier indésirable en provenance des pays du Top 5 a augmenté de 7,2 %. La part de l'Italie, qui avait fait son entrée dans le Top 5 en octobre, a diminué (-0,76 %) et ce pays se retrouve en 6e position. Pièces jointes malveillantes dans le courrier Au mois de novembre, 3% des messages électroniques contenaient des fichiers malveillants, soit 0,5% de plus que le mois passé. Le duo de tête des déclenchements de l'Antivirus courrier au mois de novembre n'a pas changé. La Russie occupe toujours la première position, avec 6 % d'avance sur les Etats-Unis. Les résultats des deux pays ont augmenté respectivement de 3,39 % et de 2,77 % par rapport au mois précédent. La part de déclenchements de l'Antivirus Courrier sur le territoire de Grande-Bretagne a été pratiquement divisée par deux et représentait 4,8 %. Les résultats pour l'Australie ont également été divisé presque par deux (3,1 %). En conséquence, ces pays se retrouvent respectivement en quatrième et en dixième position. Les modifications au niveau des parts de déclenchements de l'Antivirus Courrier dans les autres pays du Top 10 tournent aux alentours de 1 %. Répartition des déclenchements de l'Antivirus Courrier par pays en novembre 2011 La liste des programmes malveillants détectés le plus souvent par notre antivirus dans le courrier est toujours menée par le même duo. La première place revient une fois de plus à Trojan-Spy.HTML.Fraud.gen. Il représente 12 % des déclenchements de l'Antivirus Courrier, soit 1 % de moins que par rapport au mois passé. Trojan-Spy.HTML.Fraud.gen est un leader traditionnel de notre classement. Ce verdict est attribué aux programmes malveillants qui se présentent sous la forme d'une page HTML qui imite la page d'ouverture de session sur le site d'une entité financière ou d'un service en ligne quelconque. En deuxième position, nous retrouvons Email-Worm.Win32.Mydoom.m, un ver de messagerie qui ne remplit que deux fonctions : la collecte d'adresses de messagerie sur les ordinateurs infectés et la diffusion de ses copies vers celles-ci. Email-Worm.Win32.NetSky.q, un autre habitué de notre Top 10, est doté de fonctions élémentaires semblables. Un autre ver de messagerie, à savoirEmail-Worm.Win32.Bagle.gt occupe la huitième position. En plus des fonctions que l'on retrouve également chez ses congénères plus anciens, ce programme malveillant contacte également les ressources Internet afin de télécharger des programmes malveillants. Top 10 des programmes malveillants diffusés par courrier en novembre 2011 Au mois de novembre, le Top 10 des applications que notre Antivirus a le plus souvent détecté dans le courrier ne compte qu'une seule modification de Trojan.Win32.Yakes : Trojan.Win32.Yakes.jyh. Pour rappel, les applications de cette famille sont des chevaux de Troie de téléchargement classiques. Une fois qu'ils sont installés sur l'ordinateur, ils contactent une ressource de réseau définie et y récupèrent des liens pour le téléchargement d'autres programmes malveillants. Les chevaux de Troie de la famille Trojan.Win32.Pakes que l'on retrouve en 5e et en 7e position sont des compacteurs utilisés pour empêcher la détection d'autres programmes malveillants par les logiciels antivirus. Phishing Par rapport au mois d'octobre, la part de messages de phishing dans le trafic de messagerie a été divisée par deux et représente 0,02 %. Top 10 des organisations victimes d'attaques de phishing* *Le classement repose sur la part d'URL de phishing réparties à travers Internet. Il n'indique pas le niveau de danger des organisations indiquées mais se contente d'illustrer la popularité de divers services parmi les auteurs d'attaque de phishing. Les auteurs d'attaque de phishing préfèrent attaquer les services les plus utilisés et les plus appréciés des utilisateurs. Le classement des organisations ciblées par les attaques de phishing a une fois de plus été chamboulé par rapport au mois précédent. La plus grande surprise est l'apparition en deuxième position du réseau social Habbo (il avait quitté le classement en octobre). La part d'attaques lancées contre Habbo a été multipliée par 10. La part d'attaques contre Facebook, que l'on retrouvait en quatrième position au mois d'octobre, a légèrement augmenté Les jeux en ligne ne figurent pas dans ce Top 10 des organisations victimes d'attaques de phishing. Les banques, quant à elles, font toujours l'objet de toutes les attentions des auteurs d'attaques de phishing : la moitié des entrées du Top 10 sont des banques. Il est intéressant de constater que les diffusions de messages de phishing visant le fisc américain (IRS) augmentent traditionnellement vers la fin de l'année, ce qui s'explique par l'approche de la date d'échéance pour la rentrée des déclarations. Sujets du courrier indésirable Le Top 3 des catégories de courrier indésirable anglophone n'a pas été modifié par rapport au mois d'octobre. Les messages d'escroquerie occupent toujours la première position. La part du courrier indésirable financier a augmenté de 4 % et il occupe la deuxième place du classement. La position dominante de ces deux sujets est liée à la fois au contexte de crise dans le secteur financier et à l'approche des fêtes de fin d'année. Le manque d'argent se fait cruellement sentir et les diffuseurs de courrier indésirable exploitent ce contexte en envoyant des messages qui proposent des méthodes rapides et douteuses de gagner de l'argent. La troisième place revient à la catégorie "Biens et services divers" composée dans la majorité par des messages consacrés à Noël. Dans l'ensemble, les messages qui exploitent d'une manière ou d'une autre le thème du Nouvel an ou de Noël représentent de 3 à 3,5 % du courrier indésirable de novembre. Conclusion En novembre, la répartition des sources de courrier indésirable et la répartition des déclenchements de l'Antivirus Courrier par pays n'ont réservé aucune surprise : les deux classements n'ont connu que de légères modifications. A l'heure actuelle, l'attention des auteurs d'attaques de phishing se répartit de manière équitable entre l'argent réel et virtuel qu'ils tentent de voler aux utilisateurs. Le retour du réseau social Habbo parmi les cibles des auteurs d'attaque de phishing témoigne du regain d'intérêt de ces escrocs pour le monde virtuel. Au mois de décembre, les flux de courrier indésirable vont être dominés par la thématique des fêtes de fin d'année : nous allons voir le maintien de la croissance des offres de vacances de fin d'années et de fêtes d'entreprises ainsi que des messages de la catégorie "Biens et services divers" proposant les idées de cadeaux les plus diverses pour Nouvel an. La part des messages d'escroquerie va également augmenter. Vers la fin du mois de décembre et pendant la période des fêtes de fin d'année, on devrait observer en Russie la réduction sensible traditionnelle de l'activité des diffuseurs de courrier indésirable. Au cours de cette période, la majeure partie des flux de courrier indésirable est imputable aux partenariats de diffusion de publicités pour du viagra ou du code malveillant.