Bitdefender s’est penché sur le sujet et a très vite découvert que le Spam était loin de se limiter aux arguments publicitaires des médicaments miracles et aux contrefaçons des produits de luxe.264,6 milliards de Spams par jour sont diffusés dans le monde, soit environ 90 % de l’ensemble du trafic d’e-mails sur Internet.
Outre l’incroyable diversité de produits ou de services présentés dans ces e-mails non sollicités, ceux-ci contiennent également tous types de pièces jointes, allant de pages HTML avec publicités alléchantes pour des contrefaçons, aux « reçus » en format PDF exploitant des vulnérabilités de type « zero-day », ou même des pièces jointes contenant des malwares qui corrompent les systèmes sur lesquels elles sont téléchargées.
Le nombre de messages de Spam avec des pièces jointes malveillantes augmentant de façon continue, nous avons voulu décrypter ce que les cyber-escrocs essayaient de mettre en place au travers de ces messages. Nous avons recueilli pendant deux semaines plus de 2 millions d’échantillons de Spam de divers « honeypots » situés dans différentes régions, à différents moments de la journée, afin d’éviter les campagnes saisonnières et les envois en masse d’une même campagne. Cela nous a permis de collecter une importante diversité de Spams et de récupérer les pièces jointes qu’ils contenaient.
Deux millions de messages peut sembler énorme aux utilisateurs de messagerie car c’est bien plus de spams qu’ils n’en recevront jamais, mais cela correspond en fait au nombre de messages de Spam transmis sur Internet toutes les secondes !
Les résultats sont les suivants : 1,14% des messages de Spam que nous avons recueillis contenaient des pièces jointes. Bien que les messages de Spam soient potentiellement dangereux par nature (ils peuvent conduire les utilisateurs sur des sites de phishing, les impliquer dans des scams ou même, les arnaquer en leur faisant acheter des objets/médicaments de contrefaçon), certaines pièces jointes représentent des menaces encore plus importantes pour la sécurité des utilisateurs.
Une analyse plus approfondie des pièces jointes a révélé que 10% d’entre elles contenaient des malwares ou présentaient des formes de phishing. Ce nombre n’est peut être pas impressionnant au premier abord, mais l’extrapolation à l’échelle du phénomène - 264,6 milliards de messages de Spam envoyés par jour – permet d’annoncer qu’environ 300 millions de messages de Spam avec pièces jointes malveillantes et phishing sont envoyés tous les jours.
Fig.1 Poids des e-mails de Spam avec pièce jointe vs sans pièce jointe – échantillon de 2 millions de spams
La répartition des pièces jointes par type a révélé que 29,74% d’entre elles sont constituées de pages HTML (des offres de phishing ou ‘pseudo’ commerciales). Elles sont suivies par les fichiers archives (9,6%) et les fichiers DOC (6,26%). On trouve également fréquemment des images, des fichiers exécutables, des feuilles de calcul XLS. Les fichiers PDF et audio constituent moins de 1% de ces 2 millions de messages de spam.
Fig.2 Répartition des pièces jointes par type sur un échantillon de 2 millions de messages
Une attention particulière doit être portée à la présence de fichiers PDF intégrant des attaques de type Java scripts (JSs) et à la catégorie des fichiers DOC / DOCX. Il s’agit en effet d’un vecteur d’infections connu au niveau des entreprises puisque ces formats de fichiers sont fréquemment utilisés dans le cadre du travail en entreprise et ne sont pas bloqués par défaut par le pare-feu de l’entreprise.
La plupart des pièces jointes avec des fichiers exécutables contenaient des vers génériques de messagerie (Worm.Generic.24461 et Worm.Generic.23834), ainsi que des virus génériques (Win32.Generic.497472 et Win32.Generic.494775). Parmi les autres menaces ‘originales’ identifiées comme pièces jointes, on trouve des invitations à des réunions commerciales en tête-à-tête avec le spammeur, des publicités audio mais également des fichiers exécutables infectés par Win32.Worm.Mytob.C@mm, un Mass Mailer existant depuis 7 ans et tristement célèbre pour avoir interrompu en direct les services de CNN le 16 août 2005.
En conclusion, ils sont partout, ils se présentent sous toutes les formes, pour les éviter, il y a quelques précautions de base à prendre en permanence :
• Vérifier l’adresse de l’expéditeur : si vous avez un doute, faites une recherche sur Internet pour être certain que des utilisateurs n’ont pas rencontré de problèmes avec ce type d’email/expéditeur
• Lire entièrement le contenu de l’e-mail afin de détecter d’éventuelles fautes d’orthographe, des formats de dates inhabituels, des tournures de phrases improbables
• Se méfier de toutes notions d’urgence souvent utilisées par les spammeurs : « Dépêchez-vous », « Vite », « Sans tarder » ou de forme d’intimidation « vous êtes dans l’illégalité » « vous utilisez des programmes sans licence »…
• Installer une suite de sécurité performante, intégrant une fonctionnalité Antispam
Pour retrouver Bitdefender en ligne
|
