Kaspersky Spam Report Dec11 FR

Courrier indésirable en décembre 2011
Maria Namestnikova
Sommaire
Décembre en chiffres ...................................................................................................... 2
Survol des principaux événements du mois .................................................................... 2
Survol statistique ............................................................................................................. 5
Pays, source du courrier indésirable ............................................................................ 5
Pièces jointes malveillantes dans le courrier ............................................................... 6
Phishing ....................................................................................................................... 9
Sujets du courrier indésirable .................................................................................... 10
Conclusion..................................................................................................................... 10
Décembre en chiffres

Par rapport au mois de novembre, la part du courrier indésirable dans le trafic de
messagerie a diminué de 4,4 % pour atteindre 76,2 % en moyenne.

Par rapport au mois de novembre, la part de messages de phishing dans le trafic
de messagerie n'a pas changé et représente 0,02 %.

Au mois de décembre, 4 % des messages électroniques contenaient des fichiers
malveillants, soit 1 % de plus que le mois passé.
Survol des principaux événements du mois
Coupons pour courrier indésirable
Les services qui offrent des coupons sont très populaires dans de nombreux pays. Il
s'agit de services en ligne qui proposent des ristournes collectives aux utilisateurs.
Quand il achète un coupon, l'utilisateur achète le droit d'obtenir un bien ou un service
déterminé avec une remise importante. En général, cette remise est octroyée si un
nombre X de personnes achète le coupon.
Les petites et moyennes entreprises dans divers pays optent progressivement pour ces
services au détriment de la publicité dans le courrier indésirable. Plusieurs facteurs
expliquent cet état de fait : tout d'abord, ces services sont parfaitement légaux, à la
différence du courrier indésirable ; deuxièmement, le mode de diffusion de la publicité
est très similaire : les services qui offrent des coupons diffusent les informations parmi
leurs clients (mais à la différence du courrier indésirable, ces diffusions ne sont pas
bloquées par les filtres antispam). Outre les notifications par courrier électronique, les
informations relatives à un bien ou un service sont également diffusées sur Internet, ce
qui augmente le public potentiel. Troisièmement, la probabilité de décrocher de
nouveaux clients à l'aide d'un coupon est assez élevée : ces services ne suscitent pas
les mêmes niveaux de méfiance que le courrier indésirable et les messages sont remis
à un public cible intéressé par l'achat de coupons.
L'influence des services qui proposent des coupons sur le trafic de messagerie et la
publicité en ligne ne pouvait pas passer inaperçue aux yeux des diffuseurs de courrier
indésirable. Les diffuseurs de courrier indésirable ont compris que le mot "coupon"
suscite plus d'intérêt chez le destinataire que le terme "remise" car un coupon est une
sorte de remise pour un groupe de personnes sélectionnées.
Ainsi, les diffuseurs de courrier indésirable pharmaceutique allemand sont parvenus à
la conclusion que l'expression "coupon conditionnel" augmentait la demande pour les
médicaments qu'ils vendaient :
Exemple de message non sollicité qui utilise un "coupon conditionnel"
Même si le destinataire ne comprend pas l'allemand, il peut reconnaître facilement le
mot "coupon" sur la capture d'écran présentée. On peut voir également que la remise
offerte par les diffuseurs de courrier indésirable est modeste : seulement 10 %.
Et ce n'est pas le seul cas où l'attention des utilisateurs sur des produits qui bénéficient
d'une grande publicité dans le courrier indésirable (par exemple, les produits
pharmaceutiques ou les copies d'articles de luxe) est captivée par la promesse d'un
coupon.
Comme toujours, nous conseillons aux utilisateurs d'être prudents. Jusqu'à présent,
nous n'avons encore détecté aucune pièce jointe malveillante présentée sous la forme
d'un coupon, mais nous nous attendons à que ce phénomène se manifeste
prochainement dans le courrier indésirable. Tout ce qui est populaire sur Internet est
adopté d'une manière ou d'une autre par les diffuseurs de courrier indésirable. En
général, ces nouveautés sont d'abord utilisées par les participants aux partenariats qui
diffusent du courrier indésirable pour des médicaments ou des copies d'articles de luxe.
Ils sont suivis ensuite par les diffuseurs de code malveillant.
Il ne faut pas non plus oublier que la perte des données d'identification sur un site
d'achat groupé peut signifier la perte de l'argent qui pourrait être présent sur le compte
de l'utilisateur. Pour cette raison, il convient de rappeler qu'aucun des grands noms
parmi les sites d'achat groupé ne demandera jamais aux utilisateurs d'envoyer leur nom
d'utilisateur et leur mot de passe par courrier électronique. De plus, avant de saisir
n'importe quelle donnée d'identification, il convient de confirmer que l'adresse de la
page sur laquelle vous vous trouvez est bel et bien correcte.
Le calme avant Noël
On observe traditionnellement une accalmie dans les diffusions de courrier indésirable
vers la fin de l'année. Au cours de cette période, une grande partie des ordinateurs qui
appartiennent à des réseaux de zombies sont éteints. C'est la saison des congés et des
vacances d'hiver. L'activité économique ralentit également de manière sensible. Les
utilisateurs dépensent leur argent pour les cadeaux de Noël et de Nouvel An et
s'abstiennent de réaliser d'autres dépenses. Les commanditaires de publicités
connaissent les particularité de la saison et pour cette raison, ils ne perdent pas leur
temps en campagnes publicitaires inutiles. De plus, les diffuseurs de courrier
indésirable aiment bien se reposer également.
L'année 2011 n'aura pas été une exception. La part de courrier indésirable au cours du
dernier mois de l'année a reculé de 4,4 %.
Part du courrier indésirable dans le trafic de messagerie en novembre et
décembre 2011
Ceci étant dit, la part de messages non sollicités exploitant le thème de Noël et de
Nouvel An a quant à elle augmenté, depuis le mois de novembre. Au cours de l'avantdernière semaine du mois de décembre, elle dépassait 10 %.
A l'issue du mois, la part de ce genre de courrier indésirable avait représenté en
moyenne 6,8 %.
Par du courrier indésirable exploitant le thème de Noël et du Nouvel dans le trafic
de messagerie de décembre 2011
Survol statistique
Pays, source du courrier indésirable
Pays, source de courrier indésirable en décembre 2011 (Top 20)
L'Inde occupe la première place du classement des pays source de courrier indésirable
au mois de décembre. La part de courrier indésirable envoyé depuis ce pays a
augmenté de 0,34 % par rapport au mois précédent.
L'Inde est suivie de trois pays dont la part de courrier indésirable dans le trafic de
messagerie mondial a augmenté de plus de 3 % par rapport au mois de novembre :
Indonésie (+3,55 %), Brésil (+3,5 %) et Pérou (+3,5 %). Parallèlement à cela, la part de
la Corée du Sud, qui occupait la deuxième position en novembre, a reculé de 2,85 % et
ce pays se retrouve en cinquième position.
L'autre modification remarquable du classement est la chute du Royaume-Uni de la
septième à la dix-septième place. La part de courrier indésirable envoyée depuis ce
pays a reculé de 2,31 %. Il est intéressant de constater que ce pays occupait toujours la
huitième position au cours de la première semaine du mois de décembre. Au cours de
la dernière semaine, il était en 53e position. Cette dégringolade de la Grande-Bretagne
dans le classement du mois de décembre s'explique tout d'abord par les vacances : la
grande majorité des employés anglais ont pris leur vacances à Noël et n'ont pas allumé
leurs ordinateurs au bureau ou à la maison.
La part des autres pays du classement n'a que très peu changé (aux alentours de 1 %).
Pièces jointes malveillantes dans le courrier
Au mois de décembre, 4% des messages électroniques contenaient des fichiers
malveillants, soit 1% de plus que le mois passé.
Répartition des déclenchements de l'Antivirus Courrier par pays en décembre
2011
Au mois de décembre, les Etats-Unis occupaient toujours la deuxième place du
classement au niveau des déclenchements de l'Antivirus Courrier. Ils atteignent
presque le niveau de la Russie qui mène toujours le classement. La part de détections
de l'Antivirus Courrier aux Etats-Unis était de 15,1 % en décembre, soit 0,9 % de plus
qu'au mois précédent. De son côté, la part de déclenchements de l'Antivirus Courrier en
Russie a reculé de 4,9 % et atteignait 15,3 %.
Au mois de décembre, l'Australie a progressé de la dixième à la cinquième place. Par
rapport au mois de novembre, la part de ce pays a augmenté de 2,6 %.
Notons l'arrivée en quatrième position de Honk Kong et de la Chine en dixième. La
région administrative spéciale de la République populaire de Chine représente 7,4 %
des déclenchements de l'Antivirus Courrier, alors que pour le reste de la Chine, les
déclenchements de l'Antivirus Courrier de Kaspersky sont près de 2,5 fois moindre
(2,8 % de l'ensemble des déclenchements).
Top 10 des programmes malveillants diffusés par courrier en décembre 2011
Parmi les programmes les plus souvent détectés par notre Antivirus Courrier, nous
retrouvons encore en première position Trojan-Spy.HTML.Fraud.gen. La part des
déclenchements imputables à ce programme a reculé une fois de plus de 1 % et
représente 11 %. Vous vous en souviendrez, Trojan-Spy.HTML.Fraud.gen est un
programme malveillant qui se présente sous la forme d'une page HTML qui imite la
page d'ouverture de session sur le site d'une entité financière ou d'un service en ligne
quelconque.
En deuxième position, nous retrouvons une fois de plus Email-Worm.Win32.Mydoom.m,
un ver de messagerie qui ne remplit que deux fonctions : la collecte d'adresses de
messagerie sur les ordinateurs infectés et la diffusion de ses copies vers celles-ci.
Email-Worm.Win32.NetSky.c, qui occupe la dixième position, possède une fonction
similaire. Un autre ver de messagerie qui figure dans le Top 10 du mois de décembre
est Email-Worm.Win32.Bagle.gt que l'on retrouve en cinquième position. Outre la
fonctionnalité déjà citée pour les vers de messagerie traditionnel, ce programme
malveillant contacte également des ressources sur Internet pour télécharger d'autres
programmes malveillants.
De la septième à la neuvième place du Top 10 des programmes malveillants les plus
souvent détectés en décembre par notre logiciel antivirus, nous retrouvons des chevaux
de Troie téléchargeurs classiques : Trojan-Downloader.Win32.Agent.tpes,
Trojan.Win32.Yakes.jyh et Trojan.Win32.MokesLoader.dp. Une fois qu'ils sont installés
sur l'ordinateur, ils contactent une ressource de réseau définie et y récupèrent des liens
pour le téléchargement d'autres programmes malveillants.
Le cheval de Troie de la famille Trojan.Win32.Pakes que l'on retrouve en 6e position est
un compacteur utilisé pour empêcher la détection d'autres programmes malveillants par
les logiciels antivirus.
Phishing
Par rapport au mois de novembre, la part de messages de phishing dans le trafic de
messagerie n'a pas changé et représente 0,02%.
Top 10 des organisations victimes d'attaques de phishing*
*Le classement repose sur la part d'URL de phishing réparties à travers Internet. Il
n'indique pas le niveau de danger des organisations indiquées mais se contente
d'illustrer la popularité de divers services parmi les auteurs d'attaque de phishing. Les
auteurs d'attaque de phishing préfèrent attaquer les services les plus utilisés et les plus
appréciés des utilisateurs.
En décembre, le Top 5 des organisations est resté inchangé. Il s'agit de PayPal (+5 %),
Habbo (+1 %), eBay (-2,7 %), Facebook (-3,6 %) et Santander (+0,2 %).
La part d'attaques contre Facebook a été divisée presque par deux depuis le mois de
novembre.
Le reste du Top 10 n'a été également que très peu modifié par rapport au mois
antérieur. Il est toutefois intéressant de constater l'entrée en 6e position de la
compagnie aérienne TAM (3,7 %) et la disparition du fisc américain (IRS). Ces
modifications sont simples à expliquer : le délai pour la rentrée des déclarations
d'impôts aux Etats-Unis est écoulé, ce qui fait que l'IRS n'est plus vraiment intéressant
pour les individus malintentionnés. Et pendant les vacances, de nombreux voyageurs
réservent des billets d'avion en ligne et les individus malintentionnés exploitent cette
tendance en présentant leurs sites d'escroquerie sous les traits de sites de compagnies
aériennes.
Sujets du courrier indésirable
Catégorie du courrier indésirable en décembre 2011
Les trois sujets principaux du courrier indésirable anglophone sont les mêmes qu'au
mois de novembre. Ils ont simplement permuté de place. Les messages d'escroquerie
sont les plus fréquents (comme en novembre). La part de ces messages à l'approche
de Noël et du Nouvel An a augmenté de 12,8 %. Le courrier indésirable financier est
passé de la deuxième à la troisième position. Par rapport au mois de novembre, la part
de ce type de courrier indésirable a reculé de 4,3%. La deuxième place revient au
courrier indésirable faisant la publicité de divers biens et services, même si cette
catégorie enregistre également un léger recul (-2,4 %).
La présence de ces catégories dans le courrier indésirable du mois de décembre est
liée à la crise du secteur financier et à l'approche des fêtes de fin d'année. La catégorie
"Biens et services divers" reprend les messages faisant la publicité de marchandises en
rapport, d'une manière ou d'une autre, avec Noël. Il s'agit d'articles de décoration pour
la maison et la table et de cadeaux pour la famille et les proches. La période des fêtes
est associée à une augmentation des dépenses et les diffuseurs de courrier indésirable
à la recherche d'argent inondent le courrier de divers messages qui proposent des
crédits ou des formes douteuses de gagner de l'argent (dans notre classement, ces
messages appartiennent à la catégorie Finances personnelles).
Les escrocs sont également plus actifs au cours de cette période car dans la majorité
des cas, les utilisateurs paient leurs achat en ligne et bien souvent, ils sont moins
attentifs dans cette période agitée.
Conclusion
Dans l'ensemble, le mois de décembre aura été calme au niveau du courrier
indésirable. La part des messages indésirables dans le courrier a diminué, ce qui
s'explique par les vacances d'hiver : de nombreux ordinateurs qui appartiennent à des
réseaux de zombies restent éteints et l'activité économique en général ralentit.
Un volume important de messages faisait la publicité de biens et de services en rapport
avec Noël, ce qui était parfaitement prévisible. Il convient de signaler que l'écrasante
majorité de ces messages est le fruit de l'activité des programmes de partenariats
saisonniers.
La tendance regrettable de toute l'année, et qui se sera manifestée en décembre, est
l'augmentation du courrier indésirable malveillant. En décembre, de nombreux
messages malveillants exploitaient le thème de Noël. De plus, une grande partie de ces
messages était présentée sous les traits de magasins en ligne ou d'enregistrements de
commande.
Au cours de l'année qui vient, le pourcentage de courrier indésirable malveillant ne va
pas diminuer. La seule différence est que les individus malintentionnés vont chercher
d'autres astuces pour diffuser les programmes malveillants.
Le début du mois de janvier se caractérise traditionnellement par une accalmie dans le
courrier indésirable. On peut supposer que le début de l'année 2012 ne fera pas
exception à cette bonne vieille règle.