Les spécialistes de la sécurité numérique avaient prévu que 2015 allait être l’année du boom des attaques informatiques. Elle l’a été à bien des égards. Mais c’était aussi celle de la baisse des attaques aux spam pour des raisons… de coûts. Explications.
La proportion de spam (courriers non désirés) dans le flux de emails enregistrés en 2015 a été 55,28%, soit 11,48 points de pourcentage en moins qu’en 2014, selon « Kaspersky Security Bulletin. Spam and phishing in 2015 ». Si 15,2% des spam ont été « envoyés à partir des Etats-Unis », c’est la Russie qui « a subi le plus grand nombre d’attaques de phishing, avec 17,8% du total mondial ». Alors que 34,33% des attaques de phishing ont ciblé des « organismes financiers en ligne (banques, systèmes de paiement et les magasins en ligne) », indique le rapport de l’éditeur de logiciel antivirus. Avec 21,68%, le Japon est en tête du classement des utilisateurs uniques ciblés par des attaques de phishing. Selon la même source 79% des spam ont moins de 2 Ko.
Kaspersky a enregistré, dès le début de 2015, « une forte augmentation du nombre de nouveaux noms de domaines de premier niveau générique (New gTLD) utilisés pour distribuer les envois de masse » de spam et d’attaques de phishing. « Cela était dû à la croissance de l’intérêt des spammeurs pour le programme des New gTLD lancé en 2014 (…) dont l’objectif principal est de fournir aux organisations la possibilité de choisir une zone de domaine qui est conforme à leurs activités et les thèmes de leurs sites ».
Cependant, explique encore Kaspersky, ces nouvelles zones de noms de domaines sont « devenus une arène pour la distribution à grande échelle de spam » utilisée par les cybercriminels pour des « envois de masse ». Néanmoins, en et raison de la cherté des noms de domaine, les spammeurs n’utilisent plus des extensions liées aux thèmes des spam. Par exemple, si le thème du spam est de vous proposer une « rencontre avec une fille de votre entourage » et pour que ça fasse sérieux, le spammeur doit utiliser l’extension « .date » qui est réservée aux sites de rencontres. Mais l’achat d’un nom de domaine avec l’extension « .date » revient cher au spammeurs, car il n’est utilisé qu’une seule fois avant d’être bloqué par les organismes qui détectent les arnaques sur Internet. Ce qui fait qu’il y a « absence de lien entre le nom de domaine et le thème de spam » qui fait que les usagers ciblés s’en méfient le plus souvent. Il convient également de mentionner les cas de spam où aucun nom de domaine n’a été utilisé. Au lieu d’une URL (adresse web), un certain nombre d’envois de mails contenait un QR-code.
Les sources et les cibles
Parmi une vingtaine de pays à l’origine des spam, les Etats-Unis arrivent en tête des pays avec 15,16%, suivis de la Russie (6,15%), du Vietnam (6,13%), Chine (6,12%), Allemagne (4,24%), Ukraine (3,99%), France (3,17%), et l’Inde (2,9%). A noter que la vingtaine de pays totalise environ 72% de l’ensemble des spam enregistrés en 2015.
Egalement, parmi la vingtaine de pays ciblés par les spam, c’est l’Allemagne qui arrive en tête avec 19,06%, suivie du Brésil (7,64%), de la Russie (6,3%), de la Grande Bretagne (6,01%), des USA (4,92%), de la France (4,2%), l’Italie (3,87%) et la Chine (1,96%).
Dans le top 10 des programmes malicieux envoyés par email le plus populaire est « Trojan-Spy.HTML.Fraud.gen ». Ce programme est une fausse page HTML envoyé par courrier électronique qui imite une notification importante d’une grande banque commerciale, boutique en ligne, ou développeur de logiciels, etc. Cette menace apparaît comme un site HTML phishing où un utilisateur doit entrer ses données personnelles, ce qui est par la suite transmis à des cybercriminels ». D’autres menaces, comme « Trojan-Downloader.HTML.Agent.aax », « Trojan-Downloader.HTML.Meta.as. » et « Trojan-Downloader.HTML.Meta.ay », sont des pages HTML qui, lorsqu’elle sont ouvertes, elles redirigent vers un site malveillant. Ce site « offre » en téléchargement une version malicieuse de « Binbot », un logiciel de téléchargement de fichiers sur Usenet, mais qui est en fait un robot qui redirige les utilisateurs vers les sites truqués.
Organisations sous attaques
Parmi les organisations les plus attaquées par attaques de phishing en 2015, les portails Internet globaux, comme Yahoo !, MSN et Google, avec 31,87%, les sites de réseaux sociaux (16,4%), les banques (17,45%), les systèmes de e-paiement (7,8%), les magasins en ligne (9,08%), mais également le opérateurs de téléphonie mobile et les providers Internet (5,5%). Avec 14,17%, Yahoo ! a été le plus utilisé dans l’envoi d’emails de phishing, contre 23,3% en 2014, ce qui indique que le site est entrain de mener une guerre contre les faux domaines.
Pour 2016, Kaspersky prévoit une « hausse » du nombre de messages malveillants et frauduleux, ainsi que des noms de domaines utilisés par les pirates. Outre leurs « trucs habituels » les hackers pourraient aussi se tourner plus vers le « thème mobile » qui « peut aussi devenir une autre arme dans l’arsenal des cybercriminels pour propager des programmes malveillants et les spam frauduleux ».