Récession économique, Barack Obama, Google Docs… autant de prétextes
que les spammeurs exploitent à l´envi pour perpétrer leurs attaques


Ahmedabad (Inde), le 22 janvier 2009

IMG/jpg/cyberoamlogo.jpg
Cyberoam, leader des solutions UTM axées sur l´identité des utilisateurs et division d´Elitecore Technologies, publie aujourd´hui son rapport sur les menaces e-mails pour le quatrième trimestre 2008, préparé en collaboration avec son partenaire Commtouch. Le rapport fait apparaître une importante chute de l´activité de spam au cours du mois de novembre qui, à 59 % (contre plus de 90 % les mois précédents), atteint l´un de ses plus bas niveaux. Ce net repli s´explique par la fermeture de McColo, société d´hébergement Web connue pour avoir proposé ses services à de nombreux spammeurs. L´activité de spam, qui tombe ainsi à environ un tiers des volumes habituels, s´est sensiblement rétractée au cours des trois premières semaines, avant de reprendre légèrement en fin de mois.



Autre fait marquant : la crise financière mondiale, une aubaine que les spammeurs n´ont pas hésité à exploiter pour leurrer les destinataires d´e-mail les plus incrédules en leur proposant des offres d´emploi, des prêts à la consommation ou des avances de trésorerie factices. Dans le même temps, les boîtes de messagerie des internautes ont été la cible de multiples spams et autres malware se rapportant aux élections américaines, l´intention des spammeurs étant ici de dérober les données personnelles de leurs proies en les incitant à cliquer sur des liens de phishing ou en installant des logiciels malveillants sur leurs ordinateurs.



Les spammeurs se sont largement inspirés de Barack Obama pour déclencher plusieurs vagues de spams et de malware, avec la diffusion de messages proposant de télécharger son discours lors de la Convention démocrate de septembre dernier ou faisant circuler la fausse rumeur d´un scandale sexuel impliquant le nouveau Président américain. Les messages étaient envoyés à partir de machines zombies – également désignées sous le terme de botnets : il s´agit le plus souvent d´ordinateurs de particuliers, contrôlés et frauduleusement utilisés par les spammeurs et les diffuseurs de malware en fonction de leurs besoins.



« Ces attaques sont de très courte durée et disparaissent avant même que leurs signatures ne soient détectées », déclare Abhilash Sonwane, vice-président de Cyberoam en charge de la gestion des produits. « Seul rempart face à de telles attaques, une solution comme celle que propose Cyberoam, à même de bloquer les spams en provenance de machines zombies en appuyant son analyse davantage sur la réputation des expéditeurs que sur leurs signatures. »



Les attaques perpétrées ont exploité des thèmes d´actualité en rapport avec l´Iran, l´Afghanistan, l´Inde, des sociétés comme Sony. Certains spams exploitent également le « filon » des personnalités comme Nicole Kidman, Bill Gates, Bill Clinton, en plus de Barack Obama. Veillant à varier les e-mails pour contourner les anti-virus et autres solutions anti-spam, les malfaiteurs ont fréquemment modifié le corps et l´objet de leurs messages. Mais parfois, objet et message ne concordaient pas, l´objet de l´e-mail annonçant par exemple Bill Gate et son contenu traitant de Barack Obama.



Les spammeurs ont utilisé des sites et des outils légitimes – services de messagerie en ligne, Google Docs – pour diffuser leurs logiciels malveillants. Exploitant la solide réputation de Google, ils ont notamment envoyé des messages comportant des liens hypertextes Google Docs, et ce pour passer outre les dispositifs anti-spam traditionnels.



« Pour détecter les spams et autres malware, il est donc important que la solution de sécurité axe son analyse sur le mode de diffusion des messages, une fonctionnalité assurée par Cyberoam avec le dispositif de détection rapide des modes de diffusion RPD (Rapid Pattern Detection) », ajoute Abhilash Sonwane. « En outre, les solutions de filtrage de contenu doivent aller au-delà des seules pages d´accueil : elles doivent également analyser le délai d´exécution et catégoriser les pages internes pour éviter que les internautes n´ouvrent des pages qui, bien qu´appartenant à des sites légitimes, sont porteuses de logiciels malveillants. »



Avec les sites et applications de Web 2.0, on observe également un volume croissant de contenus créés par les internautes, pouvant devenir facilement des vecteurs de codes malveillants. À noter également le retour en force des caractères chinois et des spams à base d´image, avec l´apparition de nouvelles techniques très pointues, à même de déstabiliser les technologies anti-spam. Il s´agit par exemple de la technique consistant à « faire pivoter l´image de quelques degrés seulement ».



Parmi les dix catégories de sites Internet les plus touchées par les attaques de malware et/ou de phishing, on peut notamment citer celle des sites de téléchargement et de fichiers en streaming. Ajoutons que le Brésil s´impose comme la zone géographique où l´activité de machines zombies est la plus importante. Parmi les autres tendances majeures, on peut également mentionner le taux de rotation élevé des machines zombies affichant une moyenne de 280 000 par jour.



Cyberoam s´appuie sur la technologie Commtouch RPDTM pour analyser d´importants volumes de trafic Internet en temps réel. Contrairement aux filtres habituels anti-spam, cette technologie ne repose pas sur le contenu de l´e-mail et, de ce fait, est en mesure de détecter les spams, dans toutes les langues et quel que soit leur format – y compris les spams au format image ou HTML, les spams comportant des caractères étrangers à la langue anglaise, ou encore les spams en simple ou double-octet. Par nature indifférent à la langue et au contenu du message, Commtouch RPDTM s´avère très efficace pour bloquer les spams. Cyberoam intègre cette technologie à ses boîtiers uniques de gestion unifiée des menaces (UTM ou Unified Threat Management), axés sur l´identité des utilisateurs. Singulièrement différente des approches traditionnellement centrées sur les adresses IP, la démarche de Cyberoam permet aux DSI de suivre avec précision l´utilisation de leurs infrastructures, leur donne les moyens d´assurer un contrôle renforcé de leurs politiques de sécurité et leur apporte une meilleure visibilité sur l´activité du réseau.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143312
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI