Top 10 des expressions les plus fréquentes dans les spams

Posted on 9 February 2012 by Stephane

Voici un petit TOP 10 des expressions les plus fréquentes dans les spams anglophones :

Meet Singles - Un des sujets les plus utilisés dans les spams à caractère pornographique.
Work From Home - Trés “vendeur” en ces périodes mouvementées…
Business Opportunity - Essentiellement utilisé pour les spams Nigériens (419).
Buy Direct - Une des phrases favorites des spammeurs souhaitant promouvoir des articles contrefaits ou des medicaments (viagra, cialis, plavix, crestor…).
Clearance - Les spammeurs adorent distiller un sentiment d’urgence pour inciter les victimes à agir sans trop réfléchir.
Pre-approved - Utilisé dans les spams financiers, en particulier pour promouvoir des crédits.
Hello - La fréquence de ette expression n’est pas spécifique aux spams, mais pour le spammeur elle présente l’avantage de créer un lien amical avec sa “victime”. Elle va penser que c’est une connaissance qui lui envoi un mail et elle va donc plus facilement consulter le message.
You Have Been Selected - Utilisé dans les spams ventant de prétendues lotteries.
Weight Loss - Pour promouvoir des médicaments sensés faire maigrir.
Limited Time - Utilisé dans les sujets des spams pour créer un sentiment d’urgence.

Spams exploitant des QR codes

Posted on 11 January 2012 by Stephane

Les spammeurs ne sont décidément pas à cours d’imagination. Leur dernière trouvaille: utiliser des QR codes dans leurs spams à destination des terminaux mobiles :

Spam QR code

Le spam s’apparente un un classique message pour mettre en avant divers produits pharmaceutiques, mais au lieu de contenir l’URL en clair vers le site à promouvoir, il contient un lien renvoyant vers le site 2tag.nl.
Ce service en ligne permet de générer un QR Code correspondant à une URL.
Dés lors, lorsque l’URL en @ 2tag.nl est chargée, le QR code est affiché.

Sachant que certain terminaux mobiles, vont charger automatiquement l’URL correspondant au QR code on comprend tout de suite l’intérêt de ce genre de technique pour les spammeurs.

Operation Ghost Click: Un réseau de 4 millions de botnets démantelé par le FBI

Posted on 11 November 2011 by Toorop

Après deux ans d’enquête le FBI à mis fin aux activités d’un réseau de PC zombies.

Initialisé en 2007, ce réseau c’est déployé par la diffusion du virus DNSChanger qui à infecté au final plus de 4 millions de machines a travers le monde. Ce botnet à été utilisé pour détourner les clics des utilisateurs des machines infectées (Click Hijacking), vers des bannières publicitaires générant ainsi de confortables revenus.
D’après les estimations du FBI, ces revenus, sur la période concernée, s’élèveraient à 14 millions de dollars US.

Les “tetes pensantes” du réseau, six Estoniens, ont été arrêtés, ils risqueraient jusqu’a 30 ans de prison.

Source FBI

[phishing] “AOL Administration Center Notification”

Posted on 3 November 2011 by Stephane

Une campagne de pollupostage utilisant les techniques du phishing est en cours.

Un mail semblant venir d’AOL annonce une notification en attente:

Hi,
You have 1 notification (#52472) from AOL Administration Center ®
Please follow the instructions to continue.
Thanks,
The AOL Mail Team

Voici une copie d’écran:

Si on suit le lien, contrairement à ce que l’on pourrait penser, on ne se retrouve pas sur un site contrefait qui à pour but de récolter les identifiants AOL, mais sur un “vulgaire” site de vente de médicaments.

Nouvelle fonctionnalité: classification des mails non importants ou non urgents

Posted on 26 September 2011 by Stephane

Après plusieurs semaines de test – un grand merci aux beta-testeurs – nous venons de mettre en production une nouvelle fonctionnalité à notre scanner.

Cette fonctionnalité apporte un nouveau type de classification en plus de SPAM et VIRUS, il s’agit de la classification BULK.

Globalement seront considérés comme BULK tous les mails issus d’envois massifs, typiquement il s’agit le plus souvent de mails publicitaires liés à des campagnes de marketing direct. Ce type de mails, ni urgents, ni importants “polluent” les boites de réception et diluent les mails importants les rendant moins accessibles.

En activant l’option depuis l’interface de gestion Protecmail les mails répondant aux critères de cette classification seront marqués à deux endroits:

Le sujet sera préfixé par [BULK]
Un header (entête) sera ajouté: X-PM-Scan: BULK

Ce marquage va vous permettre de créer des regles de distribution au niveau de votre serveur de messagerie ou de votre client de messagerie, pour classer les mails concernés dans un répertoire spécifique et ainsi éviter qu’ils polluent votre dossier de réception principal.

Voici par exemple une capture d’écran montrant les mails classifiés comme BULK par notre système :
Si vous souhaitez activer cette classification suivez les instructions décrites ici:
Comment activer la classification BULK sur un de mes domaines ?

Spam phishing Facebook : “You have X lost messages on Facebook…”

Posted on 24 September 2011 by Stephane

Un nouveau spam utilisant les techniques de phishing en se faisant passer pour une alerte Facebook prétendant que vous avez des messages perdu à consulter:

Comme souvent le lien renvois sur un site compromis qui contient un code javascript de redirection:

<script type="text/javascript">window.location="http://pillscioffline.com";</script>

Qui va renvoyer la victime sur un site de vente de médicaments:

Spam utilisant les techniques de phishing

Posted on 20 September 2011 by Toorop

Malgré les apparence ce mail n’est pas un phishing classique qui a pour but de récolter des identifiants Youtube ou Google.

Si on clique sur le lien, on n’arrive pas sur un site contrefait…. mais sur un classique vendeur de pilules bleues: