Internet et Entreprise : mirages et opportunités - 1.4.2.9.4 - Depuis l'été 2003, nouvelles technologies des spammeurs : robots "harvesters", virus pilleurs de carnets d'adresse, piratage de serveurs pour les envois, et chevaux de troie qui vous transforment en émetteur de SPAM à votre insu

[ Yolin | 2004 | Sommaire ]

1.4.2.9.4. Depuis l'été 2003, nouvelles technologies des spammeurs : robots "harvesters", virus pilleurs de carnets d'adresse, piratage de serveurs pour les envois, et chevaux de troie qui vous transforment en émetteur de SPAM à votre insu

Donc au début de l'été 2003, beaucoup poussaient un soupir de soulagement car ils avaient le sentiment que le problème était à peu près sous contrôle...

Mais catastrophe... en même temps que la canicule s'est progressivement développée une nouvelle stratégie des spammeurs (comme toujours les truands ont un coup d'avance sur la police!)

Nous voici confronté au gigantesque problème de la conjugaison entre les robots qui récoltent les adresses sur les sites (Harvesters), les pirates qui s'approprient les répertoires des serveurs de messagerie mal protégés (DHA: Direct Harvest Attack) et les virus qui vont les chercher dans vos carnets d'adresse

Il s'agit notamment des virus de la famille Sobig qui en était à sa version "F" en août 2003 et qui a réussi à contaminer au plus fort de son activité un message sur 17

Des experts en sécurité redoutent que l'auteur des différentes moutures du ver frappe à nouveau, motivé par l'argent. Selon eux, il semble monnayer la liste des ordinateurs infectés auprès de spammeurs

«Tout a été très bien planifié, conçu et exécuté», a indiqué Mikko Hypponen, directeur de la société F-Secure. Selon lui, il est probable que l'auteur du virus a monnayé la liste des ordinateurs infectés à des spammeurs. «Cette fois, nous sommes face à un virus créé pour une très bonne raison: l'argent»

http://www.zdnet.fr/actualites/technologie/0,39020809,39116064,00.htm

Alan Ralski, surnommé le roi du Spam, a déclaré avoir demandé à des développeurs roumains un nouveau vecteur de Spam permettant de contourner les firewall (p 260 du livre "les nouveaux habits du Spam" de Fréderic Aoun et Bruno Rasle www.halte-au-spam.com

Non contents de vous spammer "au premier degré" (ce qui n'est plus bien grave car avec des filtres on arrive à peu près à les éliminer ), les spammeurs usurpent maintenant souvent votre adresse pour

* envoyer des spams : outre quelques injures de personnes qui s'étonnent que des individus normalement fréquentables leur adresse de telles propositions, vous êtes submergés des "bounces" des vieux systèmes antispam et surtout des retours en erreur d'adresses périmées

Dans l'enquête de Pew Internet www.pewinternet.org/reports/pdfs/PIP_Spam_Report.pdf une des entreprises, dont l'identité avait été usurpée comme adresse d'expédition d'un SPAM (Florida holiday pacquage scam), raconte le calvaire qui fut le sien pour faire face aux mécontents (des centaines d'heures pour répondre) et les dommages créés à son image

Un autre dont l'adresse avait été utilisée pour vanter un site "pour adulte" explique qu'il a reçu 20.000 mails en retour, une centaine de virus en représaille, des messages de personnes déçues de ne pas trouver ce qu'elles recherchaient sur son site ... et la perte des facto de son courrier commercial noyé dans le maëlström

* envoyer des virus : comme la plupart des destinataires bénéficient de filtres antivirus vous recevez un monceau de messages d'alerte des filtres de "vos" innombrables "correspondants" que le virus a, en votre nom, tenté de contaminer

Pire encore, au delà du piratage de la fonction "Relai" de serveurs mal protégés (cf plus haut) les spammeurs ont développé des "chevaux de troie" qui créent sur votre ordinateur, à votre insu bien entendu, des proxy server qui leur permettent d'expédier leurs SPAM sur votre compte

d'après un article de www.lurhq.com/migmaf.html un spammeur aurait réussi à infecter des milliers d'ordinateurs grâce à un virus de type "cheval de Troie" ("wingate.exe" ou Migmaf) qui les dote d'un proxy serveur web et en "déménageant" ainsi de proxy toutes les 10 minutes : les pages appelées sont transférées à l'ordinateur piraté et de là appelées par le navigateur rendant impossible la localisation du "serveur maître". Pour appeler ce serveur maître et afin de brouiller encore plus les pistes il génère un nombre considérable d'adresses dont une seule est la bonne, mais comment savoir laquelle (le serveur maître déménageant lui aussi régulièrement)

Ce virus lui permet également d'envoyer son spam depuis la machine piratée, se mettant ainsi à l'abri d'éventuelles mesures de rétorsion qui s'abattent sur sa victime

D'après MessageLabs, 70% des SPAM sont maintenant émis depuis des ordinateurs ou serveurs piratés

Et là, votre filtre anti Spam est totalement sans effet sur ces messages d'erreur...: imaginons un envoi de 10 millions de spam sous votre identité dont 1% des adresses sont périmées et qui vous reviennent en erreur... ( ...or il ne vous en coûtera qu'une centaine de $ pour vous procurer une centaine de ... millions d'adresses)

Le Washington post du 9 juin relate qu'un message intitulé "funny sexy screensaver" s'est retrouvé dans les boites aux lettre du gratin de la politique et de l'administration américaine avec comme adresse d'émission celle d'un ancien directeur de la CIA (cité par Mille Milliards d'e-mail, coédition Irepp Acsel sept 2002)

Beaucoup d'entreprises n'ont pas encore pris conscience de cette évolution nous et se spamment mutuellement à cause du détournement des armes mises en place lors de la guerre précédente et qui se retournent désormais contre elles: les spammeurs les prennent à leurs propres pièges en faisant d'une pierre trois coups

: · La poursuite de cette stratégie vous prive de vrais messages (faux positifs) à cause du durcissement inapproprié de filtres structurellent inadaptés qui classe un message normal parmi les spam

· Elle vous vous conduit à être spammé par les victimes des vrais spammeurs : en faisant croire au système de défense de ces derniers que le message vient de vous, elle vous désigne comme cible pour leurs "bounce" contre lesquels vos protections sont sans effet (ce sont en effet des messages d'alerte "delivery error" de même type que ceux que vous recevez si vous faites une erreur sur le nom de votre destinataire ou si votre message était contaminé par un virus) : c'est ce que nous appellerons le "rétroSpam" qui représente un pourcentage de plus en plus grand des spams reçus et l'essentiel des nuisances aujourd'hui

· Elle risque de vous faire à tord blacklister car c'est vous qui êtes considéré comme à l'origine du Spam!!!

Tous ces SPAM remplissent votre boite aux lettre et bien vite celle-ci est pleine : vous perdez vos messages et votre correspondant reçoit un message d'erreur qui contribue à encombrer le réseau!