Viruslist.com - L'évolution du Spam
Page d'accueil / Spams / A propos du Spam / Evolution du Spam
L'évolution du Spam
Les débuts
Le spam (publicité non sollicitée envoyée en masse via email) a fait son apparition pour la première fois au milieu des années 1990 i.e. dès que suffisamment de gens utilisaient l'email pour en faire un média rentable. Dès 1997, le spam fut considéré comme un problème et la Real-Time Black List (RBL) ou liste noire est apparue cette même année.
Les techniques des spammeurs ont évolué face à l'amélioration constante des filtres. Dès que les sociétés de sécurité développent des filtres efficaces, les spammeurs changent leurs tactiques pour les contourner. On tombe dans un cercle vicieux où les spammeurs ré-investissent leurs profits dans le développement de nouvelles techniques pour leurrer les filtres de spam. La situation a tourné en spirale infernale.
Le développement des techniques de spammeurs
Mailing direct
A l'origine, le spam était envoyé directement aux utilisateurs. En fait les spammeurs n'avaient même pas besoin de déguiser l'information concernant l'expéditeur. Ce spam était facile à bloquer : il suffisait de mettre sur liste noire l'expéditeur en question ou l'adresse IP utilisée. En guise de contre-attaque, les spammeurs ont commencé à masquer les adresses d'expéditeurs (techniques du spoofing par exemple).
Serveur Relais Ouvert (Open Relay)
Au milieu des années 90, tous les serveurs de messagerie était en relais ouvert – tout expéditeur pouvait envoyer un email à n'importe quel destinataire. Les spams et autres problèmes liés à la sécurité ont conduit les administrateurs à reconfigurer les serveurs de messagerie dans le monde entier. Mais le processus s'est avéré relativement long et tous les propriétaires de serveurs de messagerie et administrateurs n'étaient pas tous prêts à coopérer. Une fois la procédure engagée, les spécialistes de la sécurité ont scanné les réseaux à la recherche de serveurs relais ouvert restants. Les listes noires ont été mises à la disposition, des administrateurs soucieux de bloquer le mail en provenance de serveurs listés. Par ailleurs, les serveurs relais ouverts sont encore de nos jours utilisés pour le mailing de masse .
Pool de Modem
Sitôt que l'envoi de spams par relais ouvert est devenu moins efficace, les spammeurs s'en sont remis aux connections dial-up. Ils exploitaient la façon dont les fournisseurs d'accès à Internet (ISP) structuraient leurs services dial-up et utilisaient les faiblesses du système :
Par définition, un serveur de messagerie ISP fait suivre les messages entrants en provenance de clients.
Les connections dial-up sont supportées par des adresses IP dynamiques. Les spammeurs peuvent alors utiliser une nouvelle adresse IP pour chaque session de mailing.
Pour contrer les combines des spammeurs, les fournisseurs ISP ont commencé à limiter le nombre d'emails qu'un utilisateur peut envoyer lors d'une session. Des listes d'adresses dial-up suspectes, et des filtres bloquants les mails en provenance de ces adresses ont commencé à fleurir sur le Net.
Serveurs Proxy
Le nouveau millénaire a vu les spammeurs passer aux connections Internet haut débit et exploiter les vulnérabilités du hardware. Les connections câble et ADSL ont permis aux spammeurs d'envoyer du mailing de masse rapidement et à moindre frais. En plus de cela, ces troubleurs de fête ont rapidement découverts que la plupart des modems ADSL avaient des serveurs socks intégrés ou des serveurs proxy http. Ces derniers sont de simples utilitaires qui divisent un canal Internet entre des ordinateurs multiples. Le facteur principal est que n'importe qui, de n'importe où dans le monde, pouvaient avoir accès à ces serveurs puisqu'ils étaient démunis de toute protection. En d'autres termes, les rusés pouvaient utiliser les connections ADSL de personnes tierces pour faire ce qu'ils voulaient, y compris bien sûr envoyer du spam. De plus, le spam semblait avoir été envoyé depuis l'adresse IP de la victime. Etant donné que des millions de personnes dans le monde avaient ce type de connections, les spammeurs ont pu s'en donner à coeur joie avant que les développeurs de hardware commencent à sécuriser leur équipement.
Zombie ou réseaux de Bot
En 2003 et 2004, les spammeurs ont envoyé la majorité de leur mailing depuis des machines appartenant à des internautes ignorants et par conséquent à leur insu. Les spammeurs utilisent le malware pour installer des Trojans sur des machines d'utilisateurs, les laissant ouverts pour tout usage à distance. Les méthodes déployées pour infiltrer les machines victimes comprennent :
Trojan droppers et downloaders injectés dans des logiciels pirates distribués via réseaux P2P de partage de fichiers (Kazaa, eDonkey etc.).
Exploitation de vulnérabilités dans Windows Microsoft et dans les applications fortement utilisées à savoir IE & Outlook.
Les vers de messagerie
Celui qui possède le module de contrôle du Trojan qui a infecté une machine, contrôle la machine ou le réseau des machines victimes. Le réseau infecté s'appelle alors réseau de bot et ces derniers sont vendus et commercialisés auprès des spammeurs.
Les analystes estiment que les Trojans sont installés sur des millions de machines dans le monde. Les Trojans modernes sont assez sophistiqués pour télécharger leurs propres nouvelles versions, ainsi que pour exécuter des commandes depuis des sites spécifiques ou des canaux IRC (Internet Relay Chat), envoyer du spam, mener des attaques de DDos et plus encore.
Le contenu du spam
Analyse du contenu
Nombreux sont les filtres anti-spams qui analysent le contenu du message: le sujet et le corps du message ainsi que les fichiers attachés. Les spammeurs d'aujourd'hui dépensent beaucoup sur le développement du contenu qui arrivera à duper les filtres.
Texte simple et HTML
A l'origine, le spam était basique: des messages identiques envoyés à partir d'une mailing liste. Ces emails étaient facilement repérables vu la quantité de textes identiques.
Email personnalisé
Les spammeurs ont ensuite inclus des voeux basés sur l'adresse du destinataire. Puisque chaque message contenait des voeux personnalisés, les filtres qui bloquaient les messages identiques ne détectaient pas ce type de spam. Les experts en sécurité ont développé des filtres qui identifiaient les lignes qui demeuraient identiques. Ils ont développé également les signatures floues destinées à détecter les textes dont les changements sont mineurs.
Textes aléatoires et textes invisibles
Les spammeurs placent souvent des chaînes de textes collectées dans de la correspondance d'affaires véritable ou bien, des textes aléatoires au début ou à la fin des emails afin de leurrer les filtres de contenu. Une autre méthode pour contourner les filtres consiste à inclure un texte invisible dans les emails au format html : le texte est alors trop petit pour être vu ou alors la couleur de la police est la même que celle du fond.
Ces deux méthodes sont relativement efficaces contre les filtres d'ordre statistiques et de contenu. Les analystes ont réagi en développant des moteurs de recherche qui scannaient les emails à la recherche de textes de ce genre, et qui s'accompagnait d'analyse html détaillée, et d'analyse de contenu sophistiquée. La plupart des solutions antispam étaient capables de détecter de tels ruses sans même analyser le contenu des emails individuels en détail.
Spam graphique
L'envoi de spam sous forme graphique est très dur à détecter. Les analystes sont à l'étude concernant des méthodes d'extraction et d'analyse de texte contenu dans les fichiers graphiques.
Paraphrases de textes
Une simple publicité peut être reformulée à l'infini, faisant chaque message individuel apparaître comme un message légitime. Par conséquent, les filtres antispams doivent être configurés en utilisant un grand nombre d'échantillons pour que de tels messages soient considérés comme spam.
En Résumé
Ces derniers temps, les spammeurs emploient les trois dernières méthodes explicitées ci-dessus en les compilant de manière variée. De nombreuses solutions antispam sont incapables de les détecter toutes les trois. Aussi longtemps que le spam sera rentable, les utilisateurs d'antispam de mauvaise qualité continueront de voir leur boite aux lettres noyée sous la publicité.
jeudi 21 octobre 2010
Inscription à :
Publier les commentaires (Atom)
Aucun commentaire:
Enregistrer un commentaire