La première semaine de février 2013 a marqué une augmentation notable de l’usurpation de courriels, en particulier à partir des serveurs de Yahoo. La partie effrayante est que les listes utilisées datent de 3 à 4 ans, ce qui a entraîné des situations gênantes… Les utilisateurs ont déclaré avoir reçu des courriels de leurs ex-petites amies, ou pire, de personnes décédées! 🙁

Maintenant, pensez-y. Vous recevez un courriel d’un ami. L’adresse complète de (nom/courriel) est légitime, l’IP entrante est également légitime (Yahoo) et les 2-3 autres destinataires dans le champ TO sont des amis ou des parents. Le courriel entrant ressemble à ceci :

-=-=

Hé, regardez ça http://youwillgetinfectedifyouclickhere.com/bythewaythisisafakeURL/main.html

-=-=

Et devinez quoi? Dans la plupart des cas, les filtres anti-spam ne fonctionnent pas du tout puisque l’expéditeur est probablement dans la liste de confiance du destinataire!!

Nous avons détecté plus de 500 URL différentes au cours de la dernière vague seulement, et environ 7 000 domaines différents pour le mois complet. La plupart d’entre eux sont des liens liés à la pharmacie ou aux pilules, mais il y a aussi des logiciels malveillants (Ding dong, Java exploit knocking!)

Bien sûr, certaines URL sont évidentes : liens vers des scripts PHP malveillants, des modèles, etc. Néanmoins, le problème ne cesse de croître et les utilisateurs tombent dans les pièges.

Alors, comment l’utilisateur est-il censé savoir si un courriel est un pourriel ou non, s’il provient d’un nom/adresse IP de confiance? Comment l’administrateur est-il censé bloquer ce genre de courrier sans créer de faux positifs? Par réputation? Oui, les « grands » sont définitivement profondément endormis. J’ai fait des statistiques complètes sur 24 heures juste pour le plaisir et PLUS de 70% des pourriels entrants proviennent des serveurs Yahoo, Gmail et Hotmail.

Les bloquer est impensable. Pour le moment.