Les spammeurs utilisent des techniques et des programmes spécifiques pour générer et diffuser les milliards de spams qui sont envoyés chaque jour (ce qui représente entre 60 % et 90 % du trafic d’e-mails total). Cela demande un investissement considérable en temps et en argent.
L’activité du spammeur peut se décomposer selon les étapes suivantes :
- Collecte et vérification d’adresses, triage des adresses par groupes (de cibles)
- Création de plateformes pour du mailing de masse (serveurs et/ou ordinateurs particuliers)
- Écriture de programmes de mailing de masse
- Promotion des services de spammeurs
- Élaboration de textes pour des campagnes spécifiques
- Envoi de spams
Toutes les étapes sont effectuées indépendamment les unes des autres.
Collecte et vérification d’adresses, création de listes d’adresses
La première étape du travail d’un spammeur consiste à créer une base de données d’adresses. Chaque entrée ne doit pas seulement contenir une adresse e-mail, elle doit aussi comporter des informations complémentaires telles que l’emplacement géographique, le domaine d’activité (pour les entrées d’entreprises) ou les centres d’intérêt (pour les entrées de particuliers). Une base de données peut contenir des adresses provenant de fournisseurs de messagerie spécifiques, comme Yandex, Hotmail et AOL, ou de services en ligne, comme PayPal et eBay.
Plusieurs méthodes sont typiquement utilisées par les spammeurs pour collecter des adresses :
- Usurpation d’adresses en utilisant des combinaisons de mots et de nombres fréquents (par exemple, john@, destroyer@, alex-2@)
- Usurpation d’adresses par analogie – s’il existe une adresse vérifiée joe.user@yahoo.com, alors une recherche est effectuée sur joe.user@hotmail.com, @aol.com, PayPal, etc.
- Scan de ressources publiques, telles que des sites Web, des forums, des sites de discussion, des bases de données Whois et Usenet News, pour trouver des combinaisons de mots (par exemple, mot1@mot2.mot.3, où mot3 est un domaine très courant tel que .com or .info)
- Vol de bases de données depuis des services Web ou des FAI, etc.
- Vol de données personnelles d’utilisateurs à l’aide de virus informatiques ou de programmes malveillants.
Généralement, la plupart des bases de données sont créées en suivant la troisième méthode. En effet, les ressources publiques comportent souvent des indications sur les préférences de l’utilisateur, ainsi que d’autres informations personnelles comme le sexe, l’âge, etc. Les bases de données volées depuis des services Web ou des FAI peuvent également contenir des informations qui permettent aux spammeurs de personnaliser et de cibler leurs mailings.
Le vol de données personnelles, telles que des carnets d’adresses de clients, est une innovation récente, mais redoutablement efficace étant donné que la majorité des adresses sont actives. Malheureusement, les récentes épidémies de virus ont démontré que de grands systèmes sont encore dépourvus de solution antivirus appropriée ; cette méthode sera donc employée avec succès jusqu’à ce que ces systèmes soient protégés correctement.
Une fois qu’une base de données a été créée, il est nécessaire que les adresses soient vérifiées avant de pouvoir être vendues ou utilisées pour du mailing de masse.
- Test initial de mailing. Un message avec un texte quelconque, prévu pour éviter les filtres anti-spams, est envoyé à toute la liste d’adresses. Les connexions aux serveurs de messagerie sont analysées pour déterminer si les adresses sont actives ou obsolètes, et la base de données est modifiée en conséquence.
- Une fois que les adresses ont été vérifiées, un second message est souvent envoyé pour vérifier que les destinataires lisent leurs courriers. Par exemple, le message peut contenir un lien vers une image se trouvant sur un serveur spécifique. Après que le message a été ouvert, l’image se télécharge automatiquement et le site Web enregistrera l’adresse comme active.
- La méthode la plus efficace pour s’assurer qu’une adresse est active consiste à utiliser une technique d’ingénierie sociale. La plupart des utilisateurs finaux savent qu’ils ont le droit de se désinscrire d’une liste de mailing non sollicitée. Les spammeurs en profitent pour envoyer des messages avec un bouton de » désabonnement ». Les internautes cliquent alors dessus et reçoivent un message annulant soit disant leur inscription. A la place, le spammeur reçoit la confirmation que l’adresse en question n’est pas seulement valide, mais que l’utilisateur est également actif.
Cependant, aucune de ces méthodes n’est infaillible, et toute base de données de spammeurs contiendra un grand nombre d’adresses inactives.
Création de plateformes pour du mailing de masse
Actuellement, les spammeurs utilisent l’une des trois méthodes de mailing de masse suivantes :
- Envoi direct d’e-mails depuis des serveurs de location.
- Utilisation de serveurs de relais et de proxy ouverts – serveurs qui ont été mal configurés et qui sont donc libres d’accès.
- Création de botnets, réseaux de machines zombies infectées par un logiciel malveillant, en général un cheval de Troie, qui permettent aux spammeurs d’utiliser ces machines comme plateformes pour du mailing de masse à l’insu des propriétaires.
La location de serveurs est problématique, étant donné que les organisations anti-spams contrôlent le mailing de masse et inscrivent rapidement des serveurs sur des listes noires. La plupart des FAI et des solutions anti-spams utilisent des listes noires pour identifier le spam. Cela signifie qu’une fois que le serveur a été placé sur une telle liste, il ne peut plus être utilisé par les spammeurs.
L’utilisation de serveurs de relais et de proxy ouverts coûte beaucoup de temps et d’argent. Tout d’abord, les spammeurs doivent écrire et suivre des robots qui recherchent des serveurs vulnérables sur Internet. Ensuite, les serveurs doivent être infiltrés. Cependant, il arrive souvent qu’après un mailing de masse réussi, ces serveurs soient détectés et inscrits sur une liste noire.
En conséquence, la plupart des spammeurs préfèrent maintenant créer ou acheter des réseaux de botnet. Les auteurs de virus professionnels utilisent diverses méthodes pour mettre en place et maintenir ces réseaux :
- Les logiciels piratés sont des supports de choix pour propager des codes malicieux. Etant donné que ces programmes sont souvent transmis par des réseaux de partage de fichiers, tels que Kazaa et eDonkey, les réseaux sont eux-mêmes pénétrés, et même les utilisateurs qui n’utilisent pas de logiciels piratés sont exposés.
- Exploiter les failles des navigateurs, en particulier de MS Internet Explorer, est très fréquent. Il existe un grand nombre de ces failles qui rendent possible l’infiltration d’un ordinateur depuis un site visité par un utilisateur. Les auteurs de virus exploitent ces failles dans la sécurité et créent des chevaux de Troie, ainsi que d’autres logiciels malveillants, pour s’infiltrer dans la machine des victimes, s’offrant un contrôle total des machines infectées. Par exemple, les sites pornographiques et autres sites semi légaux sont très souvent attaqués par des chevaux de Troie. Ces programmes infectent ensuite l’ordinateur des utilisateurs, qui pensaient que ces sites étaient sécurisés.
- L’utilisation de vers informatiques et l’exploitation des vulnérabilités dans les services de MS Windows servent à répandre et à installer des chevaux de Troie. Les systèmes MS Windows sont par nature vulnérables, et les hackers et les auteurs de virus sont toujours prêts à les exploiter. Des tests indépendants ont démontré qu’un système Windows XP sans pare-feu ou logiciel antivirus est attaqué dans les 20 minutes qui suivent sa connexion à Internet.
Les malwares modernes utilisent des techniques très sophistiquées. Les auteurs de ces programmes consacrent beaucoup de temps et d’efforts afin de rendre leurs créations extrêmement difficiles à détecter. Un cheval de Troie peut, par exemple, se comporter comme un navigateur qui demanderait des informations à des sites Web, le but étant de lancer une attaque par déni de service (DoS) ou de commencer un mailing de spam (les instructions peuvent même contenir des informations sur la date et l’emplacement de la prochaine instruction). Le protocole IRC est également utilisé pour obtenir des instructions.
Logiciel du spammeur
Un mailing de masse contient en moyenne un million de messages. L’objectif est d’envoyer un maximum de messages en un minimum de temps, c’est-à-dire avant que les vendeurs de solutions anti-spams mettent à jour les signatures pour détecter les derniers types de spams.
L’envoi d’un grand nombre de messages en un temps limité exige une technique appropriée. Il existe diverses ressources développées et utilisées par les spammeurs professionnels. Ces programmes doivent pouvoir :
- Envoyer des e-mails via différents canaux, y compris des relais et des ordinateurs particuliers infectés.
- Créer des textes dynamiques.
- Imiter des en-têtes de messages légitimes.
- Vérifier la validité d’une base de données d’adresses.
- Détecter si les messages arrivent bien à destination pour, le cas échéant, les renvoyer depuis des plateformes alternatives si les originaux ont été placés sur liste noire.
Ces programmes de spammeurs sont disponibles soit en souscrivant des services, soit en les achetant en une fois pour pouvoir les utiliser de manière autonome.
Services marketing des spammeurs
Assez étrangement, les spammeurs font la publicité de leurs services en envoyant des spams. En fait, la publicité que déploient les spammeurs pour promouvoir leurs services est une catégorie à part. Les spams vantant les spams véhiculent de la publicité pour les logiciels de spammeurs, les botnets et les bases de données d’adresses électroniques.
Rédaction du corps du message
Actuellement, les filtres anti-spams sont suffisamment sophistiqués pour détecter et bloquer instantanément un grand nombre de messages identiques. C’est pourquoi les spammeurs veillent à ce que les mailings de masse comportent des e-mails au contenu presque identique, mais dont les textes sont légèrement modifiés par rapport aux autres. Les spammeurs ont développé diverses méthodes pour dissimuler la similarité des messages dans chaque mailing.
- Intégration de textes aléatoires, de mots ou de textes invisibles. Cela peut être aussi simple que d’inclure une suite aléatoire de mots ou de caractères, ou bien un texte tiré d’une vraie source en le plaçant soit au début, soit à la fin du message. Un message HTML peut contenir des textes invisibles, dont la police est minuscule ou dont la couleur se fond dans l’arrière-plan. Toutes ces ruses empêchent le bon fonctionnement des recherches floues et des méthodes de filtrage bayésien utilisées par les solutions anti-spams. Cependant, les éditeurs de logiciels anti-spams ont répondu en développant des outils qui scannent les textes, des analyses détaillées de codes HTML et d’autres techniques. Dans de nombreux cas, les filtres anti-spams détectent ce genre de ruses et placent aussitôt les messages dans la catégorie des spams.
- Spams graphiques. Envoyer des spams en format graphique entrave l’analyse de texte automatique pendant un certain temps, même si à présent, une bonne solution anti-spam est capable de détecter et d’analyser les graphiques entrants.
- Graphiques dynamiques. Les spammeurs utilisent désormais des graphiques compliqués, accompagnés d’informations supplémentaires, pour passer à travers les filtres anti-spams.
- Images « fragmentée ». En réalité, l’image se compose de plusieurs petites images, mais l’utilisateur la voit comme un seul texte. Les animations constituent un autre type de fragmentation dans lequel l’image est divisée dans plusieurs cadres qui se superposent, ce qui donne finalement un texte entier.
- Textes paraphrasés. Une même publicité peut être paraphrasée un nombre incalculable de fois, ce qui a pour résultat que chaque message semble être un e-mail légitime. Par conséquent, les filtres anti-spams doivent être configurés en utilisant un grand nombre de tests avant d’être en mesure de détecter ces messages comme des spams.
Un bon logiciel de spammeur doit employer toutes les méthodes décrites ci-dessus, étant donné que les victimes potentielles utilisent différents filtres anti-spams. L’utilisation de diverses techniques garantit qu’une quantité suffisante de messages échappera au filtrage et atteindra le destinataire final.
Spam et psychologie
Envoyer rapidement des messages et contourner tous les filtres du destinataire constituent une part importante du processus de spam. En outre, les spammeurs doivent s’assurer que l’utilisateur lira le message et suivra les instructions qu’il contient (par exemple, appeler un numéro donné, cliquer sur un lien, etc.).
En 2006, les spammeurs maîtrisaient les méthodes psychologiques utilisées pour manipuler les destinataires de spam. Pour inciter un utilisateur à lire un e-mail, les spammeurs essayaient notamment de le persuader que le message était un véritable courrier personnel, et non un spam. En début d’année, ils utilisaient des approches basiques, en ajoutant simplement RE ou FW dans l’objet de l’e-mail. De cette manière, le destinataire pensait qu’il s’agissait d’une réponse à un e-mail qu’il avait envoyé ou d’un message envoyé depuis une adresse connue. Vers le milieu de l’année, les spammeurs ont commencé à adopter des tactiques plus subtiles.
Les spammeurs ont commencé à travailler sur le contenu de leurs messages. A présent, certains spams sont rédigés avec un style et un lexique qui laissent penser qu’il s’agit d’un message personnel. Dans quelques cas, même des experts pourraient à première vue se laisser berner, sans mentionner des utilisateurs sans expérience. Ce genre de spam est souvent très impersonnel (il ne s’adresse à personne en particulier et utilise des mots comme « copine » ou « chérie ») afin de créer l’illusion que l’e-mail est destiné uniquement à la personne qui le reçoit. Des noms sont parfois utilisés dans de faux messages personnels. Selon les cas, ces e-mails piquent la curiosité des utilisateurs, qui peuvent être amenés à les lire attentivement afin de savoir d’où ils viennent, s’il faudrait qu’ils y répondent, etc.
Les spammeurs emploient une autre technique d’ingénierie sociale qui consiste à utiliser des sujets d’actualité (parfois imaginés par les spammeurs eux-mêmes) dans leurs messages.
Structure du business des spammeurs
Les étapes énumérées ci-dessus exigent une équipe de différents spécialistes ou bien la sous-traitance de certaines tâches. Les spammeurs eux-mêmes, c’est-à-dire les personnes qui dirigent l’affaire et ramassent l’argent des clients, achètent ou louent généralement les programmes et les services dont ils ont besoin pour établir des mailings de masse.
Les spammeurs se divisent en deux catégories. Premièrement, les programmeurs professionnels et les auteurs de virus, qui développent et exécutent le logiciel nécessaire pour envoyer des spams. Deuxièmement, les amateurs, qui ne sont pas forcément des programmeurs ou des spécialistes de l’informatique, mais qui veulent juste gagner de l’argent facilement.
Tendances à venir
A présent, le marché du spam s’élève à environ plusieurs centaines de millions de dollars. Comment arrive-t-on à cette estimation ? En divisant le nombre de messages détectés par jour par le nombre de messages dans un mailing standard, puis en multipliant le résultat par le coût moyen d’un mailing standard : 30 milliards (de messages) divisé par 1 million (de messages) multiplié par 100 ($ US) multiplié par 365 (jours), nous donne un chiffre d’affaires annuel estimé à 1,095 milliard de dollars américains.
Un marché aussi lucratif encourage les entreprises qui travaillent en interne de façon professionnelle et rentable. Il y a cependant des problèmes concernant la législation : collecter des données personnelles et envoyer de la correspondance indésirable est actuellement illégal dans la plupart des pays du monde. Cependant, les sommes en jeu sont suffisamment considérables pour attiser l’intérêt de personnes peu scrupuleuses et prêtes à prendre des risques pour faire potentiellement de gros profits.
L’industrie du spam semble emboîter le pas à d’autres activités illégales : elle se dirige vers la clandestinité et s’engage dans une bataille sans merci avec les agences du maintien de l’ordre.