Spam

Prospection commerciale B2B inattendue ou le « cold-emailing »

Qui n’a pas reçu sur sa boîte de courrier électronique professionnelle un contact d’un agent commercial vous proposant un rendez-vous, parfois en vous invitant à cliquer sur son calendrier pour fixer le rendez-vous directement dans son calendrier très chargé ? Puis quelques semaines après que vous ayez supprimé ce message, une relance reprenant le message initial, et souvent au moins une troisième fois ensuite, vous reprochant presque de ne pas avoir fait attention au message précédent. C’est ainsi que se pratique aujourd’hui le « cold-emailing », ou comme ils le définissent eux-mêmes dans leurs documents de formation des « courriers électroniques envoyés à des prospects n’ayant pas particulièrement montré d’intérêt pour l’entreprise ou son offre commerciale.»

C’est une publicité vue sur twitter (pardon X) ce matin qui a fini de m’aiguillonner sur ce sujet et à écrire ce post dominical:

La publicité elle-même a été vue plus de 20 millions de fois depuis le 23 janvier 2024 et propose un lien vers ce fameux guide du cold-email, dans un document hébergé chez Google. On notera qu’il est publié par le compte d’un certain « Reio » travaillant pour la société instantly[.]ai, nous y reviendrons plus tard.

Le principe de la prospection à froid

L’idée générale derrière la prospection à froid est de susciter de nouveaux prospects par un contact direct envoyé à des adresses de courrier électronique professionnelles avec lesquelles l’agent commercial n’a jamais été en relations.

Sur le principe, la législation européenne en matière de prospection commerciale entre professionnels est assez permissive. Ainsi la CNIL rappelle sur son site Web (il faut cliquer sur l’onglet « Pour les professionnels B to B »:

  • Principe général: information des personnes, opposition simple et gratuite
  • Information au moment de la collecte, et être en mesure de s’opposer à ce moment-là (c’est souvent présenté comme une condition pour participer à des événements). La revente de ces données dans le contexte de la prospection de professionnels est légale et suppose de conserver la traçabilité de cette information et de la possibilité d’opposition.
  • L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée
  • Chaque message doit préciser l’identité de l’annonceur et proposer un moyen simple de s’opposer.

Le contenu du guide

Le contenu du guide nous plonge dans une autre réalité qui entoure ces démarches. L’objectif affiché du rédacteur de ce guide est de s’assurer que les messages arrivent bien dans la boîte de courrier électronique du destinataire (son « Inbox ») et non pas le répertoire des spams détectés de façon automatique.

La liste des recommandations qu’il apporte est la suivante:

  • une étape technique consistant à créer de multiples noms de domaine et adresses de courrier électronique d’émission
  • la configuration des mesures de sécurité du mail (SPF, DKIM et DMARC, protocoles qui empêchent d’usurper un domaine émetteur, mais qui n’empêche pas d’émettre du spam depuis un domaine créé pour cela)
  • un domaine de traçage et la redirection vers le domaine propre du prospecteur.

En effet, la démarche qu’ils proposent est de découper le volume de messages à envoyer par autant de domaines et d’adresses pour ne pas être détecté par les seuils automatiques de classement en spam des récepteurs! Dans le cadre des envois massifs de spams classiques (messages publicitaires par opposition à la prospection directe évoquée ici), on utilise souvent le terme de « snowshoeing » pour décrire cette méthode.

Le guide recommande ensuite de « préchauffer » les adresses de courrier électronique. Il s’agit ici d’envoyer des messages anodins entre les adresses d’émission préparées pour qu’il y ait un trafic légitime aux yeux des grandes plateformes de messagerie. La société en question offre d’ailleurs un service (payant évidemment) automatisé pour simuler ces messages. Ils recommandent de maintenir l’activité fictive de « préchauffage » tout au long des opérations.

En résumé, ces pratiques et les services de ce type d’entreprises visent ouvertement à tromper et contourner les mesures de protection contre le spam.

Ensuite, pour le contenu même des messages envoyés aux prospects, l’auteur recommande de personnaliser les messages évidemment et de varier le vocabulaire utilisé d’un message à un autre, grâce à des modèles de textes alternatifs (et une fonctionnalité incluse dans son produit évidemment pour automatiser tout cela). Ils expliquent très bien eux-mêmes pourquoi c’est nécessaire: encore pour tromper la détection de spams.

On retrouve le même genre de conseils sur les sites de « conseil » pour la publication automatique sur les comptes de réseaux sociaux (pour ceux qui sont sur X récemment, on aura noté que la technique n’est pas tellement utilisée par les campagnes de spam pornographiques qui répètent des milliers de fois le même message « mes nus dans mon profil » sans apparemment être détectés par X).

La suite des recommandations est dans la même veine pour tromper le destinataire cette fois-ci. Ainsi, il recommande de fabriquer l’objet (le sujet) des messages de nature à inciter le destinataire à ouvrir le message, par exemple en combinant prénom et un mot simple comme « question » ou « pouvez-vous aider? ».

Pour finir de se convaincre du peu de sérieux de cette entreprise américaine, une visite sur son site Web confirme assez rapidement la première impression: les liens présents en bas de page et intitulés « Don’t sell my info » (ne vendez pas mes informations) et « Privacy Center » renvoient toutes deux vers des pages d’erreur.

Résumé et conseils

Comme je l’évoquais plus haut, la législation européenne n’interdit pas de contacter des prospects professionnels pour des produits ou services qui sont susceptibles de les intéresser. Mais utiliser des méthodes déceptives vis-à-vis des acteurs techniques et des destinataires des messages pour les inciter à transmettre, ouvrir et répondre aux messages est à l’opposé de toute éthique professionnelle. En outre, comme les destinataires ont vite fait de comprendre  ces manœuvres après un ou deux messages insistants du même type, ils finissent systématiquement dans la corbeille, c’est totalement contre-productif. Et je note que malheureusement de nombreux acteurs recommandent ces méthodes: on retrouve toujours de nombreuses publications sur LinkedIn en français qui décrivent ces méthodes et proposent des formations à ces outils.

Mes conseils:

  • comme d’habitude, informez-vous et discutez de ces méthodes abusives autour de vous;
  • réfléchissez avant d’ouvrir un message ou de cliquer sur un lien, en particulier si vous ne connaissez pas l’émetteur;
  • contribuez à lutter contre ces abus et signalez les messages que vous estimez inappropriés: n’hésitez pas à installer le module de signalement de Signal-Spam (c’est totalement gratuit), il vous permet non seulement de signaler un message abusif en un clic mais vous protège aussi des URLs malveillantes connues dans votre navigateur Web ou votre logiciel de courrier électronique.

 

Campagne de hameçonnage ciblant les clients d’OVH

Depuis quelques jours une campagne de hameçonnage cible plus particulièrement les clients d’OVH, la gendarmerie du Doubs et du territoire de Belfort sur sa page Facebook.

En effet, j’ai moi-même reçu trois messages de hameçonnage successifs ciblant le même nom de domaine dont je suis le gestionnaire chez OVH (envoyés à l’adresse de contact du nom de domaine):

  • 7 mars 2018 15:27, objet: « Fermeture du XXX » XXX étant le nom de domaine, provenant apparemment de « <support@ovh.com> »
  • 8 mars 2018 05:24, objet: « [ֹOVֹH] : erreur ! », provenant apparemment de « [ֹOVֹH] » <support@ovh.net>
  • et de façon identique le 10 mars 2018 17:20

Jetons un œil à l’aspect du dernier message:

 

Si l’on passe la souris au dessus de l’URL qui devrait être celle du site d’OVH on obtient en réalité:

(la zone floutée correspond à l’adresse de contact du nom de domaine ciblé). Si l’on suit cette adresse, après deux redirections on se retrouve sur l’adresse (ATTENTION ne pas vous rendre sur cette adresse sans précautions !):

Le site Web est celui d’une société d’informatique allemande dont le site Web a été modifié pour afficher une page ressemblant à celle d’OVH:

Comment se protéger ?

Suivant les solutions de sécurité dont vous disposez sur votre ordinateur, vous serez éventuellement averti qu’il s’agit en réalité d’une page de hameçonnage connue. Ainsi, à l’heure où j’écris ces lignes, Windows Defender de Microsoft le signale correctement lorsqu’on visite cette page.

Si vous voulez participer à signaler ce type de messages et de pages de phishing c’est assez simple. L’association Signal Spamdont j’ai parlé plusieurs fois ici – fournit un plugin pour votre navigateur Web qui permet de signaler les messages non sollicités et les pages Web de hameçonnage.

Les signalements sont non seulement traités par Signal Spam, mais font l’objet d’une transmission vers les éditeurs des différents navigateurs.

Une mise à jour récente des modules de signalement de Signal Spam autorise désormais le signalement des URL (adresses internet) de phishing. Concrètement, cela signifie qui si au cours de votre navigation sur internet vous tombez sur un site de phishing, il vous est possible d’utiliser le même bouton Signal Spam installé dans votre navigateur (chrome, safari, ou firefox) qui sert traditionnellement au signalement d’un courriel indésirable pour signaler le site de phishing. Le module Signal Spam reconnaîtra que vous naviguez sur une page de phishing, et signalera l’URL.

L’URL ainsi signalée sera placée dans une liste noire qui préviendra la navigation sur ce site par d’autres utilisateurs de Signal Spam. Il est bien sûr possible de signaler un « faux-positifs », c’est à dire un signalement que vous estimez erroné, ou de poursuivre malgré tout votre navigation sur le site de phishing en pleine connaissance de cause.

En outre, la mise à jour des modules intègre également une protection de votre messagerie contre les messages de phishing : une alerte s’affichera lorsque vous vous apprêtez à ouvrir un message contenant des liens identifiés comme dangereux.

Le fonctionnement de cette fonctionnalité STOP PHISHING – développée par Signal Spam en partenariat avec la société Verifrom vous est expliqué dans la vidéo ci-dessous:

Une vidéo proposée par la CNIL vous informe très précisément sur la façon d’installer le plugin dans votre navigateur:

Enfin, le service cybermalveillance.gouv.fr vous propose une fiche de prévention sur le sujet du hameçonnage:

Signaler le spam

Il n’est pas besoin de préciser ce qu’est le spam, en général tout internaute même débutant y a déjà été confronté, c’est une des plaies principales de la vie sur Internet.

Plusieurs sources permettent d’avoir une idée de l’ampleur du problème. Ainsi, Trustwave publie une page de statistiques tenue automatiquement à jour, avec des informations intéressantes sur le volume de spam (73% des courriers traités par leurs plateformes) ou encore leur source (essentiellement des botnets, comme Lethic, Cutwail, Grum, Kelihos,…) ou leur sujet (médicaments, propagation de virus informatiques, contrefaçons, etc…). Un autre prestataire de solutions antispam, Cisco Ironport, annonce des taux identifiés autour de 85%; Barracuda Networks relève près de 80% dans ses mesures. Le M3AAWG enfin relève un taux assez constant de l’ordre de 88 à 90% de messages jugés « abusifs ».

Les catégories de spam selon le rapport de Kaspersky Lab en août 2012 (cliquer sur l’image)

Pour beaucoup d’internautes, une solution antispam est mise en place par leur opérateur, qu’il s’agisse de solutions commerciales comme celles que nous venons d’évoquer ou de solutions basées sur des logiciels opensource comme SpamAssassin, ASSP ou DSPAM. Ainsi, l’essentiel des spams ne parviennent jamais dans votre boîte aux lettres. Certains dont la destinée est incertaine parviennent automatiquement dans une boîte intitulée « Spam » par votre prestataire de messagerie, vous permettant d’y récupérer éventuellement des faux positifs. Enfin, quelques-uns parviennent tout de même à passer les barrières et arrivent jusque dans votre boîte aux lettres principale.

Finalement, en plus des messages légitimes de ses correspondants, on reçoit dans sa boîte aux lettres quelques messages malveillants, qui ont réussi à passer les solutions de sécurité existantes, ainsi que des messages à caractère commercial dont certains nous intéressent mais pour d’autres on ne sait pas toujours pourquoi on en est rendus destinataires ou s’il est possible de ne plus les recevoir.

Nous avons ainsi plusieurs catégories de messages dans les boîtes des usagers:

  • des courriers légitimes de la part des contacts des internautes;
  • des courriers à caractère commercial que l’usager souhaite recevoir (factures et états de commande, information commerciale souhaitée comme des promotions) – la prospection commerciale n’est pas en soi illégale, c’est contre les abus, les mauvaises pratiques, voire les pratiques illégales qu’il faut lutter;
  • des courriers totalement illégaux (hameçonnage, vente de produits illégaux, diffusion de virus informatiques);
  • des courriers à caractère commercial que l’usager ne souhaite pas recevoir (prospection commerciale non souhaitée ou plus souhaitée); dans cette catégorie, on retrouve plusieurs cas, selon que la prospection est réalisée à partir d’informations personnelles collectées:
    • directement auprès du destinataire avec son consentement (et il a le droit de s’y opposer ultérieurement);
    • par des tiers auprès du destinataire et fournies à l’annonceur de façon transparente et légale (même commentaire);
    • par des tiers auprès du destinataire et fournies à l’annonceur sans l’autorisation de la personne (et il s’agit au moins d’un dysfonctionnement, voire d’une action illégale);
    • illégalement (sans le consentement éclairé et librement exprimé par la personne), par exemple en collectant les adresses publiées sur des forums.

Pour les messages qui arrivent finalement dans sa boîte de courrier électronique et qu’il ne souhaiterait pas recevoir, il n’y a que l’internaute qui puisse agir. C’est pour traiter le problème de ces messages non filtrés par les plateformes automatisées qu’est né le projet Signal-Spam en 2003, sous l’impulsion de la direction du développement des médias. D’abord il s’agissait d’un groupe de contact contre le spam, qui est devenu une association loi 1901 en 2005. En 2007 l’association lançait son outil de signalement, une extension pour les logiciels de messagerie Thunderbird et Outlook. Enfin, il était possible d’avoir accès aux messages qui sont réellement problématiques pour les internautes.

Très concrètement, les messages qui sont signalés par les internautes font tous l’objet d’une intégration dans la base de données et sont triés en fonction de leur origine. Ainsi, des messages d’alerte peuvent être adressés sous forme de boucle de rétroaction, vers les personnes qui ont émis ces messages, soit qu’il s’agisse de membres de l’association, soit qu’ils fassent l’objet d’une convention spécifique. Chaque destinataire d’une boucle de rétroaction ne reçoit que les données strictement nécessaires pour lui permettre d’identifier les messages problématiques et ce uniquement pour des messages qu’il a pu émettre ou faire transiter.

Suivant l’association de loin en loin, parce que le sujet du spam fait partie de nos préoccupations professionnelles, j’ai accepté en juin 2011 de prendre à titre personnel une participation plus active dans cette association en étant élu vice-président (conformément aux statuts de l’association cette tâche m’est confiée à titre personnel et non en tant que personnel de la gendarmerie et les membres du bureau ne reçoivent aucune rémunération pour leurs fonctions). En effet, nous partagions tous le constat que le fait que l’association existe était positif, mais qu’il y avait de gros progrès à faire sur ses moyens d’action, c’était donc logique de m’investir un peu plus. Mon engagement a donc comporté deux volets: le développement de l’association – et notamment accompagner ses progrès dans la prise de conscience collective de la nécessité de combattre contre le spam, et la construction d’une démarche déontologique, garante des moyens d’action de l’association.

Mettre tous les acteurs autour de la table

Dans La cybercriminalité en mouvement (Ed. Hermès-Science Lavoisier, 09/2012), j’ai consacré tout le chapitre 11 (Le partage comme arme) à la conviction que j’ai construite avec les années qu’il est indispensable d’échanger et d’agir collectivement avec toutes les parties prenantes pour traiter les problèmes liés à la cybercriminalité. Ça semble évident, mais encore faut-il le réaliser concrètement.

Ainsi, la France s’est dotée par la loi en 2001 d’un Observatoire de la sécurité des cartes de paiement, plaçant autour de la table, dans un cadre institutionnel, des élus, les administrations, les banques, les consommateurs, les commerçants, les schémas de paiement par carte bancaire et des experts choisis pour leurs compétences. Autre expérience intéressante, le Forum des droits de l’Internet a permis pendant presque dix ans de faire vivre le débat sur de nombreux sujets touchant aussi à la cybercriminalité, par exemple en matière de protection des enfants sur Internet. A l’étranger, on voit des initiatives du même ordre, tels des forums sur la fraude bancaire (Electronic crimes task force des Pays-Bas lancée en 2011), le projet Infragard du FBI aux Etats-Unis, ou l’association e-crime Wales au Pays de Galles. Toutes ces structures ont des formats et des objectifs différents, mais participent du même objectif de partage et de l’action collective.

Pour Signal-Spam, il était important d’avoir autour de la table non seulement ceux qui peuvent agir contre le spam reçu par leurs clients, mais aussi ceux dont le métier est l’envoi de courriers électroniques, qu’il s’agisse des annonceurs ou encore des professionnels auxquels ils font appel pour fabriquer leurs messages, identifier éventuellement les destinataires intéressés ou encore les relayer. D’abord pour bien comprendre comment tout cela fonctionne, établir le dialogue entre tous les professionnels, ensuite pour être en mesure de transmettre efficacement à ces acteurs l’information sur les plaintes qui remontent des usagers.

Ainsi, les fournisseurs d’accès reçoivent à destination de leurs usagers des messages illégitimes ou abusifs, mais ils peuvent aussi émettre à leur insu de tels courriers électroniques, par exemple lorsque certains de leurs clients sont contaminés par un virus informatique lié à un botnet émettant du spam. Les annonceurs et les professionnels de la messagerie ont aussi leur place. C’est une critique qui est souvent faite à Signal Spam que d’avoir parmi ses membres des entreprises qui sont parfois négativement perçues par le public, et c’est pourtant ce qui fait son point fort, car elle est en mesure ainsi d’agir directement sur leurs pratiques et de leur faire parvenir efficacement les plaintes des internautes. Pour ceux dont le métier est de faire de la prospection commerciale, ils ont tout intérêt à ce que leur message soit bien perçu par leurs destinataires. Enfin, on retrouve des sociétés spécialisées dans la sécurisation du courrier électronique et les organismes publics concernés par ces questions. La CNIL est concernée très directement par le travail de l’association dont les informations contribuent à orienter ses contrôles (ces contrôles peuvent d’ailleurs porter indifféremment sur des entreprises sans rapport avec Signal Spam ou si c’était nécessaire membres de l’association, voir le site de la CNIL). Les internautes participent directement par leurs signalements, on peut imaginer que dans un avenir proche des associations qui les représentent viennent compléter le tour de table.

Charte de déontologie

C’était un point clé de mon engagement l’an dernier, et nous avons mené ce projet collectif en quelques mois, en dotant l’association d’une charte de déontologie; elle a été adoptée par l’assemblée générale de juin dernier. Son contenu tient en quelques idées maîtresses:

  • afficher clairement les engagements concrets de ses membres dans la lutte contre les courriers non sollicités, chacun selon son rôle;
  • disposer d’un outil concret pour dialoguer avec les futurs membres sur les mesures qu’ils doivent implémenter avant de rejoindre l’association et avec les membres actuels pour mesurer avec eux leur action;
  • de spécifier les engagements des destinataires de boucles de rétroaction qui ne sont pas membres de l’association;
  • et garantir l’indépendance de l’association et des organismes publics associés par rapport à ses membres pour leur permettre de jouer un rôle de médiateur.

Ainsi, il s’agit tout autant de permettre aux internautes, dans le respect des règlements en place, de pouvoir facilement faire cesser tout message qu’ils considéreraient comme abusifs de la part d’un membre, directement auprès de ceux-ci parce qu’ils ont des fonctions transparentes et claires d’information et de désinscription ou encore de gestion des abus, que de permettre aux membres entre eux d’établir un dialogue pour la bonne circulation des courriers électroniques légitimes. Enfin, il s’agit évidemment de permettre à ce que l’action collective de Signal Spam soit réalisée sous les meilleurs auspices en traitant le plus efficacement possible les signalements reçus des internautes.

Dans les mois qui viennent, tous les membres de l’association auront ainsi informé leurs usagers de la façon dont ils ont implémenté la charte, le règlement intérieur va être adapté pour inclure très rapidement (dès ce mois d’octobre 2012 en pratique) la charte dans les procédures d’acceptation de nouveaux membres ou de destinataires de boucles de rétroaction. Enfin, il s’agit d’un document évolutif et des améliorations sont attendues sur le texte d’ici l’année prochaine sur la base des débats qui ont repris.

Pour l’avenir

La charte déontologique fait donc clairement partie des actions pour l’avenir, car il faudra faire le bilan de son application, mais d’autres chantiers sont entrepris. Le premier a été celui de la communication et un nouveau site Web a pu être enfin lancé au début de l’année 2012. Beaucoup plus dynamique, il va permettre de publier plus régulièrement de l’information et par exemple des efforts seront entrepris dès 2013 pour diffuser plus d’informations vers les internautes sur l’action concrète de l’association, notamment des informations statistiques.

De nouvelles extensions pour des logiciels de messagerie devraient voir le jour et d’autres modes de signalements proposés aux internautes, mais je laisse le soin à l’association de faire les annonces le moment venu, mon petit doigt me disant que les quelques semaines qui viennent devraient avoir leur lot de bonnes nouvelles.

Ensuite, une refonte complète du moteur qui traite l’ensemble des signalements au cœur de Signal Spam est en cours de réalisation et une plateforme de traitement plus performante devrait voir le jour en 2013.

Enfin, de nouveaux membres rejoindront nous l’espérons l’aventure et des partenariats seront développés avec des structures similaires dans d’autres pays pour échanger des informations qui nous concernent réciproquement, par exemple lorsque des adresses IP d’un autre pays sont à l’origine des messages signalés (ainsi, Signal Spam et son alter ego OPTA aux Pays-Bas ont déjà signé un partenariat).

Pour envisager d’autres pistes de notre travail, il faut se rappeler que le spam n’est pas présent que sur le courrier électronique, mais aussi sur des messageries instantanées, les réseaux sociaux – et on a déjà parlé ici de l’action du 33700 en matière de lutte contre le spam par téléphone. Ces autres plateformes sur Internet sont certainement un des axes de travail pour le futur de l’association.

Signalez, participez

Pour que cela fonctionne, il est indispensable que les internautes participent, par leurs signalements à cette lutte contre les messages non sollicités.

La mise en place du nouveau site Web a entraîné des difficultés concrètes pour la réalisation des signalements et de nombreux internautes nous ont patiemment aidé à résoudre ces problèmes en contactant l’association. Aujourd’hui, des difficultés beaucoup moins nombreuses, mais réelles sont parfois rencontrées au moment des pics de trafic. C’est une des raisons pour lesquelles nous allons faire évoluer l’infrastructure. Toutefois, en attendant cette migration majeure, des évolutions plus discrètes sont régulièrement réalisées pour améliorer nos capacités dans l’architecture actuelle. Le chargé de mission de l’association s’efforce d’apporter des réponses à chaque internaute qui fait part de difficultés, mais des efforts seront encore entrepris en 2013 pour mieux informer les utilisateurs sur les incidents techniques.

Aussi n’hésitez pas à participer en vous inscrivant, en signalant les courriers électroniques qui vous posent problème, et si nécessaire en nous faisant part des difficultés techniques quand vous en rencontrez.

Je suis bien conscient qu’il y a encore énormément de chemin à parcourir et que le problème du spam est loin d’être réglé en France. Il est possible donc qu’il y ait des commentaires négatifs suite à ce billet sur la qualité des résultats de Signal Spam. Je m’efforcerai de répondre à tous les messages du moment qu’ils sont, comme c’est la règle sur ce blog, écrits de façon conforme à la netiquette et constructifs.

Ne rappelez pas les inconnus qui vous appellent depuis un 0899…

Complément du 26/08/2012 13:32

Autre type de manœuvre assez « subtile » que l’on peut rencontrer pour vous inciter à appeler ces numéros en 0899XXXX, l’envoi de SMS comme dans l’exemple ci-contre que je viens de recevoir. Vous noterez que le SMS provient d’un numéro GSM banal (en 07, la nouvelle tranche de numérotation des mobiles) et non pas d’un numéro court ou d’un numéro en 089X. Ici, l’astuce consiste à vous dire que vous avez gagné un chèque et vous laisser supposer qu’il pourrait avoir un montant de 5000 euros (notez le point d’interrogation). Toutes les personnes qui témoignent n’ont gagné que quelques centimes d’euros, même pas payés par le prix de la communication. Encore une fois, il ne faut pas rappeler les numéros de ce type-là dans ces conditions, pour la bonne et simple raison qu’on ne doit pas en France payer pour participer à un jeu concours et les sommes liées à un tel numéro surtaxé vont bien au-delà du partage du coût de la communication.

Le message de cet article est assez simple: il ne faut jamais rappeler un appel depuis un numéro inconnu en 0899… même si on vous laisse un message vocal !

Le principe est lui aussi assez simple: des services fictifs sont montés, un numéro surtaxé obtenu auprès d’un opérateur avec un contrat en bonne et due forme et les victimes reçoivent ensuite des appels depuis le numéro. Parfois il n’y a personne au bout du fil, parfois une bande enregistrée. Sur les quelques milliers d’appels (dont le coût est ridicule pour celui qui les a émis), certaines victimes rappellent avec autant de fois 1,34€ et 0,34€/min sur la facture, d’où le nom d’appels à rebond ou ping call qui est donné à ce type de spam vocal. Je fais ici référence à ce qui se pratique en France, d’autres tranches de numéros surtaxés existent dans les autres pays: voir cet article de Wikipédia Premium-rate telephone number.

Les numéros surtaxés ont des usages parfaitement légitimes et permettent – depuis des dizaines d’années maintenant – de payer pour un service auquel on accède par téléphone. C’est simple, ça évite de donner son numéro de carte bancaire ou son nom, que l’on appelle un service de renseignement, un numéro de téléphone « coquin » ou une « voyante », un service d’assistance technique parfaitement légitime… La seule obligation est d’avertir le consommateur du prix de la communication (petit message au début) et d’offrir évidemment le service qu’il attend.

Dans les cas que j’évoque ici, il n’y a aucun service au bout du fil, parfois il est simulé et on vous incite par une manœuvre qui pourrait être qualifiée de frauduleuse à contacter ce service. On doit avoir une raison objective d’appeler un numéro surtaxé et le simple fait de recevoir un appel depuis ce genre de numéro ne sera jamais une bonne raison. Il est possible que votre numéro ait été collecté à cette fin pour que vous soyez prospecté, mais il est tellement plus simple de fabriquer automatiquement des listes de numéros, le nombre de combinaisons étant limité.

Note: la même technique existe avec l’envoi de SMS faisant la publicité de ce même type de services (ou des numéros SMS Premium), et suit le même principe.

Si vous recevez un appel depuis un tel numéro, comme pour les spams par SMS, il est possible de les signaler au 33700. Il ne vous en coûtera rien depuis Orange, SFR ou Bouygues Télécom qui sont partenaires dans la gestion de ce service de signalement, et le coût est celui d’un SMS normal depuis les autres opérateurs français. Suite aux signalements, des vérifications sont effectuées sur les services offerts et s’ils sont identifiés comme frauduleux, le contrat peut être rompu.

Enfin, plusieurs sites vous donnent des informations sur les méthodes pour bloquer certains appels, par exemple cet article de commentcamarche.net.

Le sujet que j’évoque ici n’est pas nouveau, j’en suis bien conscient, mais il continue de proliférer et il est important de faire circuler l’information.

Que fait le régulateur ?

Alex Archambault me signale sur Twitter (@AlexArchambault) que l’ARCEP a pris très récemment une décision importante. Elle est téléchargeable sur le site de l’ARCEP et date du 17 juillet 2012. En particulier, avec effet immédiatement, il est interdit d’utiliser un numéro en 089X comme identifiant d’appel, justement pour éviter ce type de pratiques. A suivre donc !

Quand le mail de phishing contient le formulaire

Je ne fais ici que retranscrire une information de MXLab qui m’a semblé particulièrement intéressante. Ainsi dans cet article de leur blog, ils notent une recrudescence des emails de phishing qui intègrent le formulaire dans leur contenu.

En pièce attachée au courriel illicite, une page Web. Trois exemples sont donnés par MXLab:

  • le premier s’en prend à Western Union et récupère les pages de styles, javascript et bannières directement sur le site Web de Western Union, tant qu’à faire !
  • le second s’attaque à Paypal, et semble reposer sur le même principe ;
  • le troisième s’en prend encore à Paypal mais parait vouloir utiliser un autre type de page HTML, le MIME HTML dont l’extension est .mht et qui a la particularité de regrouper dans un même conteneur la page Web au format HTML et les images et autres fichiers à incorporer pour l’affichage de la page.

La conséquence évidente de ce développement est que dans la détection des mails de phishing il faut prendre en compte ce nouveau format, qui ne contient plus de liens URL éventuellement masqués.

Ensuite, cela simplifie le travail de l’hébergement du site de phishing qui ne fait que recevoir le résultat des formulaires, donc est particulièrement discret (au passage le site Web de phishing ne commet pas en tant que tel de contrefaçon des marques attaquées – telles que Paypal et Western Union), rendant d’autant plus complexe et difficile la fermeture de ces sites. En effet, pour expliquer à l’hébergeur qu’il doit fermer le site de phishing, il faudra lui montrer les mails de phishing, ce que fait le formulaire, etc… sans pouvoir lui montrer de page de phishing qui apparaissait jusqu’à présent de façon évidente !

Chute du spam suite à la coupure de l’Internet d’un hébergeur peu sécurisé

Un hébergeur de la région de San Francisco a été déconnecté de l’Internet par ses différents fournisseurs de connectivité suite à des signalements qui soulignaient son implication dans une majeure partie des pourriels circulant ces dernières semaines sur Internet.

Dans sa suite d’articles, un journaliste, auteur d’un blog (Security Fix) du Washington Post, Brian Krebs, déclare avoir collecté de nombreuses informations démontrant l’implication des machines hébergées par la société McColo Corp. de San Jose, Californie. Après quatre mois d’observations il a décidé de contacter les fournisseurs de connectivité à Internet de cette société qui semblent avoir réagi très rapidement et ont coupé très rapidement tous les liens de cette société. Il semble que la société Kaspersky, ainsi qu’un rapport publié par HostExploit.com (ici la dernière version de ce rapport) soient la source des informations qui ont mené ce journaliste à s’activer sur ce dossier.

Selon les différents chiffres cités par le journaliste, obtenus auprès de différentes sources en Europe et aux Etats-Unis, près de 60 à 70% des spams circulant actuellement ont ainsi pu être éliminés d’un seul coup. Selon SANS, le réseau de cet hébergeur servait aussi à la diffusion d’images de mineurs à caractère sexuel.

Évidemment, une telle chute du spam sera de courte durée, et les émetteurs de ces messages non sollicités se reporteront sur d’autres ressources de l’Internet qui sont vulnérables. Le même journaliste cite en effet le cas d’un autre hébergeur californien qui avait subi le même sort au mois de Septembre 2008 et il n’avait fallu que quelques jours pour que les spammeurs trouvent de nouveaux hôtes.

A la lecture des différentes études publiées, il semblerait que les réseaux les plus utilisés par les cybercriminels ne sont pas tous situés dans les pays habituellement cités, mais ils peuvent se trouver aussi bien aux Etats-Unis et très certainement au coeur de l’Europe. C’est assez logique, puisque cela permet de disposer d’une excellente connectivité avec les futures victimes…