L’intelligence humachine lutte contre le snowshoe spam.

Bien sûr, je reçois beaucoup de spams dans ma boîte mail, sans doute plus que la moyenne. Je laisse depuis une dizaine d’années ma carte de visite, à droite, à gauche. Notre marque est présente sur des diapositives de présentation, des publications, des catalogues etc. Puis il y a la simplicité de mon adresse mail. Parfois, des e-mails d’employés « tombent dans l’oubli » à cause des spams, ce qui nous pousse à mettre en place de nouvelles adresses mail légèrement modifiées pour les employés. Est-ce que ça vaut pour moi aussi ? Eh bien non. Parce que, premièrement, j’ai besoin de garder une trace précise de qui est l’ennemi, et deuxièmement, je veux être capable de contrôler personnellement la qualité de notre protection anti-spam. Et parce que ça m’est égal de voir quelques blagues de temps en temps.

Tout comme les entomologistes avec leurs papillons, je classe tous les spams entrants dans un dossier unique, jette un œil aux verdicts, et détermine les tendances et les faux positifs, tout en faisant parvenir les échantillons à notre laboratoire anti-spam.

Curieusement, depuis le début de l’année, le taux de spams a grimpé en flèche ! Et après avoir étudié leur structure et leur style, il semblerait que la plupart proviennent d’une seule (1) source ! Presque tous les messages étaient en anglais (seulement deux en japonais) et point essentiel, 100% des spams ont été détectés par nos produits ! Je me suis tourné vers nos spécialistes et cela s’est confirmé : il s’agit d’un énorme tsunami tel une vague d’un type spécifique de spam – le snowshoe spam. Ceci est inhabituel dans la mesure où l’activité des spams diminue autour de la période du Nouvel An.

* Données pour la période du 1er au 10 janvier 

Ci-dessous les données montrant le changement du pourcentage lors du jour le plus actif (7 janvier) dans les boites mail de l’entreprise :

Alors qu’en est-il de ce snowshoe spam lorsqu’il s’agit d’une boite mail domestique, de quelle manière peut-on s’en protéger ?

La méthode du snowshoe spam n’est pas du tout nouvelle, nous l’avions détectée pour la première fois début 2012. Mais depuis, le snowshoe spam n’a cessé de croître, du fait qu’il berne facilement des filtres anti-spam qui ne font pas d’analyse multi-niveaux. Il y parvient en étant envoyé non depuis une ou deux adresses IP, mais depuis plusieurs, en obtenant ainsi la filtration d’adresses IP basée sur la réputation. D’ailleurs, c’est là d’où il tire son nom : le poids d’une personne portant des raquettes à neige (snowshoes en anglais). Le fait de les porter répartit uniformément le poids sur toute la largeur de la chaussure et empêche la personne de glisser sur la neige. Eh bien, le même principe s’applique à ce type de spam, le spam diffusé à travers des noms adresses IP fait que ce dernier échappe aux filtres.

Pour les spammeurs, le fait d’utiliser des adresses IP est plus compliqué, mais ils arrivent quand même à obtenir le résultat qu’ils souhaitent. Ils doivent constamment utiliser des domaines générés automatiquement et leurs fournisseurs (en se servant en général d’un lexique) et fermer les serveurs proxys d’hébergement et de spam. Oui, les combines sont nombreuses et complexes, mais comme je l’ai dit, pour les spammeurs ça en vaut la peine.

Une fois que le spam arrive à destination, l’ingénierie sociale prend le contrôle. Ça commence par un objet de texte attrayant, tandis que dans le corps de l’e-mail se trouve un lien qui redirige vers un super produit, dont vous ne pouvez pas laisser passer l’offre exceptionnelle qui s’achève demain. Les remèdes miracles, les promotions éphémères sur les assurances, les pilules bleues, les factures d’électricité… et tout ce que voulez :). Le tout saupoudré d’arnaques habituelles pour tout : des histoires sanglantes (je suis très malade, et je n’ai pas d’argent), des fins heureuses (j’ai essayé cette pilule à 29,99$ et tous mes problèmes ont disparu en un instant !) etc.

Le lien vous redirigera vers un site en fonction de votre région. Par exemple, si un utilisateur est d’un pays très pauvre, il sera juste redirigé vers, disons, Google. En revanche, si un utilisateur vient d’un pays développé, d’Europe ou d’Amérique du Nord, alors les arnaques vous mèneront à toutes sortes d’histoires, allant de l’héritage médicinal des Apaches aux mystères de Tesla.

Mais il ne s’agit pas seulement d’ingénierie sociale astucieuse. Ce type de spam peut être aussi accompagné d’un malware…

Qu’en est-il donc de la protection ?

D’un point de vue technique, le snowshoe spam, bien évidemment, n’est pas du tout sophistiqué. Mais cela ne veut pas dire qu’il ne doit pas être pris au sérieux pour autant. De simples filtres incapables de s’adapter au polymorphisme du spam le laissent tout simplement filer. Et il n’existe pas une seule technologie qui soit capable de faire face à un snowshoe spam une fois pour toutes. Nous combattons le snowshoe spam à l’aide de la protection multi-niveaux, avec une première combine appelée l’apprentissage automatique. Ça paraît logique, étant donné qu’il serait irréaliste de s’attaquer à de gros volumes de showshoe spam manuellement, il est préférable que les experts passent leur temps sur quelque chose de plus utile. Et ce « quelque chose de plus utile » s’avère être la création des machines intelligentes, qui en échange analysent les spams automatiquement et de façon extrêmement précise et fiable et créent des algorithmes de contre-mesure. Par exemple, grâce à l’apprentissage automatique, nos produits reconnaissent automatiquement de nouveaux domaines de spammeurs, des adresses IP, des sous-réseaux et les bloquent, et conduisent des analyses de contenu sur des caractéristiques variées. Et ils font tout ça, comme je l’ai déjà mentionné, de manière très fructueuse.

En réalité, la guerre entre les bons et les méchants de l’informatique est depuis longtemps une guerre d’algorithmes. Les cybercriminels ont appris comment dissimuler et modifier habilement l’apparence/la nature de leurs cyberattaques, qui sont de plus en plus automatiques également, et qui se traduisent par des attaques effectuées selon une logique complexe. Mais pour chaque algorithme, il y a un contre-algorithme, qui plus est, un plus long :). De nos jours, l’efficacité dépend de la flexibilité et de la fiabilité des systèmes d’autoapprentissage créés par les experts. Et le succès arrive à ceux qui sont capables d’assurer un ensemble de capacités mathématiques (i) et d’infrastructure complexe (ii) permettant le développement de nouveaux algorithmes. Et nous appelons cet ensemble l’Intelligence Humachine.

LIRE LES COMMENTAIRES 0
Laisser un commentaire