Aux États-Unis, le phishing cède la place au spam politique à l’approche de l’élection présidentielle

Les élections présidentielles, à l’instar d’autres événements majeurs et des fêtes annuelles, donnent l’occasion aux spammeurs et pirates informatiques d’adapter leurs opérations et d’utiliser des leurres efficaces.

À l’approche de novembre, au cours de la campagne présidentielle américaine, les chercheurs de Proofpoint ont constaté l’apparition d’une vague d’e-mails en lien avec l’élection. Du spam basique contenant du texte avec des liens intégrés, au phishing destiné à récupérer les données des internautes, ces e-mails comprennent de tout. Les échantillons sélectionnés portent en majorité sur Donald Trump. Le candidat républicain figure 169 fois plus fréquemment dans les messages que sa rivale démocrate, Hillary Clinton.

Nous avons filtré les objets des spams détectés chez nos clients en juin et juillet pour isoler ceux où apparaissaient les noms « clinton » ou « trump » et avons trouvé un nombre disproportionné de messages portant uniquement sur « trump ». La Figure 1 montre le volume relatif des messages dont l’objet mentionne l’un des candidats ou les deux à la fois. Globalement, au mois de juin, Donald Trump apparaît 270 fois plus souvent qu’Hillary Clinton, et son nom est 34 fois plus fréquent que celui de Clinton seul ou que ceux des deux candidats à la fois.


Figure 1 : au mois de juin, les spams étudiés utilisaient davantage Donald Trump pour leurrer les internautes

Cette tendance s’est poursuivie le mois suivant, de façon légèrement moins déséquilibrée. En juillet, les spams au nom de Trump sont apparus 67 fois plus fréquemment que ceux au nom de sa rivale (Figure 2). La disparité entre juin et juillet est due à deux campagnes de grande envergure menées en juin et exploitant le nom du candidat républicain.



Figure 2 : en juillet, les spams au nom de Trump sont apparus 67 fois plus fréquemment que ceux au nom de sa rivale.

Après l’augmentation de la quantité de spams générés par les deux vagues de juin, le nombre de spams liés aux élections a connu un recul brutal en juillet. Le nombre médian de messages quotidiens (un indicateur moins influencé par les données aberrantes) a tout de même atteint 37%.

Le nombre médian de juillet confirme davantage nos prévisions quant au comportement des pirates, qui cherchent à tirer parti de l’intérêt du public pour les conventions républicaine et démocrate. La Figure 3 présente les volumes mensuels variables et les volumes relatifs par candidat. Sur ces deux mois, les spams mentionnant Donald Trump étaient 170 fois plus fréquents que ceux mentionnant Hillary Clinton et 33 fois plus fréquents que les spams portant sur les deux candidats.


Figure 3 : les volumes mensuels globaux ont augmenté considérablement, tandis que la disparité s’est amplifiée entre les spams liés à Donald Trump et à Hillary Clinton.

La Figure 4 montre un exemple typique de spam image portant sur Donald Trump. Le message présenté dans la Figure 5 affiche du texte dans le contenu de l’e-mail, un format plus courant.



Figure 4 : exemple de spam lié à Donald Trump, qui imite les images et adresses de CNN pour paraître légitime



Figure 5 : autre format d’e-mail exploitant le nom de Donald Trump. Le texte contient des liens qui mènent vers du contenu sans rapport avec le message.

Les deux formats de spams (image et texte) portaient globalement sur les sujets suivants : 

- De nouvelles informations surprenantes concernant la campagne de Donald Trump : ces messages étaient en général envoyés depuis une fausse adresse d’un site d’information tel que CNN ou Fox News. Les noms et parfois les publicités de sites démocrates et républicains figuraient dans ces messages frauduleux

- « Devenez riche/intelligent comme Trump » : ces e-mails, envoyés avec de fausses adresses, comprenaient des sous-titres tels que « Wall Street est en colère » et semblaient provenir de sites sur l’actualité économique tels que « CNN Money ».

Nous avons également détecté une tentative de phishing liée aux élections, qui incitait les internautes à se connecter à leur compte Gmail pour « confirmer leur identité » afin de participer à un sondage (Fig. 6). Cependant, cette technique a été peu appliquée jusqu’à présent. Une méthode plus courante consiste à demander de cliquer sur des liens qui mènent vers des sites proposant de travailler à domicile et vers les sites fréquemment ciblés par les spammeurs.

Figure 6 : lien Gmail frauduleux qui tire parti des élections pour convaincre les destinataires d’entrer leurs coordonnées

Il reste à voir si cette tendance se maintiendra à l’approche de l’échéance de novembre. Indépendamment des objets et des leurres utilisés par les spammeurs, les internautes et les organismes doivent se montrer particulièrement vigilants lorsqu’ils ouvrent et répondent aux e-mails en lien avec les élections. La plupart de ces messages sont avant tout agaçants. Néanmoins, d’autres peuvent être malveillants et tirer profit de notre intérêt pour les élections afin de nous mener notamment vers des pages de phishing et des sites compromis.

Spam / Phishing