Le deceptive spam : cette attaque indolore qui utilise les codes de l’email marketing
L’email est l’un des principaux vecteurs d’attaques informatiques. Malgré les attaques désormais quotidiennes utilisant ce vecteur, les non-initiés ne connaissent malheureusement pas réellement l’ampleur des menaces véhiculées par email…
Outil de communication universel, l’email est principalement utilisé par les hackers pour mener des attaques de phishing et spear phishing. Ces deux attaques utilisent des méthodes différentes mais ont toutes deux pour point commun de chercher à tromper la vigilance des utilisateurs. Alors que le phishing cherche notamment à dérober des identifiants personnels, ou à infecter le système d’information de l’entreprise avec des malwares, le spear-phishing est une attaque ciblée sur un collaborateur, usurpant l’identité d’un tiers de confiance au sein de l’entreprise, dans le but de récupérer des informations ou de l’argent avec le consentement de la victime. D’autres menaces existent et elles sont le plus souvent associées aux arnaques (un grand oncle inconnu, résidant en Inde grâce auquel la victime est censée hériter de cent millions de dollars…) mais elles peuvent également prendre la forme d’un email marketing légitime.
Qu’est-ce que le deceptive spam ?
Le deceptive spam, dont la traduction pourrait être "email trompeur", est un email se faisant passer pour un email marketing, utilisant les codes graphiques et le vocabulaire de l’email marketing. Le deceptive spam ne contient ni pièce jointe, ni lien frauduleux et a pour seul but de monétiser la visite d’une personne sur un site distant.
Quel est donc l’intérêt du deceptive spam et comment les hackers gagnent de l’argent avec cette attaque ?
Comme l’adage le dit "Si c’est gratuit, c’est VOUS le produit" et dans le cas du deceptive spam, le but est de faire visiter un site web par des particuliers contre rémunération. Dans le langage marketing courant, cette technique s’appelle de "l’affiliation marketing". Un site internet va placer un lien contenant un identifiant d’affiliation et va ainsi faire la promotion d’un service ou d’un objet. Pour chaque personne ayant utilisé ce lien et acheté un produit sur le site distant, "l’affilié" (c’est son nom) se verra rétribuer d’une commission. Alors que l’utilisation de l’affiliation marketing est courante -Amazon l’utilise beaucoup - celle de spam pour attirer du trafic sur un site d’affiliation est elle, illégale.
Exemple de stratégie d’une campagne de deceptive spam
La victime a reçu un email l’invitant à se connecter à un site de rencontre en ligne. Cependant après avoir cliqué, le site distant s’avère être, non pas le site de rencontre en ligne, mais un article vantant les meilleurs sites de rencontre de l’année 2018. Sur cette page, chaque lien amenant vers un site de rencontre se voit agrémenter d’un code d’affiliation. Pour chaque création de comptes sur l’un de ces sites distants, l’auteur de cette campagne de deceptive spam se verra rétribuer d’un pourcentage du prix de l’abonnement.
Quel est le coût du deceptive spam ?
Le volume d’emails reprenant ce type de stratégie se comptabilise par millions chaque mois. Au-delà du fait que ce type de campagne non sollicitée viole les règles du Règlement Général sur la Protection des Données (le RGPD), le problème de ce type d’email réside dans son stockage et son traitement.
Avec l’augmentation des tailles de stockage des comptes email, la grande majorité des utilisateurs ne prennent pas le temps de supprimer les emails sans intérêt et stock indéfiniment ce type de message jusqu’à saturation de l’espace. Ce volume important d’emails est donc sauvegardé par les entreprises, augmentant les coûts de stockage, de bande passante et ralentissent les processus de traitement tels que l’indexation.
Le deceptive spam est donc un moyen illégal pour des hackers de gagner de l’argent. Un peu à l’instar du minage de crypto-monnaie illégal, le deceptive spam ne génère pas directement de perte d’argent pour l’utilisateur même si sur le long terme il y a bien une perte financière. Il n’en demeure pas moins que le procédé est illégal, et que des organisations l’utilisent frauduleusement pour gagner beaucoup d’argent grâce aux personnes qu’elles dupent, en ne se souciant aucunement de respecter le RGPD.
A réception de ce type d’email, il est donc impératif pour l’utilisateur de le définir comme "Spam" en le sélectionnant et en cliquant sur le bouton "SPAM". Ce signalement permettra de remonter l’information au filtre permettant de le bloquer définitivement. En attendant que les autorités de contrôle se penchent vraiment sur le sujet et soient capables de freiner les auteurs de ces attaques.