Spam financier : “pump and dump” fait exploser le volume global de spams

Beaucoup de gens disent qu’il ne faut pas écrire des titres qui contiennent des questions.

Soit vous connaissez vous-même déjà la réponse, et dans ce cas, vous pouvez très bien la dire directement, ou alors vous ne la connaissez pas, et du coup votre article ne va pas aider réellement vos lecteurs.

Mais parfois, vous n’avez pas le choix, et c’était le cas justement le mois dernier quand nous avons écrit un article intitulé : Global spam drops by more than half – now what?

Et après ?

L’article du mois dernier mentionnait une forte chute des spams, qui semblait provenir d’un botnet bien connu et silencieux, provoquant ainsi une chute spectaculaire du volume de spams dans le monde entier :

Cela ressemblait à un constat sans équivoque, alors pourquoi la question, “et après ?”

La raison pour laquelle nous avons posé cette question est que la baisse du volume de spams ne semblait pas correspondre à une action de la communauté pour diminuer la taille du botnet :

Pourquoi [ce botnet, connu sous le nom de Necurs] est devenu silencieux cette fois-ci, et combien de temps ce “silence” va durer est un mystère, tout comme l’est le moment exact où il reprendra son activité et s’il retrouvera son précédent volume d’activités [. . .]

Nous savons également que le botnet Necurs n’est pas complètement mort, juste beaucoup plus silencieux qu’il ne l’était auparavant. En d’autres termes, si votre ordinateur fait partie du botnet Necurs, il est toujours infecté, en attente d’instructions, et il peut toujours recevoir un ordre pour se réveiller et commencer à envoyer de nouveau des spams.

A l’heure actuelle, la plupart des personnes qui ont été infectées juste avant que le volume de spams n’ait chuté, l’étaient toujours après, laissant les cybercriminels libres de revenir pour reprendre leurs activités à tout moment.

En d’autres termes, la baisse du volume de spams semblait être dû aux cybercriminels eux-mêmes.

Apparemment, ils ont fait une pause dans l’envoie des spams pour une raison encore inconnue, qui peut être tout simplement un départ en vacances, ou bien faire profil bas vis-à-vis des forces de police ou d’une bande rivale.

Donc, “et après” dépend bien sûr de nous, en tant que communauté, et de notre volonté de vérifier si nous sommes infectés et impliqués dans ce botnet, en résumé si nous faisons partie des utilisateurs zombifiés dont les ordinateurs peuvent à tout moment revenir hanter internet dans un futur proche.

Retour vers le futur

Nous sommes probablement entrés à présent dans ce futur, avec un volume de SPAM dans le monde au cours des 24 dernières heures qui a bondit, de retour à environ la moitié de l’amplitude des pics indiqués dans le graphique ci-dessus.

Hier, le taux de spams horaire a dépassé à cinq reprises ce que l’on peut appeler “le taux de spams de base” illustré ci-dessus, donnant l’impression que les zombies du botnet Necurs “au repos”, mais toujours présents et silencieux, avaient été appelés à reprendre du service.

Il est intéressant de constater que cette fois-ci, ce n’est pas un malware qui a été utilisé, mais un bon vieux spam financier que nous n’avions pas vu depuis un certain temps, principalement parce qu’il ne fonctionnait pas très bien dans le passé : pump-and-dump.

Au lieu d’hameçonner les destinataires d’emails en les incitant à cliquer sur des liens malveillants, ou en leur proposant des enquêtes bidons ou encore en les poussant à ouvrir des pièces jointes piégées, vous leur proposer l’achat d’actions :

La théorie est que si vous choisissez une action avec une valeur basse, et que vous concoctez une histoire crédible pour engager la discussion, et que vous commencez à acheter juste avant que vos victimes ne commencent à recevoir les emails …

… alors votre achat de départ en masse permettra de faire monter un peu la valeur de l’action, ajoutez alors un peu de réalisme à vos revendications, tout en faisant croire que l’action va bientôt exploser, et encouragez enfin de plus en plus de victimes à mordre à l’hameçon, afin d’en écouler le maximum.

Lorsque vous avez attendu le maximum que vous pouviez (vous devez sortir avant que la rumeur ne monte au sein de la communauté ou des régulateurs !), vous vous débarrassez de vos actions pour une coquette somme et vous laissez vos victimes découvrir si leurs actions ont pris de la valeur, ou bien si elles ont retrouvé leurs niveaux de départ ou pire, un niveau encore plus bas.

Est-ce que ce spam financier a fonctionné ?

Le timing de ce spam financier était intéressant.

InCapta, Inc (INCT), la société ciblée par ce scam, est ce qu’on appelle souvent un “penny stock”, répertoriée par une société de titres alternatifs aux États-Unis et appelée OTC, anciennement Pink Sheets.

Le marché le plus informel d’OTC est appelé OTC Pink, et il s’accompagne de certains risques clairement mentionnés :

Le Pink Open Market offre des opérations sur un large éventail de titres par l’entremise d’un courtier. Sans aucun standard financier minimal, ce marché comprend des sociétés étrangères qui limitent les divulgations, les “penny stocks” et des “shells”, ainsi que des sociétés en difficulté ou délinquantes et autres sociétés “dark” qui ne veulent pas ou ne peuvent fournir des informations adéquates aux investisseurs. Comme Pink a très peu d’exigence en matière de divulgation de la part des sociétés, les investisseurs sont fortement incités à avancer avec prudence et à effectuer des recherches approfondies sur ces sociétés avant de prendre une éventuelle décision d’investissement.

Une petite recherche concernant l’INCT révélerait facilement qu’elle prétend être une société de médias qui fait des émissions de télévision, entre autres choses, et que le jour de cette campagne de spams, elle a apparemment publié un communiqué de presse, annonçant un nouveau programme hebdomadaire, de sa propre production.

Pas un mot sur les drones, ou sur le cloud computing, ou même sur quoi que ce soit pour corroborer les revendications des spammeurs.

À première vue, il semble que ce spam financier ait fonctionné : le cours de l’action a fortement augmenté au début, en date du 2017-03-20, clôturant à 13 cents le vendredi, mais atteignant 24 cents à 9h30 le lundi matin.

Le prix a ensuite chuté à environ 15 cents au cours de la journée de spéculations :

Avec plus de cinq millions de transactions au cours du Lundi, les actions de l’INCT étaient bien plus demandées que l’an dernier. Ironiquement, cependant, seulement un petit nombre de ces transactions ont été passées à la valeur maximum de 24 cents, ce qui a limité la quantité de “dump money” qui a été récupéré au niveau de ce pic.

Nous soupçonnons que les destinataires de ces spams ont également été influencés par une hausse spectaculaire du cours de l’action d’INCT, multiplié par 17, et ce trois mois plus tôt, où environ deux millions de transactions ont été passées à une valeur de seulement 7.5 cents, suivie d’une hausse à Noël jusqu’à ce que la valeur atteigne 1.31$, très proche des récentes promesses des spams :

Il se peut que quelqu’un ait vraiment réussi à récupérer de l’argent en janvier 2017 (nous n’avons pas trouvé de preuve d’un spam financier ciblant des actions INCT à ce moment-là, au cas où vous vous le demanderez) et qu’une partie du graphique du cours de l’action a très bien pu convaincre des gens que les revendications de cette semaine émanant d’un tiers, offrant 100% de rendement étaient légitimes.

Que faire ?

• Si cela semble trop beau pour être vrai, partez du principe que c’est vrai !
• Si cela semble illégal, partez du principe que c’est vrai !
• S’il s’agit d’un email non sollicité qui vous promet de garder le secret …

…entre vous et les 30 millions de destinataires, s’il vous plaît …

Arrêtez-vous, réfléchissez, avant de vous connecter (ou, mieux encore, ne vous connectez pas !).

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Global spam volume goes back up to deliver huge pump-and-dump scam, par paul Ducklin, Sophos NakedSecurity.