L'origine du SPAM : les botnet
Pour envoyer des mails de SPAM, il faut des machines connectées à internet !
Cela peut être des serveurs achetés chez des hébergeurs laxistes (bullet proof) - ou éventuellement des serveurs hackés :
et bien sûr les botnet / Machines Zombis.
Voici une vidéo, d'infection spambot (n'est plus actif) où l'on voit les mails envoyés par le PC infecté :
Un autre exemple en bas de cette page sur le malware SlenfBot : http://www.malekal.com/2010/12/07/slenf ... r-irc-bot/
ou encore le malware Win32/Tedroo.I / Email-Worm.Win32.Joleee / Win32:Walivun : win32-tedroo-email-worm-win32-joleee-win32-walivun-t19192.html
et encore Trojan.Tofsee - Spambot : trojan-tofsee-spambot-t23007.html
Le fonctionnement est assez simple, la machine infectée reçoit les templates des mails et les adresse d'envoie et de destinations, le malware fait ensuite le reste en envoyant les mails.
Bien entendu, le pirate qui contrôle le botnet touche de l'argent en louant ses machines infectées pour des campagnes de SPAM.
Spam via les webmail (gmail, Hotmail etc)
Les FAI prennent de plus en plus de dispositions pour bloquer les machines infectées et l'envoi de mails de SPAM.
Depuis quelques années, les auteurs de malwares se sont alors tournés vers l'envoi de SPAM depuis des webmails : gmail, Hotmail etc.
Il existe aussi des malwares qui sont capables de spammer depuis des webmails.
Les comptes sont soient générés automatiquement, ce soit les malwares utilisent des comptes existants donc les informations de connexions ont été récupérées.
La récupération des informations de connexion peuvent se faire de différentes manières :
- L'internaute donne volontairement ses informations de connexion - exemple avec le cas des sites MSN Blocker, qui ont fait des ravages.
- Les informations de connexion sont récupérées à l'insu de l'internaute via un Trojan.Stealer sur son PC - C'est entre autre pour cela qu'après une infection, il est conseillé de changer ses mot de passe.
- Soit car l'internaute s'est connecté depuis un réseau non sûr (souvent dans un lieu public) ou chez un ami qui a son PC infecté.
Les mails envoyés depuis les comptes peuvent être supprimés des éléments envoyés pour ne pas éveiller les soupçons du propriétaires du compte.
Idée reçue : adresse de l'expéditeur et postmaster
L'adresse de l'expéditeur ne peux permettre à coup sûr de déterminer si un compte a été hacké ou non.
Pourquoi ? car on peux envoyer un mail avec n'importe quelle adresse email en éméteur.
Dès lors on peux envoyer un mail avec une adresse Hotmail sans que le mail proviennent d'un compte hotmail.
Lire : Mail : source expéditeur - enveloppe headers & message header.
Ici deux mails dont l'adresse est à la fois expéditeur et destinataire, le but étant de tromper les programmes anti-Spam mal réglé.
Ce problème de mails avec l'expéditeur revient le plus souvent dans les problèmes de SPAM sur les forums : je reçois des mails d'un ami xxxx@xxxxx.com -est celui-qui me SPAM ?
Les internautes se basant sur cette adresse pour déterminer la provenance (Ordinateur qui Spam et compte) or cela ne veux rien dire.
Dans le doute et si l'adresse de l'expéditeur est un webmail, changer le mot de passe de ce dernier et éventuellement scanner l'ordinateur du propriétaire avec Malwarebyte Anti-Malware, selon le taux et le type de détection, il se peut que le PC soit infecté et qu'un Trojan.Stealer aie volé les informations de connexion.
Dans tous les cas, la machine qui envoie le SPAM peut-être déterminé à partir des informations du header du mail, se reporter à la page : Mail : source expéditeur - enveloppe headers & message header pour plus d'informations.
le cas de postmaster
Postmaster est une adresse générique existantes sur les serveurs de mail qui renvoie des mails d'erreur dans les cas où un mail n'a pu être envoyé.
Les erreurs sont contenues dans le mail, cela peut aller de l'adresse de l'expéditeur inconnue.
Le problème est le mail si votre adresse email est utilisée lors d'une campagne de SPAM, vous recevrez ces erreurs de mail.
Encore une fois, cela ne veux pas dire que c'est votre PC qui envoie des mails de SPAM.
Dans le cas d'un webmail, si vous recevrez beaucoup de mails de ce type, dans le doute, changer le mot de passe du compte.
Quelques Anti-Spam pour votre client mail
Si vous recevez vos mails via un client (Outlook / ThunderBird), vous pouvez avoir besoin d'un antispam si vous avez des difficultés pour classer les SPAMS reçus.
Voici une liste :
Vous trouverez une liste plus complète sur cette page : http://www.arobase.org/spam/logiciels-antispam.htm
Conclusion
Le Spam est un fléau assez connu des internautes.
Ce qu'il faut retenir est qu'il ne faut pas se fier à l'adresse de l'expéditeur mais dans le cas d'un webmail, dans le doutez, changer votre mot de passe, cela ne coûte rien.
Après une infection, changer aussi le mot de passe de votre compte pour ne pas que votre compte soit utilisé par la suite pour envoyer des mails de SPAM.
