Analyse d’une pharmacie illégale en ligne

Analyse d’une pharmacie illégale en ligne

Le modèle économique des spammeurs s’appuie en partie sur des boutiques en ligne permettant d’acheter des médicaments – exemple du fameux Viagra – mais également des répliques d’articles de luxe. Ces boutiques sont évidemment illégales: violations de copyright, présentation de faux certificats et de fausses attestations…

Certaines boutiques envoient la marchandise achetée, avec en particulier des risques sanitaires très élevés concernant les médicaments. D’autres se contentent d’effectuer le prélèvement bancaire et n’envoient pas la marchandise achetée.

On estime que plus de la moitié du trafic de spam mondial renvoie vers une de ces boutiques en ligne, qui sont quelques dizaines au plus. C’est par exemple le cas de la pharmacie en ligne « Canadian Neighbor Pharmacy », dont nous allons parler. Cette boutique fait partie d’une nébuleuse de pharmacies en ligne, avec entre autre « My Canadian Pharmacy » et « Canadian Health & Care Mall ».

exemples de pharmacies en ligne illégales

Si l’envoi du spam s’appuie sur un modèle décentralisé et donc difficilement identifiable, il en est tout autrement des boutiques en ligne qui sont en nombre limité, et qui peuvent être identifiées et analysées par les laboratoires des différents acteurs de sécurité de la messagerie.

Pour contrer ces analyses, les spammeurs mettent en place divers mécanismes. Le dernier mécanisme identifié est l’application de la technique dite du « spam image » en remplacement du document HTML constitutif de la boutique en ligne : le contenu du document est présenté uniquement sous forme d’images. Le but est ici de complexifier le travail d’exploitation des laboratoires : l’analyse textuelle des boutiques en ligne est rendue plus difficile, et il peut être nécessaire d’utiliser des techniques alternatives telles que l’OCR (Reconnaissance Optique de Caractères), qui se révèle être beaucoup plus coûteuse en terme de temps de calcul et moins précise.

Dans la campagne de spam étudiée, l’e-mail envoyé est un « spam image » classique, et il s’agit en l’occurrence de la boutique « Canadian Neighbor Pharmacy » représentée sous forme d’image.

Pharmacie en ligne illégale Home Page

On trouve sous cette image un texte discret, en petits caractères, d’une dizaine de lignes n’ayant absolument aucun rapport avec le sujet de l’e-mail, dont nous retranscrivons les premières lignes :

the place where the knights still maintained their conflict, and boldly stepped between the two. « Tell me, I pray you, » he said, « what benefit will accrue to him who shall get the better in this contest? The object you are contending for is already disposed of; for the Paladin Orlando, without effort and without opposition, is now carrying away the princess Angelica to Paris. You had better pursue them promptly; for if they reach Paris you will never see her again. »

Ce texte est issu d’une œuvre de Thomas Bulfinch, » Legends Of Charlemagne », un classique de la littérature classique américaine.

Il s’agit d’une technique bien rodée, permettant de passer les filtres statistiques – tels que les filtres bayésiens – qui se basent sur une analyse du texte pour rechercher des mots-clés suspects.

L’utilisateur focalisera son attention sur l’image, alors qu’un filtre statistique va travailler principalement sur le texte, pour les raisons évoquées précédemment. En l’occurrence, un texte évoquant le moyen-âge ne risque pas d’attirer l’attention d’un filtre statistique.

En cliquant sur l’image, on est renvoyé directement vers le site de la boutique en ligne, dont l’image est identique à celle présente dans l’e-mail. En regardant le source du document, on constate qu’il s’agit d’une mosaïque formée de 64 petites images, affichée avec un élément HTML de type <table>. Nous présentons ci-dessous les deux premières lignes de la mosaïque.

Construction hmtl du site

Le but est le même que celui du « spam image » : rendre l’analyse du document plus complexe, compliquer les contre-mesures, et ainsi optimiser le retour sur investissement du spammeur.

Un clic sur un emplacement quelconque de la page va nous rediriger vers l’URL définie dans l’attribut HREF : cette URL est celle de la boutique en ligne, qui est visuellement identique à l’image précédente.

Pharmacie en ligne illégale Home PageEn regardant le code source du document, on constate qu’il ne s’agit plus d’une mosaïque d’images, mais bel et bien d’une boutique en ligne.

code html de la boutiqueUne navigation permet en outre de constater le professionnalisme avec lequel le site a été développé : présentation structurée, application d’une charte graphique, gestion d’un panier…

On peut même effectuer un achat sécurisé par le protocole HTTPS, dont le certificat est délivré par la société GeoTrust, Inc.

Certificat SSL

On peut s’étonner qu’un certificat délivré par un acteur majeur tel que GeoTrust, Inc. soit utilisé pour mener des opérations illégales. Il faut ici rappeler que HTTPS – HTTP sur SSL ou TLS – assure seulement l’intégrité, l’authentification et la confidentialité des données : il n’assure en aucun cas la bonne réputation du détenteur du certificat.

Les spammeurs font preuve d’une ingéniosité et d’un professionnalisme croissants, et il est donc indispensable d’étudier leur mode opératoire au jour le jour pour perfectionner les mécanismes de filtrage du spam.

Sébastien GOUTAL
Filter lab Manager

À propos de l'auteur :

Ingénieur développement, à la tête du service recherche et développement (R&D) chez VadeSecure

Un commentaire

  1. […] On estime que plus de la moitié du trafic de spam mondial renvoie vers une de ces boutiques en ligne, qui sont quelques dizaines au plus. C'est par exemple le cas de la pharmacie en ligne « Canadian Neighbor Pharmacy » …   Retrouvez les autres article du blog à l'adresse : http://blog.antispam.fr […]

Laisser un commentaire