Au travers de son offre Vade qui propose une protection de la messagerie en mode SaaS, VadeTechnology dispose de plateformes de filtrage sur lesquels transitent plus de 6 Millions d'emails par jour sur le domaine français.
L'analyse statistique de ces plateformes, nous apprend à connaître les comportements adoptés par les spammeurs. En marge du travail des laboratoires Vade Live et Vade Labs, responsables de plus de 7000 règles heuristiques contenus dans le filtre Vade, nous observons de très près les volumes de mails catégorisés (Spam, Publicité, Virus, etc …) ce qui nous permet d'anticiper certaines grosses vagues de spams.
Nous observons le phénomène suivant : Environ une semaine avant la vague de spam, certains indicateurs se manifestent. Parmi lesquels : une augmentation brutale et ponctuelle du nombre de rejets sur contrôle du nom de domaine « reverse DNS », suivie un peu plus tard par une augmentation assez significative du nombre de virus heuristiques détectés par Vade.
L'observation de cette combinaison d'évènements se concrétise ensuite par la réception d'une vague de spam très nette de l'ordre de 250 000 mails par jour environ.
Vade Technology explique cette combinaison d'évènements par le fait qu'avant la diffusion massive de spams, les spammeurs ont besoin de s'assurer que le maximum de cibles sera touché, et relancent donc une infection virale avant le jour J. Il semble que cette courte vague d'infections, visible sur un ou deux jours, se produise systématiquement 2 ou 3 jours avant le début d'une vague de spams prononcée.
Cette indication peut être utilisés pour augmenter la vigilance des filtre et éventuellement adapter dynamiquement des comportements durant les quelques heures pendant lesquelles les boîtes mails subissent des envois massifs de spams afin d'adapter le filtrage au volume.
Vade Technology a observé 2 vagues de ce type récemment, toutes les deux apparues en début de mois, les 6 juillet 2011 et 8 août 2011. La connaissance de ces évènements va nous servir comme pour les météorologues à renforcer la prévention sur des périodes à risques. Le rôle de nos analyses statistiques est d'ajouter une valeur prévisionnelle dans nos recherches. Il sera plus facile de renforcer notre efficacité si nous savons à l'avance à quel moment l'adversaire va attaquer.
Par ailleurs, si d'autres indicateurs apparaissent, et que la météo du spam devient réelle, nous pourrions prévenir plusieurs types d'attaques par mail. Aujourd'hui, nous pensons pouvoir prévenir des grosses averses, mais notre expertise analytique progresse, et les comportements visibles dans les chiffres traduisent l'existence de cycles qu'il nous faut rattacher aux phénomènes concrets. Vade Technology vous présentera prochainement un jour un bulletin météo complet !
Régis BENARD
Technical Consultant
