Présentation
Au mois d'août dernier, les chercheurs de Proofpoint se sont intéressés au courrier indésirable en lien avec les élections américaines, en recherchant notamment les occurrences des chaînes « trump », « clinton » ou les deux dans les lignes d'objet. Les élections devant avoir lieu dans un peu plus d'une semaine à peine, nous avons repris nos statistiques sur les messages et décelé quelques différences notables entre les deux périodes. Ces variations montrent l'évolution du comportement des spammeurs à mesure que la campagne présidentielle américaine entre dans la dernière ligne droite :
- Le volume global de spam chute nettement aux cours des mois d'août et septembre, avant de rebondir en octobre avec l'approche des élections (Figure 1).
- En pourcentage du spam total lié aux élections, la fréquence d'apparition du nom des deux candidats augmente de près de 6 % depuis la baisse de juillet. Les e-mails mentionnant uniquement Clinton ou les deux candidats représentent désormais 17 % de l'intégralité du spam lié aux élections, contre moins de 4 % au mois de juillet.
- Le spam associé à Trump reste toutefois prédominant : en octobre, à son niveau le plus bas, son volume est près de neuf fois supérieur à celui associé au nom de Clinton. Ce rapport est toutefois divisé par cinq depuis le mois de juillet, période où le spam mentionnant Trump dépassait largement celui de Clinton (45:1).
- Les pics de spam lié aux élections correspondent à des événements majeurs tels que les débats télévisés entre les candidats et leurs vice-présidents potentiels.
Figure 1 : Volume global de spam par candidat, de juin à octobre
Analyse
Aux mois de juin et juillet, lorsque nous recherchions les occurrences de « clinton » ou « trump » dans les lignes d'objet des messages indésirables détectés dans notre base de clients, le spam lié aux élections et ne contenant que la chaîne « trump » constituait une écrasante majorité. Par exemple, la ligne d'objet « Trump vient-il de remporter les élections grâce à sa dernière déclaration ? » était désignée comme étant un message associé à Trump, tandis que la ligne d'objet « Trump démolit Hillary Clinton dans sa dernière déclaration » était considérée comme liée aux deux candidats.
Au mois de juin notamment, deux très vastes campagnes à propos de Trump ont représenté à elles seules plus de 94 % de la totalité du spam lié aux élections. Ce chiffre a atteint 96 % en juillet. Le mois dernier, le spam associé aux deux candidats représentait près de 8 % du volume de spam lié aux élections. Il n'atteignait que 1,8 % à son niveau le plus bas au mois de juillet. Le spam autour de Clinton a augmenté chaque mois de moins d'un demi pourcent du total pour dépasser les 9 % au mois d'octobre. Ces résultats sont résumés à la Figure 2.
Figure 2 : Pourcentage total du spam lié aux élections, associé à Trump, Clinton et aux deux candidats
Bien que le mois de juin soit resté marginal du fait des deux campagnes de très grande ampleur ayant Trump pour thème, l'écart entre le spam mentionnant Trump et Clinton ou Trump et les deux candidats a diminué au cours des derniers mois (Figure 3). Au mois d'octobre, à son niveau le plus bas, le spam associé à Trump reste toutefois majoritaire et représente près de neuf fois le volume du spam associé au nom de Clinton. Ce ratio a toutefois été divisé par cinq depuis le mois de juillet, période où le spam associé au nom de Trump dépassait largement celui de Clinton (45:1).
Figure 3 : L'écart entre le volume de spam exclusivement lié à Trump et celui exclusivement lié à Clinton ou aux deux candidats diminue globalement à mesure que la date du vote approche.
Au cours de ce dernier mois, nous avons également examiné les tendances potentielles qui se dégagent des principaux événements de la campagne électorale. Par exemple, le premier débat télévisé a été suivi par cinq jours d'augmentation constante du volume d'e-mails mentionnant les noms Clinton et Trump. Bien qu'il ne soit pas possible d'établir un lien direct entre des événements comme ces débats et l'évolution du volume de spam, une corrélation significative semble se dégager entre les pics de spam et certains événements spécifiques, qui attirent l'attention et suscitent l'intérêt des électeurs. Cet intérêt accru des électeurs offre à son tour aux spammeurs une nouvelle opportunité d'exploiter le facteur humain et l'enthousiasme des destinataires à ouvrir les e-mails qui mentionnent cette élection.
Conscients de ces liens potentiels, nous avons alors réexaminé toutes les données à partir du mois de juillet afin de déterminer si certains événements coïncidaient aux pics de volume de spam observés. Certains d'entre eux sont mis en évidence à la Figure 4.
Figure 4 : Tendances du volume de spam par candidat, de juillet à octobre
Comme en témoigne la tendance à long terme, les pics de volume des messages exploitant le nom des candidats sont liés à d'importants événements électoraux, par exemple aux différents débats télévisés et à la couverture médiatique, et en particulier à la campagne de Trump. De même, les augmentations en volume du spam associé au nom de Clinton correspondent grossièrement à la hausse de sa côte de popularité dans les sondages et à sa domination plus marquée à l'approche du vote.
E-mails
Comme pour notre analyse précédente, nous avons examiné différents exemples d'e-mail (graphiques et textes). La majorité de ces messages comprenait des liens sans aucun rapport avec l'élection, par exemple :
- Sites de travail à domicile
- Sites de vente de compléments alimentaires
- Pages de promotions commerciales
- Pages d'affiliés générant des revenus
Figure 5 : Faux article du magazine Forbes, conduisant à un site de travail à domicile
Figure 6 : Une version anglaise de cet article conduit à un site de jeux d'argent, tandis que la version propagée aux États-Unis mène à un site de vente de « stimulants pour le cerveau ».
D'autres comprenaient des articles ou des liens associés à l'élection ou aux candidats. La Figure 7 ci-dessous en donne quelques exemples.
Figure 7 : Liens et vidéo mettant en avant des arguments en faveur de Trump, et lien pour acheter l'ebook Survivre à la dernière bulle
Conclusion
Nous savons désormais que les auteurs de spam surveillent les tendances et l'actualité événementielle pour renforcer l'efficacité de leurs opérations de messagerie. L'élection est pour nous l'occasion d'observer cette évolution dans le temps et le lien avec les divers événements survenant tout au long de la campagne électorale. Une corrélation semble également être établie entre la domination relative des candidats et les augmentations du volume de spam : à mesure que Clinton monte dans les sondages et gagne du terrain sur Trump, la proportion de messages mentionnant le nom Clinton ou les deux candidats augmente également.
Pour les auteurs de spam, la controverse que suscite cette élection particulière leur a aussi fourni l'occasion de propager des appâts attrayants, capables de leurrer même les utilisateurs les plus expérimentés et de les inciter à ouvrir ces e-mails et à cliquer sur les liens. Les règles habituelles pour une gestion saine des e-mails doivent cependant toujours être appliquées, aussi tentant que puisse paraître les pièges à clics associés aux élections du 8 novembre.