Pull to refresh

Comments 138

Да, +стори в копилку о соц инжиниринге и фишинге: у нас как-то на CTF'е было задание, которое никто и никак не ожидал, а именно: нужно было позвонить по указанному в задании номеру и выудить у ответившего человека флаг. Мы это задание позорно завалили, потому что у нас не было никаких идей по поводу того, что говорить и куда вообще копать, хотя прочие команды в большинстве справились. В итоге флагом оказалось любимое блюдо этого парня: PelMewK11
В общем, к чему это я: уделяйте внимание всем аспектам информационной безопасности.

Спасибо за отличную историю :)

Ух, сколько мне звонков от знакомых, друзей и родственников в последнее время, которые так и норовят поехать за наследством от «дальнего родственника», в Турцию «за пол цены» или просто оплатить билет через «новый, удобный и быстрый сервис». Думаю нужно на каждый скриншот добавить цензуру (шутка, статья то научная, да?)

Исключительно научная :)
О какой цензуре вы говорите?

UFO just landed and posted this here
Интересно, если какого-то студента все-таки привлекут за фишинг, а он на допросе скажет на голубом глазу: а мне преподаватель объяснил, как это делать — и тетрадку с лабами покажет… Вот ведь казус будет…
А простейшую взрывчатку объяснял как делать препод по химии.
Яд — по фармакологии/биохимии.
Арбалет — физика или сопромат, возможно (не знаю).
Вирусы писать — программирование.
Убить безнаказанно — уголовное право (см. сериал «Как избежать наказания за убийство»… ой блин, меня за этот коммент посодют тоже)

:)))

У нас, кстати, есть две лабы про вирусы и антивирусы. Надо как-нибудь написать пост и об этом.

Лаба вида — написать вирус, который не будет палиться топ 10 антивирусами?)
Блин, почему у меня не было такого препода..(
Ну а чего такого? Например, меня учили на химии синильную кислоту получать. Не представляю, правда, сколько заняло бы производство без катализатора — не пробовал. Да и вообще, яд любой желающий может купить в магазине, хоть какой-нибудь крысиный яд, щёлочь или кислота в общем-то тоже свободно продаются. Как сделать взрывчатку, я вообще с детства знал, ещё когда никакой химии не было :). А для убийства людей традиционными методами есть кухонные ножи и резиновые перчатки. Но почему-то я, например, никого не травил, не взрывал и не резал. Равно как и не рассылал никому фишинговые письма ;)

В крайнем случае, если у человека есть умысел, но нет знаний, он просто наймёт исполнителя, только и всего.
Юмор Вашего коммента совершенно ясен, только одно «но»: в полиции и суде работают люди полностью лишённые чувства юмора (а иногда и с очень специфической логикой), вот в чём печаль ситуаций.
Неправда. Команда КВН «Приказ 390» показывают вполне здоровый юмор.

Просто у каждой профессии есть своя проф. деформация, и шутки людей от власти часто не слишком гуманные.
Извечный вопрос. В армии тоже учат стрелять, однако если после армии человек берёт в руки оружие, то генерала же не ищут.

При обучении в МАИ вопрос «а не вломится ли ОМОН в общежитие за такие запросы в Гугл» возникал не один раз. Например, лаба «рассчитать минимальную высоту бомбометания чтобы не подорвать себя же для заданных параметров состава». К слову, найти фугастность некоторых смесей не так уж и просто. Да черт, у меня даже дипломная работа о том, как оптимальным образом доставить специфичный груз квадрокоптерами. Пожалуй, не буду говорить каким является критерий оптимальности, скажу только что он очень далёк от гуманного. Я бы даже сказал, что критерий оптимальности является минимумом от функции гуманности, если так подумать.


Впрочем, это не мешает мне быть пацифистом, но в истории поиска лучше все же не капаться.

Почему Иван Клунин?
Это же Георгий Клунин!

Сам недоумеваю. Ведь реалистичность была так близка.

Видимо из-за того что «дефолтным» именем на Руси являлось Иван, в США — Джорж, во Франции — Жак )
Судя по вашей логике, то и фамилия должна быть «дефолтной» — Иванов.
P.S. В Америке Джон аналог Ивана
Мне казалось, у них шаблонный перонаж — John Smith
Ваня Кузнецов.
Звучит лучше, чем затасканные Иванов-Петров и непонятный Сидоров.
John Doe вообще то. Jane Doe «для девочек». Даже неопознанные трупы в органах так называют между собой (ну, если судить по кино и сериалам)
Joe Blow или Joe Shmoe. Оба юмористических имени, особенно последнее. Хотя зависит от субкультурки…
Вероятно, на подсознательном уровне спутали имена «Джон» и «Джордж».

Прелестно. Теперь знаю, что добавить своим на следующий семестр!

А где преподаете, если не секрет?

Не секрет, Московский Политех — у меня в публикациях есть на эту тему.

Главное персонажей перепишите — скатают же :)
Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке.


Это магия котика!
UFO just landed and posted this here
Вы и еще несколько десятков человек устроили локальный апокалипсис студенту, судя по всему.

Фотография "Артема Жигалова" — мем.


Скрытый текст
У вас картинке поплохело.
Сколько из писем подменяло поле «from» на адреса реальных контактов Одноклассников и прочего?
По-идее, это — самый опасный вектор атаки, особенно если атаковать реальных, а не вымышленых людей, да с почтовых адресов тех, кто у них в friend-листе.

Надо посмотреть. Проверю и отпишусь в эту ветку.

И правильно, т.к. 99% таких писем тот же Гмаил отправит в Спам и напишет, что оно фишинговое. Остальной 1% будет с пометкой вроде «возможно письмо отправлено не с этого адреса» (или как-то так).

По крайней мере у меня Гмаил так работает.

А в некоторых случаях Гмаил вообще письмо не примет и просто reject его.
Кстати, никто из студентов не жаловался, что письма не доходят. А вот случаи, когда из-за спам-фильтра приходилось пересылать с другого адреса и с другим содержимым, были.
Еще, кстати, интересный момент — спам-фильтр гугла иногда пропускал, если убрать из типового письма от стима пометку «Это письмо сгенерировано автоматически».
У гугла вообще интересный спам-фильтр. Но один из лучших, как по мне.

Я просто как-то пытался отправлять письма с такой подменой адреса, с дев-сервера. Сервер Гмаил просто реджектил письма под предлогом несовпадения IP домена и моего дев-сервера. Возможно это связано с настроенными SPF + DKIM, не проверял.

Я тогда пол дня не мог понять, почему почта не работает. Потом посмотрел логи :)

Еще Mail.ru таким грешит. Но у них это больше похоже на баг, чем на фичу :)
А Яндекс принимает все и вся, им вроде вообще пофиг.

Хреновый у них фильтр. Массу легитимных рассылок пихает в спам. Да и не только рассылок, а, к примеру, обычные письма от добропорядочных серверов. При этом, это со времнем исправляется путем нажатия "не спам", однако, по моим наблюдениям у Гугл отсутсвует (по понятным причинам) персональная политика для каждого пользователя. Т.е. на принятие решения "спам" / "хам" влияет и оценка не связанных с вами пользователей системы.

Попробуйте еще hotmail, у них весьма параноидальный спам фильтр
Я съехал с хотмейла после случая, когда оффер от одной компании пролежал в спаме две недели. С тех пор ни-ни.
Было бы забавно, если бы это был оффер одной мелкомягкой компании из Сиэтла.
Не, их оффер я в свое время уже принял, все в порядке :)

Гыы… На днях разбирался с одной из проблем у клиента заметил что этот Outlook/Hotmail натурально контент при доставке повреждает. Т.е. проверка DKIM не проходит.
Про такие мелочи, как несоответствие имени в HELO имени хоста я вообще молчу. Это у них норма.
"М" — мастерство мэйлинга Майкрософт.

Хотелось бы узнать, вот столько лет уже живут почтовые протоколы и неужели до сих пор нет действенного метода пресекать такие вот подмены «from»?
UFO just landed and posted this here
DKIM не отсекает, он долко позволяет проверить, что письио и вправду отправленно с этого домена.
Но если вам кто-то отправит с потдельным полем from то заметно это будет если вы проверите что подпись есть.

Политика DMARC на базе SPF и DKIM зато может очень хорошо отсекать.

А что в нём плохого? Ассистент пишет от руководителя.
Только адресаты виноваты в том, что всякие почтовики не демонстрируют этого адресатам. ;-)
Зачем их отсекать? Каждое поле имеет точное значение по стандарту.

На 'обеспокоина' нарочно опечатка? Не спрашивали?

Не спрашивал. Думаю, не опечатка.
Там вопрос скорее в том, может ли быть политика вообще чем-то обеспокоена :)

Так это ж криптовалюта: обеспокоин!
Извините, поставил минус вместо плюса. У вас должно быть +5 :/
А можно было устроить чтобы студенты слали друг-другу такие письма, а при переходе по фишинговой ссылке, начислять очки отправителю.) Было бы, наверное, ещё веселее) Классная статья и поучительная, спасибо!
Спасибо за комментарий!

В планах на следующий год устроить аналог CTF с турнирной таблицей и дуэлями 1 на 1. В этом не хватило времени технически реализовать.
Надеюсь вы итоги выложите в новой статье, очень занимательно) Я бы сама поучаствовала бы в таком! Это учит людей быть осторожными. Ещё большая проблема — взломы страниц в соц. сетях и просьбы одолжить денег. И люди некоторые попадаются. п.с.: писал однажды мне такой взломщик — обманула на 100 рублей. Но всё равно лезут отовсюду.
Будете на эту тему предпринимать что-то такое?
Пока исследований не проводил, но масштаб проблемы представляю.

Однажды вел урок по инфобезу в школе, спросил у класса, у кого сколько страниц в VK. Оказалось, что у всех минимум по две, а максимум — семь. Естественно, о безопасности там мало заботятся — не подключишь же двухфакторку на виртуальную симку. В итоге, эти страницы угоняют, просят денег, а другие такие же школьники с радостью делятся.

Вы обманули взломщика? :)
О да, я придумала историю, что на работе не зайти в банкинг. И это возможно только с телефона на котором кончились деньги ну и типа я помогу, только баланс пополни мне, всё такое.) Сделала вид, что я пытаюсь, присылала скрины, ну он и послал 100 рублей. :)
Опасный вы человек, однако. Можно сказать даже страшный.
Спасибо, ребята, я тоже долго смеялась) Но это редкий случай (знаю ещё только с десяток таких) и думаю им уже выдали инструкции денег не пересылать. Как бы смешно не звучало...)
ну он и послал 100 рублей. :)
— с карты другой, менее подкованной жертвы))
UFO just landed and posted this here
Вот в том-то и дело, что потом сначала придётся долго и упорно доказывать, что ты не тот самый чел, который разводил кучу народа со взломанных аккаунтов… А если расскажешь, что это ты обманул злоумышленника — то это тоже может пойти как мошенничество, лиж бы перед тобой не пришлось извиняться, и не дай бог компенсации выплачивать…
Предлагаю добавить облегченный и более реалистичный уровень:
Попросить у студентов мейлы друзей/родственников добровольцев, которые не учатся и не учились вирусологии. Либо набрать добровольцев среди студентов и сотрудников университета. Добровольцев тщательно предупредить! По выбору преподавателя, студенты либо получают информацию о добровольце, либо находят ее сами (отдельная лаба).
По результатам лабы вручить добровольцам красивые грамоты, чтобы им было приятно.
UFO just landed and posted this here
Двухфакторная авторизация — это не сброс пароля по СМС. Это подтверждение пароля по СМС. Даже зная весь огромный пароль, но не имея доступа к телефону на сервис зайти невозможно (если не учитывать косяки самой реализации).
Но можно сбросить пароль :)
Эм. Как?

Ну, опять без учета кривой реализации. Не зайдешь в аккаунт — не сбросишь пароль.
Можно его восстановить — опять по СМС или Email. Но блин — «просрал Email — твои проблемы», уж извините. Хотя в аккаунт все равно зайти не получится.

Сейчас достаточно сервисов, где единственный внешний идентификатор/средство связи — телефон. Собственно, если не ошибаюсь, тот же gmail по умолчанию. И сброс пароля — это, обычно, by design, средство войти в аккаунт, не зная (забыв) пароль.


И дело даже не в кривой реализации, а в несогласованности процедур входа в аккаунт и восстановления доступа к нему. Каждая из реализаций может быть близка к идеальной, пользователи постоянно могут пользоваться двухфакторной, но на самом деле, защита однофакторная, поскольку безопасность системы в целом равна безопасности её самого слабого звена.

Сисадмин спросил Инь Фу Во:
– Правда ли, что любой шифр можно сломать?
Учитель ответил:
– Можно. Но не «шифр», а систему из четырёх: алгоритм, реализация, окружение и оператор.
Сисадмин ещё спросил:
– А что из этих четырёх самое непрочное?
– Стыки между ними, – ответил Учитель.
Не пойму.

Вот получил я доступ к почте юзверя.
Восстанавливаю пароль. Пароль приходит на почту.
Я захожу на сервис, логинюсь и с меня требует СМС с кодом для входа.
Конец — «взлом» не удался.

Если при восстановлении пароля пользователя сразу логинит в сервис при этом еще и в обход СМС — то это как раз кривая реализация. В остальных случаях одно другому не мешает.
UFO just landed and posted this here

Почты в условиях не было — пароль и смс. При обычном входе у вас сначала пароль спрашивают, потом код из смс. При восстановлении пароля — код из смс и новый пароль. Так понятнее?

Ага.

Так да, согласен. Но получить доступ к телефону на самом деле сложнее, чем к почте.
UFO just landed and posted this here
Не волнуйтесь, у меня есть шапочка из фольги :)

А серьезно, не советую пользоваться монитором. Злоумышленник может удаленно получить с него изображение. Так же не советую пользоваться клавиатурой, в нее могли встроить физический кейлоггер. Надежнее всего будет пользоваться в компьютере в бункере со стенами из метра бетона + метра свинца. Кислород лучше не брать из вне, а генерировать внутри растениями. Но я не знаю где вы возьмете растение, в которое не могли бы встроить ГМО-жучек для слежки :(

/сарказм

Насчёт смс — некоторые модели телефонов позволяют просмотреть полученную только что смс без разблокировки. Сразу два варианта: домашние/коллеги и укравшие телефон

Все же украсть телефон стороннего человека сложнее, чем украсть его почту. Вернее, трудозатратнее.
UFO just landed and posted this here
Все-таки факт. Ваш ящик выставлен на всеобщее обозрение в виртуальном пространстве и каждый может попробовать поковыряться в его замочке, а физический телефон нужно еще найти в реальности и получить к нему доступ. Это абсолютно несравнимый уровень сложности.
UFO just landed and posted this here

Стороннего — да. А близкого?

Если у вас крадет близкий человек, может он не такой уж и близкий?

Близкий — это объективное понятие, человек входящий в ближний круг общения.

Все это частные случаи от которых защититься на 100% в принципе не возможно.
А что мешает так же ответственно относиться к телефону? В наше время уже давно телефон не просто средство связи, а как второй паспорт и относиться к нему надо соответственно.
При должном подходе двухфакторная аутентификация только усиливает защиту, т.к. подразумевается что телефон физически всегда находится у владельца и получить доступ к аппарату существенно сложнее, чем удаленно выуживать пароль или брутфорсить систему. Если же индивид не обладает достаточным количеством серого вещества в черепной коробке, а извилины не столь извилистые чтобы осознавать это, то его уже ничего не спасёт.
UFO just landed and posted this here
Странно, но я с таким не сталкивался. Всегда паспорт просят.
Что будете делать, если вдруг забудете свой супер-пароль? Ну мало ли…
UFO just landed and posted this here

Паспорт (по крайней мере классический) не требует какой-либо защиты, он является идентификатором, но не аутентифицирующим признаком. Например, я даже затрудняюсь сказать сколько раз с моих паспортов копии снимали.

Утрируете. Причем с перегибом. Явно ведь к паспорту имеют доступ не все вокруг, а копию с него снимали исключительно по вашему разрешению и лица совершенно не планирующие причинить вам «добро». В остальное время он наверняка лежит где-нибудь в сумке и всегда находится при вас. Или к вам можно подойти и попросить на минутку паспорт, типо «чувак, а дай свой паспорт на минуточку»? Ну ведь смешно же. Так и с телефоном. Вряд ли дадите кому малознакомому и тем более без присмотра.
А вообще совершенно не понимаю почему посыл относится к телефону ответственно находит подобные отклики…
Интересно, какие мысли по поводу надежной защиты есть у вас?

С точки зрения безопасности, паспорт прежде всего идентификатор, логин, если угодно. Для аутентификации, для совершения действий от имени владельца паспорта, вы должны предъявить аутентифицирующие признаки, такие как внешность, примерно совпадающая с фотографией и подпись, также примерно совпадающая с образцом — это ваши пароли к "учётке". Сейчас вот ещё добавляют отпечатки пальцев, сканы радужки в новые паспорта, но не повсеместно пока. Вангую, скоро структуру ДНК будут повсеместно добавлять, а с широким появлением биологических клонов — какие-то сканы ментальной деятельности мозга. Дальше уже, при клонировании методом "снэпшота", само понятие "личность" становится под сомнение в текущем смысле слова, чтобы говорить об её аутентификации.


Копии, кстати, снимали и без разрешения, например, при допросах в МВД. И явно не добра мне желая, пытаясь обвинить меня в противоправных действиях, которых я не совершал. А паспорт всем не даю лишь потому, что не даю и другие свои вещи, или чужие, доверенные мне (паспорт — скорее второе) — не хочу и всё. Но с точки зрения безопасности, информации в паспорте считается априори доступной широкому, пожалуй даже неограниченному кругу лиц, хотя и охраняется законом как персональные данные.


Безопасность через владение телефоном, даже не телефоном, а информацией, относящейся к выделенному вам оператором номеру, априори менее надежна чем безопасность по секретному паролю. Коды из смс доступны широкому, пускай и ограниченному законом, кругу лиц в открытом виде. Номер вам не принадлежит даже в теории, он лишь за вами закреплён. Типичная же реализации безопасности по паролю предполагает, что пароль знаете только вы, в открытом виде он может быть только в виртуальной памяти вашего устройства.

Есть 2 хронические болезни, на которых прокалываются авторы липовых отзывов, писем и прочих подставных текстов. Во-первых, переигрывают в имитации реализма. Во-вторых, слишком всё усложняют.

Фальшивые истории, написанные середнячками, получаются слишком правильными: подробными и последовательными. Мысль излагается стройно и буквально, как в детских учебниках. Тогда как реальные сообщения живых людей пишутся в спешке, на ходу, между делом — в них всегда полно косяков, алогизмов, сокращений, скачков мысли, опечаток и корявых речевых оборотов. Люди вообще довольно непоследовательны в мыслях и речи.

То же касается сленга и неформальных «свойских» выражений. Их трудно адекватно сымитировать в длинных письменных фразах, потому что люди сочиняют тексты совсем не так, как говорят устно. Даже если вы используете правильный сленг и реальные фразы из живой речи, в письме они будут выглядеть гротескно и ненатурально. Я про все эти «Слушай, чувак, мы тут написали приложуху...».

Возьмите пример с письмом приятеля по страйкбольному клубу. Живой человек в личном письме скорее напишет название кириллицей, да еще и просклоняет: «играли в Сам Сусаме», чем использует официальное «Sam Susam» с дополнительными кавычками. Объясняющие детали избыточны: «связь ещё плохо ловило», «ты ж в айти работаешь», «время пришло», «помнишь меня?» и т.п. Это всё слишком искусственно для неформального письма. Характерные рекламные обороты про «приведи 5 друзей» тоже не нужны, они сходу снижают рейт доверия и настраивают человека на оборону от навязчивой рекламы.

Реальное письмо выглядело бы скорее так:
Андрей, это Саня Шевцов (страйкбол). Ты планируешь играть в Самсусаме после НГ? Запускаем расписание игр на телефон для своих, там можно забивать места на выходные, на себя или на группу 7 чел. Тока не больше :) {link} Если с тобой кто-то ездит, сбрасывай им ссылку тоже. Или пусть мне на почту пишут


То есть там должен быть некоторый сумбур: и недостающая недосказанная информация, и даже лишняя «ненужная». Читатель должен сам достроить историю. «Вспомнить» Саню, додумать имена «разработчиков», связать «расписание на телефон» с приложением и т.п. Человеку проще верить в ту информацию, которая исходит от него самого. Поэтому ему нужно скармливать отдельные факты и подводить к мыслям, а не втюхивать готовые истории как из книжки.

Ну а вторая имитаторская болезнь в том, что подводки и схемы слишком сложные. Например, для того, чтобы заставить 9 из 10 молодых женщин перейти по левой ссылке, достаточно просто узнать имя любого их друга и написать одну строку «Вася Пупкин отметил вас на 2 фотографиях». Всё. Простое человеческое любопытство само по себе мотивирует в 20 раз лучше любого копирайтера. Там не нужно долгих предысторий с сюжетами.

P.S. Я не фишер :) Просто был чуток копирайтерского опыта.
Илья, коммент — огонь. Развернуто и по делу, спасибо :)
Есть мысль, что нужно бы читать такие тексты вслух перед отправкой, и, если хоть чуть-чуть язык цепляется, переписывать. Хотя плохо представляю себе человека, бубнящего в офисе «Уведомляем вас об обновлении..».
Тут просто свежее пришло, никак нарадоваться не могу.

Вот это как раз вполне себе звучит как мелкий чиновник, пытающийся (но не очень умеющий) писать внушительным канцеляритом. Они как-то вот так и выглядят.

"Приведи 5 друзей", очевидно, попытка отвлечь внимание, чтобы человек задумался о каких-то купонах, промо-кодах и как он это всё делать не будет. И проворонил главное.
В остальном комментарий — грамотное дополнение к статье.
К сожалению, законных способов собрать реальную статистику нет. Поэтому оценивать студентов по не выдуманной шкале не получится.
Всё же без проверки на реальных людях нельзя сказать, что на них лучше сработает.

Спасибо за отличный пост (и отличную лабу, как видно). Хотел рассказать немного о том, что даже при соблюдении различных мер предосторожности можно попасться на фишинг. Я себя отношу к числу людей, которые достаточно внимательно относятся к вопросам безопасности в интернете (двухфакторная аутентификация, отключение использования куки третьих сторон, разные (и сложные) пароли для разных сайтов и проч.), но минувшей весной я попался.

Если вкратце, получил в пятницу с корпоративного адреса письмо на свой корпоративный же ящик, который мной используется только для переписки внутри компании. В письме было обращение по имени от шефа отдела разработки (я не разработчик, переводчик, и у меня другой отдел), лично с которым я не знаком. В написанном в достаточно формальном тоне письме говорилось о том, что мы отныне будем использовать новый облачный сервис от Гугла (я и старым корпоративным не пользовался), и была ссылка.

Так как письмо было с нашего адреса и направлено мне, я ничтоже сумняшеся кликнул на ссылке и перешёл на сайт в дизайне гугловского сервиса. На сайте была форма с полями для ввода корпоративной почты и пароля (у нас эта пара тогда использовалась для входа во внутренние сервисы). Ни то, что URL был левый (я вообще на него не посмотрел), ни то, что браузер мне не подсказал логины/пароли на сайте «гуглового сервиса», моего внимания тогда не привлекло. Как баран ввёл в поля свои данные и получил сообщение о том, что я «взломан» (как оказалось, это был аудит безопасности по заказу компании). Чувствовал себя полным дураком.
Спасибо вам за отличную историю!
Напомнило байку о том, что после очередного аудита безопасности в «Сбербанке» всем сотрудникам пришло письмо от Германа Грефа с темой вроде «Годовой отчет», и какой-то большой процент людей купился. Ссылок не будет, потому что даже не помню, где это слышал :)
Будьте бдительны. Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании

Да ладно! :) С зарплатами, возможно, нет, а так эксель файл в котором, как минимум, сам список сотрудников интересен. Присылается с заметкой — вы кой чего не доделали, найдите себя в файле и посмотрите что именно :)
При этом присылают "проверочные" фишинговые письма — идёшь по ссылке, а там вывеска — это проверка бдительности, вы — идиот (как и остальные 80%, которые попались на эту удочку), больше так не делайте ;)

Это в какой компании такое?

Такое — эксель файлы или такое — фишинг-аудит? ;)
В общем, там ещё смешнее и политика безопасности не разрешает разглашать конкретную фирму на которую, в конечном итоге, идёт работа.

Или просто "впишите в список подарок себе на Новый год" или даже "укажите когда хотите в отпуск".

Кстати, кто-нибудь пробовал поздравлять? Не знаю, как в бизнесе, а в академии наук
поздравления разлетаются по внутренней сети только в путь:

Моя почта сегодня утром
image

То есть два письма из семи не поздравления, а день только начался. И на 23 февраля / 8 марта / 9 мая абсолютно то же самое. Но дальше будет лучше, смотрим одно из писем.

Письмо от химиков
image

То есть на ящик info@институт приходит письмецо, состоящее из дефолтной подписи и пары аттачей, и оно тут же рассылается всем пользователям во внутриинститутской рассылке.

Справедливости ради, тут правильный домен отправителя и аттачи открываются. Но я вполне себе получал такие же письма с гугла/яндекса/мейлру или с приложениями типа «Скриншот пауэрпойнтовской презентации, вставленный в документ ворда; а ещё тот же самый слайд, экспортированный в PDF; и в пауэрпойнтовском формате, чтоб два раза не вставать; и вся эта выставка форматов в архиве». И ничего, спокойно ушло на allusers@институт.

Это ж прекрасный вектор атаки. Посылаем на, скажем, 9 мая какому-нибудь не в меру патриотичному кадровику/бухгалтеру письмо типа «Поздравляем всех сотрудников ООО Вектор с Днём Победы!» и прилагаем что-нибудь заражённое в аттаче вместе с жипегом георгиевских ленточек и танков. И оно таки дойдёт половине коллектива, потому что родина же, подвиг и всё такое, какие тут домены и форматы файлов.
Мне кажется «фонарик из Плюмбума» немного спалил эту «рыбалку». :)
Новогодняя распрадажа в Стиме моментально бросается в глаза :)
Интересная статья получилась. особенно порадовала опечатка (или же нет) «зайчатки аналитики». Милота необычайная)
Мне вот просто интересно, как тестировались письма? На идиота? Как производилась выборка успешных писем?
Успешное письмо соответствует условиям задачи.
Если есть форма для сбора логинов-паролей, прощались какие-то огрехи в оформлении.
Если письмо отличное само по себе, можно было даже на форму особо не смотреть.
Плюс всегда с первого взгляда понятно, кто постарался и заморочился, а кто тяп-ляп.

А по поводу тестирования — можете выполнить короткое упражнение. Пройдите по списку «горячих» у Ольги Мазаевой и подумайте, на какие из писем вы бы кликнули на ее месте. Вот я делал примерно так.
К сожалению, на меня это уже не подействует, как и на большинство сидящих здесь, кто с вебом более-менее на «ты»)) А вот всех прочих, очень даже.
По работе столкнулся с большим количеством фишинга — угоняют аккаунты наших клиентов, которыми обычно являются женщины-учителя. Практика показывает, что на них наиболее эффективно действует тупейшая лобовая атака такого стиля:
«Здравствуйте. Мы особая секретная группа ФСБ. Пройдите по ссылке и введите свои логин и пароль от сервиса NNN. С уважением, старший лейтенант Иванов.»
Увы.
Всего 16%? Ужасно. Честно говоря, даже странно, почему они так отстают. И да, я понимаю, что кроме столичных/областных школ есть и другие, но всё же…
Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.

Вы незаслуженно хорошего мнения о людях.
Как-то раз позвонила главбух и при помощи истеричных воплей потребовала, чтобы я удалил только что отправленное ею письмо И НИ В КОЕМ СЛУЧАЕ НЕ ЧИТАЛ ЕГО11!!!1
В приложении к письму было что-то типа "зряплатная ведомость апрель 1995.xlsx"

Ну зачем же огорчать главбуха?
Можно прочитать и не сказать. Никто не огорчится :)
Тоже неплохая идея. Прислать письмо с непонятным содержанием, а следом письмо с объяснением что письмо отправлено по ошибке, не в коем случае не читать и удалить. Любопытство оно такое…
в этом тестировании есть одна мааааленькая проблемка…
Письма рассылались единично, не массово.
Попробуйте пульнуть хотя бы по 5000 тыс. примерно одинаковых писем на все три почтовых сервиса.

Очень скоро фильтра поймаете (если конечно почтовый акк не раскачен) и потом будет труднее аналогичное содержимое выдумать.
Тут прицельная атака, подстроенная под конкретного пользователя, зачем делать по пять миллионов (да даже пять тысяч, если вы это имели в виду) примерно одинаковых?
Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.

Я довольно долго получал ежемесячно ведомость от какой-то конторы. В конце-концов написал им письмо с благодарностью за информацию и просьбой больше не присылать. После этого прекратили:)
Надо было переслать на all@%домен_компании%, тогда было бы веселье обеспечено)
Я тут выложил объявление на Авито и получил пару забавных фишинговых смс: image

Причем первое выглядит правдоподобно если не всматриваться. Открыл в песочнице — редиректит на авито :)
На настоящее авито? А что происходит между открытием и редиректом?
Не разбирался, если честно. Редирект на настоящее авито.
Вполне вероятно что и ничего: чтобы что-то происходило, нужно передать правильный UserAgent.
Через некоторые промежуточные сайты, о которых нельзя говорить, отдает пустоту. Так что, скорее всего, у вас верная версия.
Причем домен зарегистрирован позавчера вечером. Видимо регулярно блочат. Но, наверное, работает схема, раз стоимость регулярной смены доменов оправдывает.
Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке. Пожалуйста, не будьте как я.

Вот уж что-что, а приложенные к письму исполняемые файлы напрягают меня моментально больше всего. Если бы ссылка на сайт, откуда надо скачать приложение, да еще предварительно выбрав свою ОС и т.п. располагающие реалистичные детали…
Sign up to leave a comment.

Articles