Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Я аспирант и преподаю вирусологию в университете.
Полгода назад, перед началом осеннего семестра, мне выдали целый поток пятикурсников — 45 человек с разным опытом, интересами и жизненными позициями. Еще тогда я подумал, что это хорошая база для какого-нибудь научного эксперимента. Спустя два месяца я все придумал и попросил студентов написать фишинговые письма.
Под катом то, что из этого получилось, что им за это было, и немного аналитики о работе популярных почтовых сервисов. И сами письма, конечно.
Осторожно, много скриншотов.
Предупреждение
Не занимайтесь фишингом. Формально, это мошенничество, оно преследуется по статье 159.6 УК РФ. Лабораторные работы проводились в контролируемых условиях, письма отправлялись на предварительно подготовленные ящики, доступ к которым есть только у автора поста.
Все персонажи вымышлены, все совпадения с реальными людьми и организациями случайны. Все логотипы, товарные знаки и названия принадлежат их владельцам.
Я сразу понял, что ничего интересного из отправки писем на мою личную почту не выйдет — будет скучный спам, от которого никакой пользы и образовательной ценности. Студенты должны были понимать, зачем они это делают (спойлер: чтобы знать, как защищаться) и каким может быть подход к любому человеку.
Поэтому перед тем, как дать задание, я прочитал лекцию о целенаправленных атаках, социальной инженерии и фишинге, показал примеры и объяснил, что уязвим любой человек.
А еще в очередной раз напомнил об уголовной ответственности за мошенничество.
Драматургия
Я придумал трех персонажей. Каждый из них где-то работает, интересуется какими-то вещами и испытывает слабости. Все трое из разных городов, разного возраста и с разными жизненными ценностями (по крайней мере, я думал об этом, когда их прописывал).
Конечно, по разным причинам эти трое используют разные почтовые сервисы — от гугла, Яндекса и mail.ru. У них разные спам-фильтры, и было интересно понять, где лучше.
Пора представить персонажей.
Мазаева Ольга Венедиктовна, 53 года, бухгалтер ООО «Вектор», Воронеж. Почта на mail.ru, mazaeva1964@inbox.ru.
Не любит современные технологии. Иногда играет в «Сокровища пиратов» на подаренном сыном телефоне. Умеет нажимать кнопки в 1С, но, в целом, с компьютером на вы.
В прошлом работала финансистом в НПО «ДЖОУЛЬ». В 90-е завод выкупил западный инвестор, а штат сократили. Имеет аккаунт в «Одноклассниках», иногда ставит подругам детства пятерки с плюсом за деньги.
Владислава Олеговна Петриченко, 21 год, офис-менеджер в фирме «Астек», Томск. Почта — zlatovladka@yandex.ru.
После семестра информатики на втором курсе теперь точно уверена, что работа сисадминов куда проще, чем ее. Конечно, весь день в танчики играть и иногда перетыкать кабели, выдернутые глупыми бухгалтерами. Мастерски обрабатывает свои селфи в Фотошопе — заменяет обои с цветочками на Мальту. Это ее первая работа, поэтому она только учится копировать документы с помощью кнопки COPY на МФУ, а не путем сканирования и печати. Владислава зарегистрирована на тринадцати сайтах знакомств, потому что ждет мужчину своей мечты, а не безвольную тряпку.
Андрей Пиманов, 26 лет, тестировщик в «Alphabetic Issues», Санкт-Петербург. Почта — ultradoter9000@gmail.com.
Параноик и либерал. Недавно перевез все свои данные в Диск Google, а пароли — в Google Smart Lock, потому что старый аккаунт на mail.ru, по его словам, «взломала кровавая гэбня». Помешан на страйкболе, регулярный участник турниров клуба «Sam Susam». Купил 458 игр в «Стиме», играл только в 6. Каждую неделю ходит на почту за посылками из китайских интернет-магазинов. Заказал ноут на Гирбесте и страшно этим гордится.
Естественно, просто дать описания людей и их электропочту было бы недостаточно для полноценной лабораторной работы, поэтому я сформулировал условия. Привожу их без изменений.
Условия
- Письма нужно действительно отправить на указанные почтовые ящики. Если вы используете специально созданные ящики, то после отправки присылайте список адресов с указанием своей фамилии и номера группы.
- Считается, что персонажи открывают письма на рабочих компьютерах в рабочее время.
- При написании нужно использовать индивидуальные особенности персонажей. По умолчанию считается, что письмо, написанное кому угодно и без деталей, не идет в зачет.
- Цель атаки — доступ во внутреннюю сеть или к данным (почта, календари, архивы, финансовая информация) организации, в которой работает каждый из персонажей. Меньший приоритет в получении личных данных персонажей.
- От кого, под каким предлогом и как будет совершаться атака, остаётся на ваше усмотрение. Использование доп. средств (скрипты, документы с макросами, софт) идет в зачет при наличии подходящей легенды.
- Письма, попавшие в спам, не идут в зачет.
В отчете я попросил приложить тексты писем, полученные логины и пароли и зайчатки аналитики о том, почему письма получились именно такими. В остальном, у студентов была полная свобода творчества.
Еще я выдал студентам несколько ссылок с полезной инфой и стал ждать.
Почитаем письма
Для начала стоит сказать, что ссылки почти во всех письмах работают и ведут на сайты разной степени прожарки.
Первая пачка писем пришла через неделю. Дадим слово авторам.
Письмо Ольге Мазаевой
Создавая это письмо, мы сделали упор на заинтересованность нашего адресата игрой «Сокровища пиратов» и получении так называемых «ОК-ов» в сети «Одноклассники». Кроме того, мы учли всем известный факт, что людям нравится участвовать в различных акциях, получая при этом что-либо совершенно бесплатно.
Письмо Владиславе Петриченко
Создавая письмо для данного адресата, мы использовали в качестве мнимого отправителя компанию-работодателя, использовали фирменный логотип компании, что добавило нашему адресату уверенности в «надежности» фишингового письма. Кроме того, мы опять же использовали приемы социальной инженерии, включив в свое письмо сообщение о розыгрыше, сделав призом за участие путевку на любимую нашим адресатом Мальту, добавив на фишинговый сайт счетчик уменьшающий оставшееся количество разыгрываемых призов.
Письмо Андрею Пиманову
Опираясь на данные о параноидальности адресата относительно безопасности своих данных, темой письма было решено выбрать усовершенствование системы защиты данных Google, а именно включение двухэтапной аутентификации. Однако, при создании письма возникли проблемы, сервисы Gmail, узнавая в нашем письме контент, похожий на свой, все время отправляли письмо в спам. Для решения этого вопроса нам пришлось сделать скрин составленного нами письма, вставить скрин в отправляемое письмо, и прикрепить к нему ссылку на наш фишинговый сайт.
Поругал авторов на тему отправки скриншотов, но письма засчитал.
Авторы получили зачет первыми из всего потока.
Сомнительная аналитика
По очевидным причинам, в статью не смогут войти 135 писем и их подробное описание. Также я не прикладываю ссылки на фишинговые сайты — в основном, из этических соображений.
Итак, писем было много, но надо подвести какой-то промежуточный итог. Далее о том, в какую сторону думали студенты и какие письма приходили чаще всего.
Самые примечательные — под спойлерами.
Ольга Мазаева
Бухгалтеру Ольге Мазаевой пришло 11 писем от ее любимой игры в Одноклассниках и еще 5 писем о бесплатной или почти бесплатной расстановке пятерок на фотки школьных подруг.
Еще ее пытались предупредить о разном ФНС, 1С, Сбербанк и служба безопасности Одноклассников.
Давят на больное. Как же ставить оценки, если аккаунт заблокируют? А там вся жизнь, сообщения, подруги, вот это все. Конечно, никто в официальных письмах не делает таких огромных кнопок, это, скорее, прием с сайтов по продаже Уникальных Курсов Всего На Свете. Но работает, судя по всему.
Если вы отвечаете за безопасность в своей компании, расскажите сотрудникам, что банки никогда не отправят ни одно подтверждение корпоративной финансовой информации на личную почту.
Здесь, конечно, автор перегнул с суммой перевода. Была бы она в раз в десять меньше, потенциальный вредоносный эффект мог бы быть в десять раз больше.
Никогда не занимайтесь такими вещами в реальной жизни, пожалуйста.
Как же не присоединиться к бывшим коллегам? Клик, ввод пароля, угнанный аккаунт.
Еще один пример воздействия якобы от поддержки продукта, которым человек пользуется каждый день. Никогда не качайте ничего из таких писем, а лучше позвоните ответственным за безопасность и предупредите их.
mail.ru любезно перенес это письмо в папку «Регистрации» для большей уверенности, что все хорошо. Все не хорошо. Не вводите никакие коды подтверждения операций, которых вы не делали, и стирайте такие письма.
Попробуйте новую версию продукта. Попробуйте! Попробуйте!!! Там новая система оценки! Не от 1 до 10, а от 1 до 12.
Дьявол в мелочах. Автор письма скопировал Мазаеву из гуглдока, поэтому шрифт не совпал. И снова — обновите ПО. Какое? Да не важно, просто обновите. К слову, по ссылке заботливо написанный студентом учебный кейлоггер.
Андрей Пиманов
Как и ожидалось, сложнее всего студентам дались письма параноидальному тестировщику Андрею. В основном, конечно, сложности были из-за спам-фильтра гуглопочты, но и сами студенты придумали здесь меньше векторов атак, чем в остальных случаях.
Андрею пришло несчетное количество писем от Steam, около десяти от Алиэкспресса и других китайских магазинов и еще парочка от Гугла. Самое вкусное, внезапно, от страйкбольного клуба «Sam Susam», см. под спойлер.
На таможне теперь нужен ИНН, поэтому письмо может и сработать. Поди разбери, что там за номер заказа, когда тебе каждую неделю приходит несколько посылок. Есть версия, что в Алиэкспрессе не такие косноязычные копирайтеры, но тут дело вкуса.
Победитель в категории «Письмо, которое вам никогда не напишет Гугл». Ссылка не спрятана, фирменной верстки нет (даже скриншотом готового письма), текст составлен наспех. Доброго времени суток!
Письмо как письмо. Гораздо веселее то, куда ведет ссылка (не вводите там ничего!).
Новогодняя распрадажа в стиме для тех, кто является и может.
Хорошее. С пакетом учредительных документов и справкой из налоговой, конечно, перегнули, но тоже похоже на обычное письмо. Здесь нет ссылки и, если не вдумываться, можно случайно отправить что-то не то.
Однозначно, мое любимое письмо. Тут все хорошо: написано человеческим языком, не пытается маскироваться под популярные сайты, а в тексте есть приятные мелочи которые выдают заботу. Мнимую, конечно. Будьте начеку!
Владислава Петриченко
Владиславу полюбили все студенты. Ей заботливо присылали ссылки на сайты знакомств, подходящих по типажу партнеров и даже промокод на фотошоп, чтобы редактировать фоточки было еще приятнее.
Выдать себя за службу безопасности вашей организации — излюбленный прием мошенников. Формальный стиль, документ во вложении. Никуда не нужно ходить, качай и смотри.
Просто очень смешное письмо, хотя, формально, методы соц.инженерии используются. Жаль, что сервис называется не «Я согласна!». Это вам бизнес-идея #9402.
Когда отправляешь фишинговые письма сразу многим людям и путаешь заголовки, а потом просишь подписать согласие, верстая письмо картинкой. Обратите внимание: если все письмо — одна большая ссылка, скорее всего, вам пишет мой студент. Можете смело удалять.
У меня только один вопрос: как авторы подбирали фотографию для письма? В отчете ни слова, а я бы даже почитал отдельный пост на эту тему.
Тут снова засветился украденный логотип Астека, но авторы другие. Тут просто все очень хорошо, главное — распробовать.
Владислава хочет на мальту, а тут такое предложение за копейки. Срочно, срочно покупать.
К тому же, сайт располагает:
Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке. Пожалуйста, не будьте как я.
— А что там со спам-фильтрами? Они же должны фильтровать такое, правда?
Вообще, наверное, должны, но нет.
Лучше всех справился gmail — из 38 писем 13 оказались в папке «Спам». Гуглопочта фильтровала письма, «похожие на те, что мы уже заблокировали» и те, которые «содержат вещи, характерные для фишинговых писем».
На втором месте из трех Яндекс — он отфильтровал неутешительные три письма. К сожалению, Яндекс не указывает причину блокировки в интерфейсе почты.
На mail.ru в спам попало единственное письмо.
Если вспомнить, как выглядели успешные письма, я бы не назвал работу всех трех сервисов хорошей. И даже какой-никакой процент отфильтрованных писем у gmail не решает проблемы с фишингом и целенаправленными атаками. Злоумышленники могут прикинуться кем угодно и, зная о вас совсем немного, получат доступ к вашим аккаунтам.
Выводы
Считаю, что лабораторная работа удалась. После беседы студенты понимают (или делают вид, что понимают) как защищаться от фишинга и почему не нужно так делать в реальной жизни — мошенникам грозит реальный тюремный срок по статье 159.6 УК РФ. Я много раз предупредил студентов об этом на лекции и практических занятиях. Не делайте так и вы.
А как защищаться?
- Не открывайте ссылки, не скачивайте и не запускайте файлы из писем, если не уверены.
- Не вводите свои личные данные — логины, пароли, номера карт и любую другую информацию — на посторонних сайтах. Если у вас есть малейшее подозрение, закройте страницу.
- Подключите двухфакторную аутентификацию для своих аккаунтов. Это может быть смска, биометрическая аутентификация или подтверждение на мобильном устройстве.
- Если сомнительное письмо пришло на корпоративную почту, расскажите об этом админу или службе безопасности. Есть вероятность, что кто-то проводит целенаправленную атаку на компанию.
- Будьте бдительны. Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.
Большое спасибо студентам, которые поучаствовали в этом эксперименте. Встретимся на экзамене :)
А всем остальным спасибо, что дочитали до конца. Не дайте себя обмануть.
Комментарии (131)
ivanius
25.12.2017 16:29+1Ух, сколько мне звонков от знакомых, друзей и родственников в последнее время, которые так и норовят поехать за наследством от «дальнего родственника», в Турцию «за пол цены» или просто оплатить билет через «новый, удобный и быстрый сервис». Думаю нужно на каждый скриншот добавить цензуру (шутка, статья то научная, да?)
sim-dev
25.12.2017 16:41+1Интересно, если какого-то студента все-таки привлекут за фишинг, а он на допросе скажет на голубом глазу: а мне преподаватель объяснил, как это делать — и тетрадку с лабами покажет… Вот ведь казус будет…
Nekto_Habr
25.12.2017 16:49А простейшую взрывчатку объяснял как делать препод по химии.
Яд — по фармакологии/биохимии.
Арбалет — физика или сопромат, возможно (не знаю).
Вирусы писать — программирование.
Убить безнаказанно — уголовное право (см. сериал «Как избежать наказания за убийство»… ой блин, меня за этот коммент посодют тоже)
:)))BaRoN
26.12.2017 16:58+2Ну а чего такого? Например, меня учили на химии синильную кислоту получать. Не представляю, правда, сколько заняло бы производство без катализатора — не пробовал. Да и вообще, яд любой желающий может купить в магазине, хоть какой-нибудь крысиный яд, щёлочь или кислота в общем-то тоже свободно продаются. Как сделать взрывчатку, я вообще с детства знал, ещё когда никакой химии не было :). А для убийства людей традиционными методами есть кухонные ножи и резиновые перчатки. Но почему-то я, например, никого не травил, не взрывал и не резал. Равно как и не рассылал никому фишинговые письма ;)
В крайнем случае, если у человека есть умысел, но нет знаний, он просто наймёт исполнителя, только и всего.
LanMaster
27.12.2017 12:07Юмор Вашего коммента совершенно ясен, только одно «но»: в полиции и суде работают люди полностью лишённые чувства юмора (а иногда и с очень специфической логикой), вот в чём печаль ситуаций.
saboteur_kiev
28.12.2017 17:42Неправда. Команда КВН «Приказ 390» показывают вполне здоровый юмор.
Просто у каждой профессии есть своя проф. деформация, и шутки людей от власти часто не слишком гуманные.
Mirdin
26.12.2017 09:49Извечный вопрос. В армии тоже учат стрелять, однако если после армии человек берёт в руки оружие, то генерала же не ищут.
kahi4
26.12.2017 21:56При обучении в МАИ вопрос «а не вломится ли ОМОН в общежитие за такие запросы в Гугл» возникал не один раз. Например, лаба «рассчитать минимальную высоту бомбометания чтобы не подорвать себя же для заданных параметров состава». К слову, найти фугастность некоторых смесей не так уж и просто. Да черт, у меня даже дипломная работа о том, как оптимальным образом доставить специфичный груз квадрокоптерами. Пожалуй, не буду говорить каким является критерий оптимальности, скажу только что он очень далёк от гуманного. Я бы даже сказал, что критерий оптимальности является минимумом от функции гуманности, если так подумать.
Впрочем, это не мешает мне быть пацифистом, но в истории поиска лучше все же не капаться.
bask
25.12.2017 16:45+1Почему Иван Клунин?
Это же Георгий Клунин!
evil_me Автор
25.12.2017 16:49Сам недоумеваю. Ведь реалистичность была так близка.
R2D2_RnD
25.12.2017 18:14Видимо из-за того что «дефолтным» именем на Руси являлось Иван, в США — Джорж, во Франции — Жак )
samodum
25.12.2017 18:20Судя по вашей логике, то и фамилия должна быть «дефолтной» — Иванов.
P.S. В Америке Джон аналог Ивана
Inine
26.12.2017 00:58Мне казалось, у них шаблонный перонаж — John Smith
muon
26.12.2017 01:54Ваня Кузнецов.
Звучит лучше, чем затасканные Иванов-Петров и непонятный Сидоров.
denisromanenko
26.12.2017 10:40John Doe вообще то. Jane Doe «для девочек». Даже неопознанные трупы в органах так называют между собой (ну, если судить по кино и сериалам)
evil_kabab
28.12.2017 08:47Joe Blow или Joe Shmoe. Оба юмористических имени, особенно последнее. Хотя зависит от субкультурки…
Ugrum
25.12.2017 17:13Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке.
Это магия котика!
HermaMora
25.12.2017 17:58Письмо как письмо. Гораздо веселее то, куда ведет ссылка (не вводите там ничего!).
Я теперь спать не смогу, если не введу туда данные и не узнаю что произойдет.evil_me Автор
25.12.2017 18:46Вы и еще несколько десятков человек устроили локальный апокалипсис студенту, судя по всему.
namelessnoob
25.12.2017 18:09+1Фотография "Артема Жигалова" — мем.
SinsI
25.12.2017 20:22-1Сколько из писем подменяло поле «from» на адреса реальных контактов Одноклассников и прочего?
По-идее, это — самый опасный вектор атаки, особенно если атаковать реальных, а не вымышленых людей, да с почтовых адресов тех, кто у них в friend-листе.evil_me Автор
25.12.2017 20:43Надо посмотреть. Проверю и отпишусь в эту ветку.
evil_me Автор
25.12.2017 23:41Ни одного.
Akuma
26.12.2017 00:10И правильно, т.к. 99% таких писем тот же Гмаил отправит в Спам и напишет, что оно фишинговое. Остальной 1% будет с пометкой вроде «возможно письмо отправлено не с этого адреса» (или как-то так).
По крайней мере у меня Гмаил так работает.
А в некоторых случаях Гмаил вообще письмо не примет и просто reject его.evil_me Автор
26.12.2017 00:14Кстати, никто из студентов не жаловался, что письма не доходят. А вот случаи, когда из-за спам-фильтра приходилось пересылать с другого адреса и с другим содержимым, были.
Еще, кстати, интересный момент — спам-фильтр гугла иногда пропускал, если убрать из типового письма от стима пометку «Это письмо сгенерировано автоматически».Akuma
26.12.2017 00:16У гугла вообще интересный спам-фильтр. Но один из лучших, как по мне.
Я просто как-то пытался отправлять письма с такой подменой адреса, с дев-сервера. Сервер Гмаил просто реджектил письма под предлогом несовпадения IP домена и моего дев-сервера. Возможно это связано с настроенными SPF + DKIM, не проверял.
Я тогда пол дня не мог понять, почему почта не работает. Потом посмотрел логи :)
Еще Mail.ru таким грешит. Но у них это больше похоже на баг, чем на фичу :)
А Яндекс принимает все и вся, им вроде вообще пофиг.
mxms
26.12.2017 19:09Хреновый у них фильтр. Массу легитимных рассылок пихает в спам. Да и не только рассылок, а, к примеру, обычные письма от добропорядочных серверов. При этом, это со времнем исправляется путем нажатия "не спам", однако, по моим наблюдениям у Гугл отсутсвует (по понятным причинам) персональная политика для каждого пользователя. Т.е. на принятие решения "спам" / "хам" влияет и оценка не связанных с вами пользователей системы.
andyrootman
26.12.2017 16:04Попробуйте еще hotmail, у них весьма параноидальный спам фильтр
evil_me Автор
26.12.2017 16:05Я съехал с хотмейла после случая, когда оффер от одной компании пролежал в спаме две недели. С тех пор ни-ни.
mxms
26.12.2017 19:21Гыы… На днях разбирался с одной из проблем у клиента заметил что этот Outlook/Hotmail натурально контент при доставке повреждает. Т.е. проверка DKIM не проходит.
Про такие мелочи, как несоответствие имени в HELO имени хоста я вообще молчу. Это у них норма.
"М" — мастерство мэйлинга Майкрософт.
MrBoriska
25.12.2017 21:31Хотелось бы узнать, вот столько лет уже живут почтовые протоколы и неужели до сих пор нет действенного метода пресекать такие вот подмены «from»?
EndUser
25.12.2017 23:32А что в нём плохого? Ассистент пишет от руководителя.
Только адресаты виноваты в том, что всякие почтовики не демонстрируют этого адресатам. ;-)
questor
25.12.2017 20:59На 'обеспокоина' нарочно опечатка? Не спрашивали?
evil_me Автор
25.12.2017 21:01Не спрашивал. Думаю, не опечатка.
Там вопрос скорее в том, может ли быть политика вообще чем-то обеспокоена :)
Virel
25.12.2017 21:29А можно было устроить чтобы студенты слали друг-другу такие письма, а при переходе по фишинговой ссылке, начислять очки отправителю.) Было бы, наверное, ещё веселее) Классная статья и поучительная, спасибо!
evil_me Автор
25.12.2017 21:31Спасибо за комментарий!
В планах на следующий год устроить аналог CTF с турнирной таблицей и дуэлями 1 на 1. В этом не хватило времени технически реализовать.Virel
25.12.2017 22:22Надеюсь вы итоги выложите в новой статье, очень занимательно) Я бы сама поучаствовала бы в таком! Это учит людей быть осторожными. Ещё большая проблема — взломы страниц в соц. сетях и просьбы одолжить денег. И люди некоторые попадаются. п.с.: писал однажды мне такой взломщик — обманула на 100 рублей. Но всё равно лезут отовсюду.
Будете на эту тему предпринимать что-то такое?evil_me Автор
25.12.2017 22:35Пока исследований не проводил, но масштаб проблемы представляю.
Однажды вел урок по инфобезу в школе, спросил у класса, у кого сколько страниц в VK. Оказалось, что у всех минимум по две, а максимум — семь. Естественно, о безопасности там мало заботятся — не подключишь же двухфакторку на виртуальную симку. В итоге, эти страницы угоняют, просят денег, а другие такие же школьники с радостью делятся.
Awoody
26.12.2017 16:04Вы обманули взломщика? :)
Virel
26.12.2017 17:19+1О да, я придумала историю, что на работе не зайти в банкинг. И это возможно только с телефона на котором кончились деньги ну и типа я помогу, только баланс пополни мне, всё такое.) Сделала вид, что я пытаюсь, присылала скрины, ну он и послал 100 рублей. :)
Germanets
26.12.2017 22:09ну он и послал 100 рублей. :)
— с карты другой, менее подкованной жертвы))
sumanai
26.12.2017 22:23Интересно, а вопросов от полиции при расследовании не будет?
Germanets
27.12.2017 11:48Вот в том-то и дело, что потом сначала придётся долго и упорно доказывать, что ты не тот самый чел, который разводил кучу народа со взломанных аккаунтов… А если расскажешь, что это ты обманул злоумышленника — то это тоже может пойти как мошенничество, лиж бы перед тобой не пришлось извиняться, и не дай бог компенсации выплачивать…
diagonal
26.12.2017 17:55Предлагаю добавить облегченный и более реалистичный уровень:
Попросить у студентов мейлы друзей/родственников добровольцев, которые не учатся и не учились вирусологии. Либо набрать добровольцев среди студентов и сотрудников университета. Добровольцев тщательно предупредить! По выбору преподавателя, студенты либо получают информацию о добровольце, либо находят ее сами (отдельная лаба).
По результатам лабы вручить добровольцам красивые грамоты, чтобы им было приятно.
sumanai
25.12.2017 21:31Подключите двухфакторную аутентификацию для своих аккаунтов. Это может быть смска, биометрическая аутентификация или подтверждение на мобильном устройстве.
ИМХО, смс и вообще телефон даёт лишь ослабление защиты, при должной длине пароля и ответственном его хранении, так как большинство сервисов дают сбросить пароль при наличии номера телефона и всё, чем это поможет- детектирование взлома.Akuma
26.12.2017 00:12Двухфакторная авторизация — это не сброс пароля по СМС. Это подтверждение пароля по СМС. Даже зная весь огромный пароль, но не имея доступа к телефону на сервис зайти невозможно (если не учитывать косяки самой реализации).
VolCh
26.12.2017 00:37Но можно сбросить пароль :)
Akuma
26.12.2017 00:39+1Эм. Как?
Ну, опять без учета кривой реализации. Не зайдешь в аккаунт — не сбросишь пароль.
Можно его восстановить — опять по СМС или Email. Но блин — «просрал Email — твои проблемы», уж извините. Хотя в аккаунт все равно зайти не получится.VolCh
26.12.2017 11:45Сейчас достаточно сервисов, где единственный внешний идентификатор/средство связи — телефон. Собственно, если не ошибаюсь, тот же gmail по умолчанию. И сброс пароля — это, обычно, by design, средство войти в аккаунт, не зная (забыв) пароль.
И дело даже не в кривой реализации, а в несогласованности процедур входа в аккаунт и восстановления доступа к нему. Каждая из реализаций может быть близка к идеальной, пользователи постоянно могут пользоваться двухфакторной, но на самом деле, защита однофакторная, поскольку безопасность системы в целом равна безопасности её самого слабого звена.
evil_me Автор
26.12.2017 11:46Сисадмин спросил Инь Фу Во:
– Правда ли, что любой шифр можно сломать?
Учитель ответил:
– Можно. Но не «шифр», а систему из четырёх: алгоритм, реализация, окружение и оператор.
Сисадмин ещё спросил:
– А что из этих четырёх самое непрочное?
– Стыки между ними, – ответил Учитель.
Akuma
26.12.2017 14:31Не пойму.
Вот получил я доступ к почте юзверя.
Восстанавливаю пароль. Пароль приходит на почту.
Я захожу на сервис, логинюсь и с меня требует СМС с кодом для входа.
Конец — «взлом» не удался.
Если при восстановлении пароля пользователя сразу логинит в сервис при этом еще и в обход СМС — то это как раз кривая реализация. В остальных случаях одно другому не мешает.VolCh
26.12.2017 15:40Почты в условиях не было — пароль и смс. При обычном входе у вас сначала пароль спрашивают, потом код из смс. При восстановлении пароля — код из смс и новый пароль. Так понятнее?
Akuma
26.12.2017 15:43Ага.
Так да, согласен. Но получить доступ к телефону на самом деле сложнее, чем к почте.
stepik777
26.12.2017 14:59СМС — это не безопасно и их нельзя использовать для двухфакторной аутентификации. Во-первых, далеко не все мобильные операторы серьёзно относятся к безопасности и могут отдать ваш номер левому человеку (пример). Во-вторых, сами мобильные компании или государство могут перехватить SMS (пример 1, пример 2).
Akuma
26.12.2017 15:03-1Не волнуйтесь, у меня есть шапочка из фольги :)
А серьезно, не советую пользоваться монитором. Злоумышленник может удаленно получить с него изображение. Так же не советую пользоваться клавиатурой, в нее могли встроить физический кейлоггер. Надежнее всего будет пользоваться в компьютере в бункере со стенами из метра бетона + метра свинца. Кислород лучше не брать из вне, а генерировать внутри растениями. Но я не знаю где вы возьмете растение, в которое не могли бы встроить ГМО-жучек для слежки :(
/сарказмVolCh
26.12.2017 15:43Насчёт смс — некоторые модели телефонов позволяют просмотреть полученную только что смс без разблокировки. Сразу два варианта: домашние/коллеги и укравшие телефон
Akuma
26.12.2017 16:11Все же украсть телефон стороннего человека сложнее, чем украсть его почту. Вернее, трудозатратнее.
sumanai
26.12.2017 18:12Не факт. У меня на почте стоит такой же сложный пароль, как и в банке, и нет никаких привязок к номеру, так что я уверен, что к ней может получить доступ только я и сам сервис почты.
GarfieldX
29.12.2017 13:40Все-таки факт. Ваш ящик выставлен на всеобщее обозрение в виртуальном пространстве и каждый может попробовать поковыряться в его замочке, а физический телефон нужно еще найти в реальности и получить к нему доступ. Это абсолютно несравнимый уровень сложности.
sumanai
29.12.2017 14:42Не факт. Число комбинаций моего пароля значительно превышает пресловутое число атомов во Вселенной, и если даже все люди на Земле там попробуют свои 100 млн паролей, это не приблизит их ко взлому моего ящика. А телефон доступен всем кому не лень, от кражи до перевыпуска симки во Владивостоке.
GarfieldX
29.12.2017 13:24А что мешает так же ответственно относиться к телефону? В наше время уже давно телефон не просто средство связи, а как второй паспорт и относиться к нему надо соответственно.
При должном подходе двухфакторная аутентификация только усиливает защиту, т.к. подразумевается что телефон физически всегда находится у владельца и получить доступ к аппарату существенно сложнее, чем удаленно выуживать пароль или брутфорсить систему. Если же индивид не обладает достаточным количеством серого вещества в черепной коробке, а извилины не столь извилистые чтобы осознавать это, то его уже ничего не спасёт.sumanai
29.12.2017 14:44А что мешает так же ответственно относиться к телефону?
Какая разница, если симки элементарно перевыпускаются в любом офисе безо всякого паспорта?
В наше время уже давно телефон не просто средство связи, а как второй паспорт
Это вы сделали уязвимое программное устройство своим вторым паспортом. А вот я так делать не буду.
ilya-ivanov
26.12.2017 00:59+1Есть 2 хронические болезни, на которых прокалываются авторы липовых отзывов, писем и прочих подставных текстов. Во-первых, переигрывают в имитации реализма. Во-вторых, слишком всё усложняют.
Фальшивые истории, написанные середнячками, получаются слишком правильными: подробными и последовательными. Мысль излагается стройно и буквально, как в детских учебниках. Тогда как реальные сообщения живых людей пишутся в спешке, на ходу, между делом — в них всегда полно косяков, алогизмов, сокращений, скачков мысли, опечаток и корявых речевых оборотов. Люди вообще довольно непоследовательны в мыслях и речи.
То же касается сленга и неформальных «свойских» выражений. Их трудно адекватно сымитировать в длинных письменных фразах, потому что люди сочиняют тексты совсем не так, как говорят устно. Даже если вы используете правильный сленг и реальные фразы из живой речи, в письме они будут выглядеть гротескно и ненатурально. Я про все эти «Слушай, чувак, мы тут написали приложуху...».
Возьмите пример с письмом приятеля по страйкбольному клубу. Живой человек в личном письме скорее напишет название кириллицей, да еще и просклоняет: «играли в Сам Сусаме», чем использует официальное «Sam Susam» с дополнительными кавычками. Объясняющие детали избыточны: «связь ещё плохо ловило», «ты ж в айти работаешь», «время пришло», «помнишь меня?» и т.п. Это всё слишком искусственно для неформального письма. Характерные рекламные обороты про «приведи 5 друзей» тоже не нужны, они сходу снижают рейт доверия и настраивают человека на оборону от навязчивой рекламы.
Реальное письмо выглядело бы скорее так:
Андрей, это Саня Шевцов (страйкбол). Ты планируешь играть в Самсусаме после НГ? Запускаем расписание игр на телефон для своих, там можно забивать места на выходные, на себя или на группу 7 чел. Тока не больше :) {link} Если с тобой кто-то ездит, сбрасывай им ссылку тоже. Или пусть мне на почту пишут
То есть там должен быть некоторый сумбур: и недостающая недосказанная информация, и даже лишняя «ненужная». Читатель должен сам достроить историю. «Вспомнить» Саню, додумать имена «разработчиков», связать «расписание на телефон» с приложением и т.п. Человеку проще верить в ту информацию, которая исходит от него самого. Поэтому ему нужно скармливать отдельные факты и подводить к мыслям, а не втюхивать готовые истории как из книжки.
Ну а вторая имитаторская болезнь в том, что подводки и схемы слишком сложные. Например, для того, чтобы заставить 9 из 10 молодых женщин перейти по левой ссылке, достаточно просто узнать имя любого их друга и написать одну строку «Вася Пупкин отметил вас на 2 фотографиях». Всё. Простое человеческое любопытство само по себе мотивирует в 20 раз лучше любого копирайтера. Там не нужно долгих предысторий с сюжетами.
P.S. Я не фишер :) Просто был чуток копирайтерского опыта.evil_me Автор
26.12.2017 01:19+1Илья, коммент — огонь. Развернуто и по делу, спасибо :)
Есть мысль, что нужно бы читать такие тексты вслух перед отправкой, и, если хоть чуть-чуть язык цепляется, переписывать. Хотя плохо представляю себе человека, бубнящего в офисе «Уведомляем вас об обновлении..».
Тут просто свежее пришло, никак нарадоваться не могу.
synedra
26.12.2017 06:43Вот это как раз вполне себе звучит как мелкий чиновник, пытающийся (но не очень умеющий) писать внушительным канцеляритом. Они как-то вот так и выглядят.
ingumsky
26.12.2017 01:05Спасибо за отличный пост (и отличную лабу, как видно). Хотел рассказать немного о том, что даже при соблюдении различных мер предосторожности можно попасться на фишинг. Я себя отношу к числу людей, которые достаточно внимательно относятся к вопросам безопасности в интернете (двухфакторная аутентификация, отключение использования куки третьих сторон, разные (и сложные) пароли для разных сайтов и проч.), но минувшей весной я попался.
Если вкратце, получил в пятницу с корпоративного адреса письмо на свой корпоративный же ящик, который мной используется только для переписки внутри компании. В письме было обращение по имени от шефа отдела разработки (я не разработчик, переводчик, и у меня другой отдел), лично с которым я не знаком. В написанном в достаточно формальном тоне письме говорилось о том, что мы отныне будем использовать новый облачный сервис от Гугла (я и старым корпоративным не пользовался), и была ссылка.
Так как письмо было с нашего адреса и направлено мне, я ничтоже сумняшеся кликнул на ссылке и перешёл на сайт в дизайне гугловского сервиса. На сайте была форма с полями для ввода корпоративной почты и пароля (у нас эта пара тогда использовалась для входа во внутренние сервисы). Ни то, что URL был левый (я вообще на него не посмотрел), ни то, что браузер мне не подсказал логины/пароли на сайте «гуглового сервиса», моего внимания тогда не привлекло. Как баран ввёл в поля свои данные и получил сообщение о том, что я «взломан» (как оказалось, это был аудит безопасности по заказу компании). Чувствовал себя полным дураком.evil_me Автор
26.12.2017 01:08Спасибо вам за отличную историю!
Напомнило байку о том, что после очередного аудита безопасности в «Сбербанке» всем сотрудникам пришло письмо от Германа Грефа с темой вроде «Годовой отчет», и какой-то большой процент людей купился. Ссылок не будет, потому что даже не помню, где это слышал :)
avost
26.12.2017 01:07Будьте бдительны. Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании
Да ладно! :) С зарплатами, возможно, нет, а так эксель файл в котором, как минимум, сам список сотрудников интересен. Присылается с заметкой — вы кой чего не доделали, найдите себя в файле и посмотрите что именно :)
При этом присылают "проверочные" фишинговые письма — идёшь по ссылке, а там вывеска — это проверка бдительности, вы — идиот (как и остальные 80%, которые попались на эту удочку), больше так не делайте ;)VolCh
26.12.2017 11:48Или просто "впишите в список подарок себе на Новый год" или даже "укажите когда хотите в отпуск".
synedra
26.12.2017 07:04Кстати, кто-нибудь пробовал поздравлять? Не знаю, как в бизнесе, а в академии наук
поздравления разлетаются по внутренней сети только в путь:
Моя почта сегодня утром
SambucaqQ
26.12.2017 09:48Интересная статья получилась. особенно порадовала опечатка (или же нет) «зайчатки аналитики». Милота необычайная)
daemonhk
26.12.2017 10:28Мне вот просто интересно, как тестировались письма? На идиота? Как производилась выборка успешных писем?
evil_me Автор
26.12.2017 10:54Успешное письмо соответствует условиям задачи.
Если есть форма для сбора логинов-паролей, прощались какие-то огрехи в оформлении.
Если письмо отличное само по себе, можно было даже на форму особо не смотреть.
Плюс всегда с первого взгляда понятно, кто постарался и заморочился, а кто тяп-ляп.
А по поводу тестирования — можете выполнить короткое упражнение. Пройдите по списку «горячих» у Ольги Мазаевой и подумайте, на какие из писем вы бы кликнули на ее месте. Вот я делал примерно так.daemonhk
28.12.2017 10:17К сожалению, на меня это уже не подействует, как и на большинство сидящих здесь, кто с вебом более-менее на «ты»)) А вот всех прочих, очень даже.
Sandtod
26.12.2017 10:53+1По работе столкнулся с большим количеством фишинга — угоняют аккаунты наших клиентов, которыми обычно являются женщины-учителя. Практика показывает, что на них наиболее эффективно действует тупейшая лобовая атака такого стиля:
«Здравствуйте. Мы особая секретная группа ФСБ. Пройдите по ссылке и введите свои логин и пароль от сервиса NNN. С уважением, старший лейтенант Иванов.»
Увы.evil_me Автор
26.12.2017 10:55Как-то защищаете? Инструкции, семинары, срывание листочков с паролями с мониторов?
Тут очень кстати новость про то, что всего 16% учителей в России умеют пользоваться компьютером.ingumsky
28.12.2017 12:56Всего 16%? Ужасно. Честно говоря, даже странно, почему они так отстают. И да, я понимаю, что кроме столичных/областных школ есть и другие, но всё же…
Maccimo
26.12.2017 11:03+1Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.
Вы незаслуженно хорошего мнения о людях.
Как-то раз позвонила главбух и при помощи истеричных воплей потребовала, чтобы я удалил только что отправленное ею письмо И НИ В КОЕМ СЛУЧАЕ НЕ ЧИТАЛ ЕГО11!!!1
В приложении к письму было что-то типа "зряплатная ведомость апрель 1995.xlsx"
Polonoid
26.12.2017 11:29в этом тестировании есть одна мааааленькая проблемка…
Письма рассылались единично, не массово.
Попробуйте пульнуть хотя бы по 5000 тыс. примерно одинаковых писем на все три почтовых сервиса.
Очень скоро фильтра поймаете (если конечно почтовый акк не раскачен) и потом будет труднее аналогичное содержимое выдумать.ingumsky
28.12.2017 12:58Тут прицельная атака, подстроенная под конкретного пользователя, зачем делать по пять миллионов (да даже пять тысяч, если вы это имели в виду) примерно одинаковых?
Loki3000
26.12.2017 12:44Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.
Я довольно долго получал ежемесячно ведомость от какой-то конторы. В конце-концов написал им письмо с благодарностью за информацию и просьбой больше не присылать. После этого прекратили:)Germanets
26.12.2017 13:15Надо было переслать на all@%домен_компании%, тогда было бы веселье обеспечено)
darthslider
26.12.2017 13:26+1Я тут выложил объявление на Авито и получил пару забавных фишинговых смс:
Причем первое выглядит правдоподобно если не всматриваться. Открыл в песочнице — редиректит на авито :)evil_me Автор
26.12.2017 13:29На настоящее авито? А что происходит между открытием и редиректом?
evil_me Автор
26.12.2017 13:46
Не ходите туда.darthslider
26.12.2017 13:55Причем домен зарегистрирован позавчера вечером. Видимо регулярно блочат. Но, наверное, работает схема, раз стоимость регулярной смены доменов оправдывает.
sunnyfox
27.12.2017 03:29Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке. Пожалуйста, не будьте как я.
Вот уж что-что, а приложенные к письму исполняемые файлы напрягают меня моментально больше всего. Если бы ссылка на сайт, откуда надо скачать приложение, да еще предварительно выбрав свою ОС и т.п. располагающие реалистичные детали…
GeorgWarden
Да, +стори в копилку о соц инжиниринге и фишинге: у нас как-то на CTF'е было задание, которое никто и никак не ожидал, а именно: нужно было позвонить по указанному в задании номеру и выудить у ответившего человека флаг. Мы это задание позорно завалили, потому что у нас не было никаких идей по поводу того, что говорить и куда вообще копать, хотя прочие команды в большинстве справились. В итоге флагом оказалось любимое блюдо этого парня: PelMewK11
В общем, к чему это я: уделяйте внимание всем аспектам информационной безопасности.
evil_me Автор
Спасибо за отличную историю :)