Как я попросил студентов написать фишинговые письма

    – Учитель, я подобрал хороший пароль, которого не может быть в словарях.
    Инь Фу Во кивнул.
    – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
    – Теперь есть.


    Я аспирант и преподаю вирусологию в университете.

    Полгода назад, перед началом осеннего семестра, мне выдали целый поток пятикурсников — 45 человек с разным опытом, интересами и жизненными позициями. Еще тогда я подумал, что это хорошая база для какого-нибудь научного эксперимента. Спустя два месяца я все придумал и попросил студентов написать фишинговые письма.



    Под катом то, что из этого получилось, что им за это было, и немного аналитики о работе популярных почтовых сервисов. И сами письма, конечно.

    Осторожно, много скриншотов.

    Предупреждение


    Не занимайтесь фишингом. Формально, это мошенничество, оно преследуется по статье 159.6 УК РФ. Лабораторные работы проводились в контролируемых условиях, письма отправлялись на предварительно подготовленные ящики, доступ к которым есть только у автора поста.

    Все персонажи вымышлены, все совпадения с реальными людьми и организациями случайны. Все логотипы, товарные знаки и названия принадлежат их владельцам.


    Я сразу понял, что ничего интересного из отправки писем на мою личную почту не выйдет — будет скучный спам, от которого никакой пользы и образовательной ценности. Студенты должны были понимать, зачем они это делают (спойлер: чтобы знать, как защищаться) и каким может быть подход к любому человеку.



    Поэтому перед тем, как дать задание, я прочитал лекцию о целенаправленных атаках, социальной инженерии и фишинге, показал примеры и объяснил, что уязвим любой человек.
    А еще в очередной раз напомнил об уголовной ответственности за мошенничество.

    Драматургия


    Я придумал трех персонажей. Каждый из них где-то работает, интересуется какими-то вещами и испытывает слабости. Все трое из разных городов, разного возраста и с разными жизненными ценностями (по крайней мере, я думал об этом, когда их прописывал).



    Конечно, по разным причинам эти трое используют разные почтовые сервисы — от гугла, Яндекса и mail.ru. У них разные спам-фильтры, и было интересно понять, где лучше.

    Пора представить персонажей.

    Мазаева Ольга Венедиктовна, 53 года, бухгалтер ООО «Вектор», Воронеж. Почта на mail.ru, mazaeva1964@inbox.ru.

    Не любит современные технологии. Иногда играет в «Сокровища пиратов» на подаренном сыном телефоне. Умеет нажимать кнопки в 1С, но, в целом, с компьютером на вы.
    В прошлом работала финансистом в НПО «ДЖОУЛЬ». В 90-е завод выкупил западный инвестор, а штат сократили. Имеет аккаунт в «Одноклассниках», иногда ставит подругам детства пятерки с плюсом за деньги.

    Владислава Олеговна Петриченко, 21 год, офис-менеджер в фирме «Астек», Томск. Почта — zlatovladka@yandex.ru.
    После семестра информатики на втором курсе теперь точно уверена, что работа сисадминов куда проще, чем ее. Конечно, весь день в танчики играть и иногда перетыкать кабели, выдернутые глупыми бухгалтерами. Мастерски обрабатывает свои селфи в Фотошопе — заменяет обои с цветочками на Мальту. Это ее первая работа, поэтому она только учится копировать документы с помощью кнопки COPY на МФУ, а не путем сканирования и печати. Владислава зарегистрирована на тринадцати сайтах знакомств, потому что ждет мужчину своей мечты, а не безвольную тряпку.

    Андрей Пиманов, 26 лет, тестировщик в «Alphabetic Issues», Санкт-Петербург. Почта — ultradoter9000@gmail.com.
    Параноик и либерал. Недавно перевез все свои данные в Диск Google, а пароли — в Google Smart Lock, потому что старый аккаунт на mail.ru, по его словам, «взломала кровавая гэбня». Помешан на страйкболе, регулярный участник турниров клуба «Sam Susam». Купил 458 игр в «Стиме», играл только в 6. Каждую неделю ходит на почту за посылками из китайских интернет-магазинов. Заказал ноут на Гирбесте и страшно этим гордится.

    Естественно, просто дать описания людей и их электропочту было бы недостаточно для полноценной лабораторной работы, поэтому я сформулировал условия. Привожу их без изменений.

    Условия лабораторной работы

    Условия


    1. Письма нужно действительно отправить на указанные почтовые ящики. Если вы используете специально созданные ящики, то после отправки присылайте список адресов с указанием своей фамилии и номера группы.
    2. Считается, что персонажи открывают письма на рабочих компьютерах в рабочее время.
    3. При написании нужно использовать индивидуальные особенности персонажей. По умолчанию считается, что письмо, написанное кому угодно и без деталей, не идет в зачет.
    4. Цель атаки — доступ во внутреннюю сеть или к данным (почта, календари, архивы, финансовая информация) организации, в которой работает каждый из персонажей. Меньший приоритет в получении личных данных персонажей.
    5. От кого, под каким предлогом и как будет совершаться атака, остаётся на ваше усмотрение. Использование доп. средств (скрипты, документы с макросами, софт) идет в зачет при наличии подходящей легенды.
    6. Письма, попавшие в спам, не идут в зачет.


    В отчете я попросил приложить тексты писем, полученные логины и пароли и зайчатки аналитики о том, почему письма получились именно такими. В остальном, у студентов была полная свобода творчества.

    Еще я выдал студентам несколько ссылок с полезной инфой и стал ждать.

    Почитаем письма


    Для начала стоит сказать, что ссылки почти во всех письмах работают и ведут на сайты разной степени прожарки.

    Первая пачка писем пришла через неделю. Дадим слово авторам.

    Письмо Ольге Мазаевой


    Создавая это письмо, мы сделали упор на заинтересованность нашего адресата игрой «Сокровища пиратов» и получении так называемых «ОК-ов» в сети «Одноклассники». Кроме того, мы учли всем известный факт, что людям нравится участвовать в различных акциях, получая при этом что-либо совершенно бесплатно.



    Письмо Владиславе Петриченко


    Создавая письмо для данного адресата, мы использовали в качестве мнимого отправителя компанию-работодателя, использовали фирменный логотип компании, что добавило нашему адресату уверенности в «надежности» фишингового письма. Кроме того, мы опять же использовали приемы социальной инженерии, включив в свое письмо сообщение о розыгрыше, сделав призом за участие путевку на любимую нашим адресатом Мальту, добавив на фишинговый сайт счетчик уменьшающий оставшееся количество разыгрываемых призов.



    Письмо Андрею Пиманову


    Опираясь на данные о параноидальности адресата относительно безопасности своих данных, темой письма было решено выбрать усовершенствование системы защиты данных Google, а именно включение двухэтапной аутентификации. Однако, при создании письма возникли проблемы, сервисы Gmail, узнавая в нашем письме контент, похожий на свой, все время отправляли письмо в спам. Для решения этого вопроса нам пришлось сделать скрин составленного нами письма, вставить скрин в отправляемое письмо, и прикрепить к нему ссылку на наш фишинговый сайт.



    Поругал авторов на тему отправки скриншотов, но письма засчитал.
    Авторы получили зачет первыми из всего потока.

    Сомнительная аналитика


    По очевидным причинам, в статью не смогут войти 135 писем и их подробное описание. Также я не прикладываю ссылки на фишинговые сайты — в основном, из этических соображений.

    Итак, писем было много, но надо подвести какой-то промежуточный итог. Далее о том, в какую сторону думали студенты и какие письма приходили чаще всего.
    Самые примечательные — под спойлерами.

    Ольга Мазаева


    Бухгалтеру Ольге Мазаевой пришло 11 писем от ее любимой игры в Одноклассниках и еще 5 писем о бесплатной или почти бесплатной расстановке пятерок на фотки школьных подруг.
    Еще ее пытались предупредить о разном ФНС, 1С, Сбербанк и служба безопасности Одноклассников.

    Горячие письма

    Давят на больное. Как же ставить оценки, если аккаунт заблокируют? А там вся жизнь, сообщения, подруги, вот это все. Конечно, никто в официальных письмах не делает таких огромных кнопок, это, скорее, прием с сайтов по продаже Уникальных Курсов Всего На Свете. Но работает, судя по всему.


    Если вы отвечаете за безопасность в своей компании, расскажите сотрудникам, что банки никогда не отправят ни одно подтверждение корпоративной финансовой информации на личную почту.

    Здесь, конечно, автор перегнул с суммой перевода. Была бы она в раз в десять меньше, потенциальный вредоносный эффект мог бы быть в десять раз больше.
    Никогда не занимайтесь такими вещами в реальной жизни, пожалуйста.



    Как же не присоединиться к бывшим коллегам? Клик, ввод пароля, угнанный аккаунт.


    Еще один пример воздействия якобы от поддержки продукта, которым человек пользуется каждый день. Никогда не качайте ничего из таких писем, а лучше позвоните ответственным за безопасность и предупредите их.


    mail.ru любезно перенес это письмо в папку «Регистрации» для большей уверенности, что все хорошо. Все не хорошо. Не вводите никакие коды подтверждения операций, которых вы не делали, и стирайте такие письма.


    Попробуйте новую версию продукта. Попробуйте! Попробуйте!!! Там новая система оценки! Не от 1 до 10, а от 1 до 12.


    Дьявол в мелочах. Автор письма скопировал Мазаеву из гуглдока, поэтому шрифт не совпал. И снова — обновите ПО. Какое? Да не важно, просто обновите. К слову, по ссылке заботливо написанный студентом учебный кейлоггер.


    Андрей Пиманов


    Как и ожидалось, сложнее всего студентам дались письма параноидальному тестировщику Андрею. В основном, конечно, сложности были из-за спам-фильтра гуглопочты, но и сами студенты придумали здесь меньше векторов атак, чем в остальных случаях.

    Андрею пришло несчетное количество писем от Steam, около десяти от Алиэкспресса и других китайских магазинов и еще парочка от Гугла. Самое вкусное, внезапно, от страйкбольного клуба «Sam Susam», см. под спойлер.

    Горячие письма

    На таможне теперь нужен ИНН, поэтому письмо может и сработать. Поди разбери, что там за номер заказа, когда тебе каждую неделю приходит несколько посылок. Есть версия, что в Алиэкспрессе не такие косноязычные копирайтеры, но тут дело вкуса.


    Победитель в категории «Письмо, которое вам никогда не напишет Гугл». Ссылка не спрятана, фирменной верстки нет (даже скриншотом готового письма), текст составлен наспех. Доброго времени суток!


    Письмо как письмо. Гораздо веселее то, куда ведет ссылка (не вводите там ничего!).


    Новогодняя распрадажа в стиме для тех, кто является и может.


    Хорошее. С пакетом учредительных документов и справкой из налоговой, конечно, перегнули, но тоже похоже на обычное письмо. Здесь нет ссылки и, если не вдумываться, можно случайно отправить что-то не то.


    Однозначно, мое любимое письмо. Тут все хорошо: написано человеческим языком, не пытается маскироваться под популярные сайты, а в тексте есть приятные мелочи которые выдают заботу. Мнимую, конечно. Будьте начеку!

    Владислава Петриченко


    Владиславу полюбили все студенты. Ей заботливо присылали ссылки на сайты знакомств, подходящих по типажу партнеров и даже промокод на фотошоп, чтобы редактировать фоточки было еще приятнее.

    Горячие письма

    Выдать себя за службу безопасности вашей организации — излюбленный прием мошенников. Формальный стиль, документ во вложении. Никуда не нужно ходить, качай и смотри.


    Просто очень смешное письмо, хотя, формально, методы соц.инженерии используются. Жаль, что сервис называется не «Я согласна!». Это вам бизнес-идея #9402.


    Когда отправляешь фишинговые письма сразу многим людям и путаешь заголовки, а потом просишь подписать согласие, верстая письмо картинкой. Обратите внимание: если все письмо — одна большая ссылка, скорее всего, вам пишет мой студент. Можете смело удалять.


    У меня только один вопрос: как авторы подбирали фотографию для письма? В отчете ни слова, а я бы даже почитал отдельный пост на эту тему.


    Тут снова засветился украденный логотип Астека, но авторы другие. Тут просто все очень хорошо, главное — распробовать.


    Владислава хочет на мальту, а тут такое предложение за копейки. Срочно, срочно покупать.
    К тому же, сайт располагает:



    Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке. Пожалуйста, не будьте как я.


    — А что там со спам-фильтрами? Они же должны фильтровать такое, правда?


    Вообще, наверное, должны, но нет.

    Лучше всех справился gmail — из 38 писем 13 оказались в папке «Спам». Гуглопочта фильтровала письма, «похожие на те, что мы уже заблокировали» и те, которые «содержат вещи, характерные для фишинговых писем».

    На втором месте из трех Яндекс — он отфильтровал неутешительные три письма. К сожалению, Яндекс не указывает причину блокировки в интерфейсе почты.

    На mail.ru в спам попало единственное письмо.

    Если вспомнить, как выглядели успешные письма, я бы не назвал работу всех трех сервисов хорошей. И даже какой-никакой процент отфильтрованных писем у gmail не решает проблемы с фишингом и целенаправленными атаками. Злоумышленники могут прикинуться кем угодно и, зная о вас совсем немного, получат доступ к вашим аккаунтам.

    Выводы


    Считаю, что лабораторная работа удалась. После беседы студенты понимают (или делают вид, что понимают) как защищаться от фишинга и почему не нужно так делать в реальной жизни — мошенникам грозит реальный тюремный срок по статье 159.6 УК РФ. Я много раз предупредил студентов об этом на лекции и практических занятиях. Не делайте так и вы.

    А как защищаться?

    • Не открывайте ссылки, не скачивайте и не запускайте файлы из писем, если не уверены.
    • Не вводите свои личные данные — логины, пароли, номера карт и любую другую информацию — на посторонних сайтах. Если у вас есть малейшее подозрение, закройте страницу.
    • Подключите двухфакторную аутентификацию для своих аккаунтов. Это может быть смска, биометрическая аутентификация или подтверждение на мобильном устройстве.
    • Если сомнительное письмо пришло на корпоративную почту, расскажите об этом админу или службе безопасности. Есть вероятность, что кто-то проводит целенаправленную атаку на компанию.
    • Будьте бдительны. Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.

    Большое спасибо студентам, которые поучаствовали в этом эксперименте. Встретимся на экзамене :)

    А всем остальным спасибо, что дочитали до конца. Не дайте себя обмануть.
    Поделиться публикацией

    Комментарии 138

      +2
      Да, +стори в копилку о соц инжиниринге и фишинге: у нас как-то на CTF'е было задание, которое никто и никак не ожидал, а именно: нужно было позвонить по указанному в задании номеру и выудить у ответившего человека флаг. Мы это задание позорно завалили, потому что у нас не было никаких идей по поводу того, что говорить и куда вообще копать, хотя прочие команды в большинстве справились. В итоге флагом оказалось любимое блюдо этого парня: PelMewK11
      В общем, к чему это я: уделяйте внимание всем аспектам информационной безопасности.
        0

        Спасибо за отличную историю :)

        +2
        Ух, сколько мне звонков от знакомых, друзей и родственников в последнее время, которые так и норовят поехать за наследством от «дальнего родственника», в Турцию «за пол цены» или просто оплатить билет через «новый, удобный и быстрый сервис». Думаю нужно на каждый скриншот добавить цензуру (шутка, статья то научная, да?)
          0

          Исключительно научная :)
          О какой цензуре вы говорите?

            0
            Извиняюсь за объяснение шутки, но видимо, о цензуре скриншотов телефонного звонка.
          0
          Интересно, если какого-то студента все-таки привлекут за фишинг, а он на допросе скажет на голубом глазу: а мне преподаватель объяснил, как это делать — и тетрадку с лабами покажет… Вот ведь казус будет…
            +5
            А простейшую взрывчатку объяснял как делать препод по химии.
            Яд — по фармакологии/биохимии.
            Арбалет — физика или сопромат, возможно (не знаю).
            Вирусы писать — программирование.
            Убить безнаказанно — уголовное право (см. сериал «Как избежать наказания за убийство»… ой блин, меня за этот коммент посодют тоже)

            :)))
              +3

              У нас, кстати, есть две лабы про вирусы и антивирусы. Надо как-нибудь написать пост и об этом.

                +7
                Лаба вида — написать вирус, который не будет палиться топ 10 антивирусами?)
                Блин, почему у меня не было такого препода..(
                +3
                Ну а чего такого? Например, меня учили на химии синильную кислоту получать. Не представляю, правда, сколько заняло бы производство без катализатора — не пробовал. Да и вообще, яд любой желающий может купить в магазине, хоть какой-нибудь крысиный яд, щёлочь или кислота в общем-то тоже свободно продаются. Как сделать взрывчатку, я вообще с детства знал, ещё когда никакой химии не было :). А для убийства людей традиционными методами есть кухонные ножи и резиновые перчатки. Но почему-то я, например, никого не травил, не взрывал и не резал. Равно как и не рассылал никому фишинговые письма ;)

                В крайнем случае, если у человека есть умысел, но нет знаний, он просто наймёт исполнителя, только и всего.
                  0
                  Юмор Вашего коммента совершенно ясен, только одно «но»: в полиции и суде работают люди полностью лишённые чувства юмора (а иногда и с очень специфической логикой), вот в чём печаль ситуаций.
                    0
                    Неправда. Команда КВН «Приказ 390» показывают вполне здоровый юмор.

                    Просто у каждой профессии есть своя проф. деформация, и шутки людей от власти часто не слишком гуманные.
                  +3
                  Извечный вопрос. В армии тоже учат стрелять, однако если после армии человек берёт в руки оружие, то генерала же не ищут.
                    0

                    При обучении в МАИ вопрос «а не вломится ли ОМОН в общежитие за такие запросы в Гугл» возникал не один раз. Например, лаба «рассчитать минимальную высоту бомбометания чтобы не подорвать себя же для заданных параметров состава». К слову, найти фугастность некоторых смесей не так уж и просто. Да черт, у меня даже дипломная работа о том, как оптимальным образом доставить специфичный груз квадрокоптерами. Пожалуй, не буду говорить каким является критерий оптимальности, скажу только что он очень далёк от гуманного. Я бы даже сказал, что критерий оптимальности является минимумом от функции гуманности, если так подумать.


                    Впрочем, это не мешает мне быть пацифистом, но в истории поиска лучше все же не капаться.

                    +7
                    Почему Иван Клунин?
                    Это же Георгий Клунин!
                      +1

                      Сам недоумеваю. Ведь реалистичность была так близка.

                        +1
                        Видимо из-за того что «дефолтным» именем на Руси являлось Иван, в США — Джорж, во Франции — Жак )
                          0
                          Судя по вашей логике, то и фамилия должна быть «дефолтной» — Иванов.
                          P.S. В Америке Джон аналог Ивана
                            0
                            Мне казалось, у них шаблонный перонаж — John Smith
                              0
                              Ваня Кузнецов.
                              Звучит лучше, чем затасканные Иванов-Петров и непонятный Сидоров.
                                0
                                John Doe вообще то. Jane Doe «для девочек». Даже неопознанные трупы в органах так называют между собой (ну, если судить по кино и сериалам)
                                  0
                                  Joe Blow или Joe Shmoe. Оба юмористических имени, особенно последнее. Хотя зависит от субкультурки…
                                  0
                                  В сетях — Василий Пупкин
                                  0
                                  Вероятно, на подсознательном уровне спутали имена «Джон» и «Джордж».
                                +1

                                Прелестно. Теперь знаю, что добавить своим на следующий семестр!

                                  0
                                  А где преподаете, если не секрет?
                                    0

                                    Не секрет, Московский Политех — у меня в публикациях есть на эту тему.

                                      +6
                                      Главное персонажей перепишите — скатают же :)
                                  +4
                                  Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке.


                                  Это магия котика!
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      +1
                                      Вы и еще несколько десятков человек устроили локальный апокалипсис студенту, судя по всему.
                                      +1

                                      Фотография "Артема Жигалова" — мем.


                                      Скрытый текст
                                        +1
                                        У вас картинке поплохело.
                                        0
                                        Сколько из писем подменяло поле «from» на адреса реальных контактов Одноклассников и прочего?
                                        По-идее, это — самый опасный вектор атаки, особенно если атаковать реальных, а не вымышленых людей, да с почтовых адресов тех, кто у них в friend-листе.
                                          0

                                          Надо посмотреть. Проверю и отпишусь в эту ветку.

                                            +1
                                            Ни одного.
                                              +4
                                              И правильно, т.к. 99% таких писем тот же Гмаил отправит в Спам и напишет, что оно фишинговое. Остальной 1% будет с пометкой вроде «возможно письмо отправлено не с этого адреса» (или как-то так).

                                              По крайней мере у меня Гмаил так работает.

                                              А в некоторых случаях Гмаил вообще письмо не примет и просто reject его.
                                                0
                                                Кстати, никто из студентов не жаловался, что письма не доходят. А вот случаи, когда из-за спам-фильтра приходилось пересылать с другого адреса и с другим содержимым, были.
                                                Еще, кстати, интересный момент — спам-фильтр гугла иногда пропускал, если убрать из типового письма от стима пометку «Это письмо сгенерировано автоматически».
                                                  0
                                                  У гугла вообще интересный спам-фильтр. Но один из лучших, как по мне.

                                                  Я просто как-то пытался отправлять письма с такой подменой адреса, с дев-сервера. Сервер Гмаил просто реджектил письма под предлогом несовпадения IP домена и моего дев-сервера. Возможно это связано с настроенными SPF + DKIM, не проверял.

                                                  Я тогда пол дня не мог понять, почему почта не работает. Потом посмотрел логи :)

                                                  Еще Mail.ru таким грешит. Но у них это больше похоже на баг, чем на фичу :)
                                                  А Яндекс принимает все и вся, им вроде вообще пофиг.
                                                    0
                                                    SPF однозначно.
                                                      0

                                                      Хреновый у них фильтр. Массу легитимных рассылок пихает в спам. Да и не только рассылок, а, к примеру, обычные письма от добропорядочных серверов. При этом, это со времнем исправляется путем нажатия "не спам", однако, по моим наблюдениям у Гугл отсутсвует (по понятным причинам) персональная политика для каждого пользователя. Т.е. на принятие решения "спам" / "хам" влияет и оценка не связанных с вами пользователей системы.

                                                      0
                                                      Попробуйте еще hotmail, у них весьма параноидальный спам фильтр
                                                        0
                                                        Я съехал с хотмейла после случая, когда оффер от одной компании пролежал в спаме две недели. С тех пор ни-ни.
                                                          0
                                                          Было бы забавно, если бы это был оффер одной мелкомягкой компании из Сиэтла.
                                                            +1
                                                            Не, их оффер я в свое время уже принял, все в порядке :)
                                                          0

                                                          Гыы… На днях разбирался с одной из проблем у клиента заметил что этот Outlook/Hotmail натурально контент при доставке повреждает. Т.е. проверка DKIM не проходит.
                                                          Про такие мелочи, как несоответствие имени в HELO имени хоста я вообще молчу. Это у них норма.
                                                          "М" — мастерство мэйлинга Майкрософт.

                                                  0
                                                  Хотелось бы узнать, вот столько лет уже живут почтовые протоколы и неужели до сих пор нет действенного метода пресекать такие вот подмены «from»?
                                                    +3
                                                    Есть, DKIM.
                                                      0
                                                      DKIM не отсекает, он долко позволяет проверить, что письио и вправду отправленно с этого домена.
                                                      Но если вам кто-то отправит с потдельным полем from то заметно это будет если вы проверите что подпись есть.
                                                        0

                                                        Политика DMARC на базе SPF и DKIM зато может очень хорошо отсекать.

                                                      0
                                                      А что в нём плохого? Ассистент пишет от руководителя.
                                                      Только адресаты виноваты в том, что всякие почтовики не демонстрируют этого адресатам. ;-)
                                                        0
                                                        Зачем их отсекать? Каждое поле имеет точное значение по стандарту.
                                                      0

                                                      На 'обеспокоина' нарочно опечатка? Не спрашивали?

                                                        0

                                                        Не спрашивал. Думаю, не опечатка.
                                                        Там вопрос скорее в том, может ли быть политика вообще чем-то обеспокоена :)

                                                          +4
                                                          Так это ж криптовалюта: обеспокоин!
                                                            0
                                                            Извините, поставил минус вместо плюса. У вас должно быть +5 :/
                                                          0
                                                          А можно было устроить чтобы студенты слали друг-другу такие письма, а при переходе по фишинговой ссылке, начислять очки отправителю.) Было бы, наверное, ещё веселее) Классная статья и поучительная, спасибо!
                                                            0
                                                            Спасибо за комментарий!

                                                            В планах на следующий год устроить аналог CTF с турнирной таблицей и дуэлями 1 на 1. В этом не хватило времени технически реализовать.
                                                              0
                                                              Надеюсь вы итоги выложите в новой статье, очень занимательно) Я бы сама поучаствовала бы в таком! Это учит людей быть осторожными. Ещё большая проблема — взломы страниц в соц. сетях и просьбы одолжить денег. И люди некоторые попадаются. п.с.: писал однажды мне такой взломщик — обманула на 100 рублей. Но всё равно лезут отовсюду.
                                                              Будете на эту тему предпринимать что-то такое?
                                                                0
                                                                Пока исследований не проводил, но масштаб проблемы представляю.

                                                                Однажды вел урок по инфобезу в школе, спросил у класса, у кого сколько страниц в VK. Оказалось, что у всех минимум по две, а максимум — семь. Естественно, о безопасности там мало заботятся — не подключишь же двухфакторку на виртуальную симку. В итоге, эти страницы угоняют, просят денег, а другие такие же школьники с радостью делятся.

                                                                  0
                                                                  Вы обманули взломщика? :)
                                                                    +2
                                                                    О да, я придумала историю, что на работе не зайти в банкинг. И это возможно только с телефона на котором кончились деньги ну и типа я помогу, только баланс пополни мне, всё такое.) Сделала вид, что я пытаюсь, присылала скрины, ну он и послал 100 рублей. :)
                                                                      +1
                                                                      Опасный вы человек, однако. Можно сказать даже страшный.
                                                                        0
                                                                        Браво!
                                                                          0
                                                                          Спасибо, ребята, я тоже долго смеялась) Но это редкий случай (знаю ещё только с десяток таких) и думаю им уже выдали инструкции денег не пересылать. Как бы смешно не звучало...)
                                                                          0
                                                                          ну он и послал 100 рублей. :)
                                                                          — с карты другой, менее подкованной жертвы))
                                                                            0
                                                                            Интересно, а вопросов от полиции при расследовании не будет?
                                                                              0
                                                                              Вот в том-то и дело, что потом сначала придётся долго и упорно доказывать, что ты не тот самый чел, который разводил кучу народа со взломанных аккаунтов… А если расскажешь, что это ты обманул злоумышленника — то это тоже может пойти как мошенничество, лиж бы перед тобой не пришлось извиняться, и не дай бог компенсации выплачивать…
                                                                      0
                                                                      Предлагаю добавить облегченный и более реалистичный уровень:
                                                                      Попросить у студентов мейлы друзей/родственников добровольцев, которые не учатся и не учились вирусологии. Либо набрать добровольцев среди студентов и сотрудников университета. Добровольцев тщательно предупредить! По выбору преподавателя, студенты либо получают информацию о добровольце, либо находят ее сами (отдельная лаба).
                                                                      По результатам лабы вручить добровольцам красивые грамоты, чтобы им было приятно.
                                                                    0
                                                                    Подключите двухфакторную аутентификацию для своих аккаунтов. Это может быть смска, биометрическая аутентификация или подтверждение на мобильном устройстве.

                                                                    ИМХО, смс и вообще телефон даёт лишь ослабление защиты, при должной длине пароля и ответственном его хранении, так как большинство сервисов дают сбросить пароль при наличии номера телефона и всё, чем это поможет- детектирование взлома.
                                                                      +1
                                                                      Двухфакторная авторизация — это не сброс пароля по СМС. Это подтверждение пароля по СМС. Даже зная весь огромный пароль, но не имея доступа к телефону на сервис зайти невозможно (если не учитывать косяки самой реализации).
                                                                        0
                                                                        Но можно сбросить пароль :)
                                                                          +2
                                                                          Эм. Как?

                                                                          Ну, опять без учета кривой реализации. Не зайдешь в аккаунт — не сбросишь пароль.
                                                                          Можно его восстановить — опять по СМС или Email. Но блин — «просрал Email — твои проблемы», уж извините. Хотя в аккаунт все равно зайти не получится.
                                                                            0

                                                                            Сейчас достаточно сервисов, где единственный внешний идентификатор/средство связи — телефон. Собственно, если не ошибаюсь, тот же gmail по умолчанию. И сброс пароля — это, обычно, by design, средство войти в аккаунт, не зная (забыв) пароль.


                                                                            И дело даже не в кривой реализации, а в несогласованности процедур входа в аккаунт и восстановления доступа к нему. Каждая из реализаций может быть близка к идеальной, пользователи постоянно могут пользоваться двухфакторной, но на самом деле, защита однофакторная, поскольку безопасность системы в целом равна безопасности её самого слабого звена.

                                                                              +2
                                                                              Сисадмин спросил Инь Фу Во:
                                                                              – Правда ли, что любой шифр можно сломать?
                                                                              Учитель ответил:
                                                                              – Можно. Но не «шифр», а систему из четырёх: алгоритм, реализация, окружение и оператор.
                                                                              Сисадмин ещё спросил:
                                                                              – А что из этих четырёх самое непрочное?
                                                                              – Стыки между ними, – ответил Учитель.
                                                                                0
                                                                                Не пойму.

                                                                                Вот получил я доступ к почте юзверя.
                                                                                Восстанавливаю пароль. Пароль приходит на почту.
                                                                                Я захожу на сервис, логинюсь и с меня требует СМС с кодом для входа.
                                                                                Конец — «взлом» не удался.

                                                                                Если при восстановлении пароля пользователя сразу логинит в сервис при этом еще и в обход СМС — то это как раз кривая реализация. В остальных случаях одно другому не мешает.
                                                                                  +1
                                                                                  Причём тут почта? Имея доступ к симке, можно сбросить пароль и войти почти во все сервисы с двухфакторной авторизацией. Пароль там для красоты.
                                                                                    0
                                                                                    Ну мы вроде как про почту говорим.
                                                                                    UPD: А, или нет. В общем, не важно :)
                                                                                    0

                                                                                    Почты в условиях не было — пароль и смс. При обычном входе у вас сначала пароль спрашивают, потом код из смс. При восстановлении пароля — код из смс и новый пароль. Так понятнее?

                                                                                      0
                                                                                      Ага.

                                                                                      Так да, согласен. Но получить доступ к телефону на самом деле сложнее, чем к почте.
                                                                              0

                                                                              СМС — это не безопасно и их нельзя использовать для двухфакторной аутентификации. Во-первых, далеко не все мобильные операторы серьёзно относятся к безопасности и могут отдать ваш номер левому человеку (пример). Во-вторых, сами мобильные компании или государство могут перехватить SMS (пример 1, пример 2).

                                                                                0
                                                                                Не волнуйтесь, у меня есть шапочка из фольги :)

                                                                                А серьезно, не советую пользоваться монитором. Злоумышленник может удаленно получить с него изображение. Так же не советую пользоваться клавиатурой, в нее могли встроить физический кейлоггер. Надежнее всего будет пользоваться в компьютере в бункере со стенами из метра бетона + метра свинца. Кислород лучше не брать из вне, а генерировать внутри растениями. Но я не знаю где вы возьмете растение, в которое не могли бы встроить ГМО-жучек для слежки :(

                                                                                /сарказм
                                                                                  0

                                                                                  Насчёт смс — некоторые модели телефонов позволяют просмотреть полученную только что смс без разблокировки. Сразу два варианта: домашние/коллеги и укравшие телефон

                                                                                    0
                                                                                    Все же украсть телефон стороннего человека сложнее, чем украсть его почту. Вернее, трудозатратнее.
                                                                                      0
                                                                                      Не факт. У меня на почте стоит такой же сложный пароль, как и в банке, и нет никаких привязок к номеру, так что я уверен, что к ней может получить доступ только я и сам сервис почты.
                                                                                        0
                                                                                        Все-таки факт. Ваш ящик выставлен на всеобщее обозрение в виртуальном пространстве и каждый может попробовать поковыряться в его замочке, а физический телефон нужно еще найти в реальности и получить к нему доступ. Это абсолютно несравнимый уровень сложности.
                                                                                          0
                                                                                          Не факт. Число комбинаций моего пароля значительно превышает пресловутое число атомов во Вселенной, и если даже все люди на Земле там попробуют свои 100 млн паролей, это не приблизит их ко взлому моего ящика. А телефон доступен всем кому не лень, от кражи до перевыпуска симки во Владивостоке.
                                                                                        0

                                                                                        Стороннего — да. А близкого?

                                                                                          0
                                                                                          Если у вас крадет близкий человек, может он не такой уж и близкий?
                                                                                            0

                                                                                            Близкий — это объективное понятие, человек входящий в ближний круг общения.

                                                                                            0
                                                                                            Все это частные случаи от которых защититься на 100% в принципе не возможно.
                                                                                  0
                                                                                  А что мешает так же ответственно относиться к телефону? В наше время уже давно телефон не просто средство связи, а как второй паспорт и относиться к нему надо соответственно.
                                                                                  При должном подходе двухфакторная аутентификация только усиливает защиту, т.к. подразумевается что телефон физически всегда находится у владельца и получить доступ к аппарату существенно сложнее, чем удаленно выуживать пароль или брутфорсить систему. Если же индивид не обладает достаточным количеством серого вещества в черепной коробке, а извилины не столь извилистые чтобы осознавать это, то его уже ничего не спасёт.
                                                                                    0
                                                                                    А что мешает так же ответственно относиться к телефону?

                                                                                    Какая разница, если симки элементарно перевыпускаются в любом офисе безо всякого паспорта?
                                                                                    В наше время уже давно телефон не просто средство связи, а как второй паспорт

                                                                                    Это вы сделали уязвимое программное устройство своим вторым паспортом. А вот я так делать не буду.
                                                                                      0
                                                                                      Странно, но я с таким не сталкивался. Всегда паспорт просят.
                                                                                      Что будете делать, если вдруг забудете свой супер-пароль? Ну мало ли…
                                                                                        0
                                                                                        Странно, но я с таким не сталкивался. Всегда паспорт просят.

                                                                                        Поздравляю- вы не мошенник, и не состоите в сговоре с работниками офиса оператора.
                                                                                        Что будете делать, если вдруг забудете свой супер-пароль?

                                                                                        Это невозможно. Ну или вместе с паролем я забуду его сферу применения, своё имя и адрес проживания, и пароль тут будем меньшей утратой.
                                                                                      0

                                                                                      Паспорт (по крайней мере классический) не требует какой-либо защиты, он является идентификатором, но не аутентифицирующим признаком. Например, я даже затрудняюсь сказать сколько раз с моих паспортов копии снимали.

                                                                                        0
                                                                                        Утрируете. Причем с перегибом. Явно ведь к паспорту имеют доступ не все вокруг, а копию с него снимали исключительно по вашему разрешению и лица совершенно не планирующие причинить вам «добро». В остальное время он наверняка лежит где-нибудь в сумке и всегда находится при вас. Или к вам можно подойти и попросить на минутку паспорт, типо «чувак, а дай свой паспорт на минуточку»? Ну ведь смешно же. Так и с телефоном. Вряд ли дадите кому малознакомому и тем более без присмотра.
                                                                                        А вообще совершенно не понимаю почему посыл относится к телефону ответственно находит подобные отклики…
                                                                                        Интересно, какие мысли по поводу надежной защиты есть у вас?
                                                                                          0

                                                                                          С точки зрения безопасности, паспорт прежде всего идентификатор, логин, если угодно. Для аутентификации, для совершения действий от имени владельца паспорта, вы должны предъявить аутентифицирующие признаки, такие как внешность, примерно совпадающая с фотографией и подпись, также примерно совпадающая с образцом — это ваши пароли к "учётке". Сейчас вот ещё добавляют отпечатки пальцев, сканы радужки в новые паспорта, но не повсеместно пока. Вангую, скоро структуру ДНК будут повсеместно добавлять, а с широким появлением биологических клонов — какие-то сканы ментальной деятельности мозга. Дальше уже, при клонировании методом "снэпшота", само понятие "личность" становится под сомнение в текущем смысле слова, чтобы говорить об её аутентификации.


                                                                                          Копии, кстати, снимали и без разрешения, например, при допросах в МВД. И явно не добра мне желая, пытаясь обвинить меня в противоправных действиях, которых я не совершал. А паспорт всем не даю лишь потому, что не даю и другие свои вещи, или чужие, доверенные мне (паспорт — скорее второе) — не хочу и всё. Но с точки зрения безопасности, информации в паспорте считается априори доступной широкому, пожалуй даже неограниченному кругу лиц, хотя и охраняется законом как персональные данные.


                                                                                          Безопасность через владение телефоном, даже не телефоном, а информацией, относящейся к выделенному вам оператором номеру, априори менее надежна чем безопасность по секретному паролю. Коды из смс доступны широкому, пускай и ограниченному законом, кругу лиц в открытом виде. Номер вам не принадлежит даже в теории, он лишь за вами закреплён. Типичная же реализации безопасности по паролю предполагает, что пароль знаете только вы, в открытом виде он может быть только в виртуальной памяти вашего устройства.

                                                                                    +22
                                                                                    Есть 2 хронические болезни, на которых прокалываются авторы липовых отзывов, писем и прочих подставных текстов. Во-первых, переигрывают в имитации реализма. Во-вторых, слишком всё усложняют.

                                                                                    Фальшивые истории, написанные середнячками, получаются слишком правильными: подробными и последовательными. Мысль излагается стройно и буквально, как в детских учебниках. Тогда как реальные сообщения живых людей пишутся в спешке, на ходу, между делом — в них всегда полно косяков, алогизмов, сокращений, скачков мысли, опечаток и корявых речевых оборотов. Люди вообще довольно непоследовательны в мыслях и речи.

                                                                                    То же касается сленга и неформальных «свойских» выражений. Их трудно адекватно сымитировать в длинных письменных фразах, потому что люди сочиняют тексты совсем не так, как говорят устно. Даже если вы используете правильный сленг и реальные фразы из живой речи, в письме они будут выглядеть гротескно и ненатурально. Я про все эти «Слушай, чувак, мы тут написали приложуху...».

                                                                                    Возьмите пример с письмом приятеля по страйкбольному клубу. Живой человек в личном письме скорее напишет название кириллицей, да еще и просклоняет: «играли в Сам Сусаме», чем использует официальное «Sam Susam» с дополнительными кавычками. Объясняющие детали избыточны: «связь ещё плохо ловило», «ты ж в айти работаешь», «время пришло», «помнишь меня?» и т.п. Это всё слишком искусственно для неформального письма. Характерные рекламные обороты про «приведи 5 друзей» тоже не нужны, они сходу снижают рейт доверия и настраивают человека на оборону от навязчивой рекламы.

                                                                                    Реальное письмо выглядело бы скорее так:
                                                                                    Андрей, это Саня Шевцов (страйкбол). Ты планируешь играть в Самсусаме после НГ? Запускаем расписание игр на телефон для своих, там можно забивать места на выходные, на себя или на группу 7 чел. Тока не больше :) {link} Если с тобой кто-то ездит, сбрасывай им ссылку тоже. Или пусть мне на почту пишут


                                                                                    То есть там должен быть некоторый сумбур: и недостающая недосказанная информация, и даже лишняя «ненужная». Читатель должен сам достроить историю. «Вспомнить» Саню, додумать имена «разработчиков», связать «расписание на телефон» с приложением и т.п. Человеку проще верить в ту информацию, которая исходит от него самого. Поэтому ему нужно скармливать отдельные факты и подводить к мыслям, а не втюхивать готовые истории как из книжки.

                                                                                    Ну а вторая имитаторская болезнь в том, что подводки и схемы слишком сложные. Например, для того, чтобы заставить 9 из 10 молодых женщин перейти по левой ссылке, достаточно просто узнать имя любого их друга и написать одну строку «Вася Пупкин отметил вас на 2 фотографиях». Всё. Простое человеческое любопытство само по себе мотивирует в 20 раз лучше любого копирайтера. Там не нужно долгих предысторий с сюжетами.

                                                                                    P.S. Я не фишер :) Просто был чуток копирайтерского опыта.
                                                                                      +3
                                                                                      Илья, коммент — огонь. Развернуто и по делу, спасибо :)
                                                                                      Есть мысль, что нужно бы читать такие тексты вслух перед отправкой, и, если хоть чуть-чуть язык цепляется, переписывать. Хотя плохо представляю себе человека, бубнящего в офисе «Уведомляем вас об обновлении..».
                                                                                      Тут просто свежее пришло, никак нарадоваться не могу.

                                                                                        +5
                                                                                        Вот это как раз вполне себе звучит как мелкий чиновник, пытающийся (но не очень умеющий) писать внушительным канцеляритом. Они как-то вот так и выглядят.
                                                                                        0

                                                                                        "Приведи 5 друзей", очевидно, попытка отвлечь внимание, чтобы человек задумался о каких-то купонах, промо-кодах и как он это всё делать не будет. И проворонил главное.
                                                                                        В остальном комментарий — грамотное дополнение к статье.
                                                                                        К сожалению, законных способов собрать реальную статистику нет. Поэтому оценивать студентов по не выдуманной шкале не получится.
                                                                                        Всё же без проверки на реальных людях нельзя сказать, что на них лучше сработает.

                                                                                        +1
                                                                                        Спасибо за отличный пост (и отличную лабу, как видно). Хотел рассказать немного о том, что даже при соблюдении различных мер предосторожности можно попасться на фишинг. Я себя отношу к числу людей, которые достаточно внимательно относятся к вопросам безопасности в интернете (двухфакторная аутентификация, отключение использования куки третьих сторон, разные (и сложные) пароли для разных сайтов и проч.), но минувшей весной я попался.

                                                                                        Если вкратце, получил в пятницу с корпоративного адреса письмо на свой корпоративный же ящик, который мной используется только для переписки внутри компании. В письме было обращение по имени от шефа отдела разработки (я не разработчик, переводчик, и у меня другой отдел), лично с которым я не знаком. В написанном в достаточно формальном тоне письме говорилось о том, что мы отныне будем использовать новый облачный сервис от Гугла (я и старым корпоративным не пользовался), и была ссылка.

                                                                                        Так как письмо было с нашего адреса и направлено мне, я ничтоже сумняшеся кликнул на ссылке и перешёл на сайт в дизайне гугловского сервиса. На сайте была форма с полями для ввода корпоративной почты и пароля (у нас эта пара тогда использовалась для входа во внутренние сервисы). Ни то, что URL был левый (я вообще на него не посмотрел), ни то, что браузер мне не подсказал логины/пароли на сайте «гуглового сервиса», моего внимания тогда не привлекло. Как баран ввёл в поля свои данные и получил сообщение о том, что я «взломан» (как оказалось, это был аудит безопасности по заказу компании). Чувствовал себя полным дураком.
                                                                                          +1
                                                                                          Спасибо вам за отличную историю!
                                                                                          Напомнило байку о том, что после очередного аудита безопасности в «Сбербанке» всем сотрудникам пришло письмо от Германа Грефа с темой вроде «Годовой отчет», и какой-то большой процент людей купился. Ссылок не будет, потому что даже не помню, где это слышал :)
                                                                                          0
                                                                                          Будьте бдительны. Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании

                                                                                          Да ладно! :) С зарплатами, возможно, нет, а так эксель файл в котором, как минимум, сам список сотрудников интересен. Присылается с заметкой — вы кой чего не доделали, найдите себя в файле и посмотрите что именно :)
                                                                                          При этом присылают "проверочные" фишинговые письма — идёшь по ссылке, а там вывеска — это проверка бдительности, вы — идиот (как и остальные 80%, которые попались на эту удочку), больше так не делайте ;)

                                                                                            0
                                                                                            Это в какой компании такое?
                                                                                              +2
                                                                                              хитро-хитро с:
                                                                                                0

                                                                                                Такое — эксель файлы или такое — фишинг-аудит? ;)
                                                                                                В общем, там ещё смешнее и политика безопасности не разрешает разглашать конкретную фирму на которую, в конечном итоге, идёт работа.

                                                                                                0

                                                                                                Или просто "впишите в список подарок себе на Новый год" или даже "укажите когда хотите в отпуск".

                                                                                                +2
                                                                                                Кстати, кто-нибудь пробовал поздравлять? Не знаю, как в бизнесе, а в академии наук
                                                                                                поздравления разлетаются по внутренней сети только в путь:

                                                                                                Моя почта сегодня утром
                                                                                                image

                                                                                                То есть два письма из семи не поздравления, а день только начался. И на 23 февраля / 8 марта / 9 мая абсолютно то же самое. Но дальше будет лучше, смотрим одно из писем.

                                                                                                Письмо от химиков
                                                                                                image

                                                                                                То есть на ящик info@институт приходит письмецо, состоящее из дефолтной подписи и пары аттачей, и оно тут же рассылается всем пользователям во внутриинститутской рассылке.

                                                                                                Справедливости ради, тут правильный домен отправителя и аттачи открываются. Но я вполне себе получал такие же письма с гугла/яндекса/мейлру или с приложениями типа «Скриншот пауэрпойнтовской презентации, вставленный в документ ворда; а ещё тот же самый слайд, экспортированный в PDF; и в пауэрпойнтовском формате, чтоб два раза не вставать; и вся эта выставка форматов в архиве». И ничего, спокойно ушло на allusers@институт.

                                                                                                Это ж прекрасный вектор атаки. Посылаем на, скажем, 9 мая какому-нибудь не в меру патриотичному кадровику/бухгалтеру письмо типа «Поздравляем всех сотрудников ООО Вектор с Днём Победы!» и прилагаем что-нибудь заражённое в аттаче вместе с жипегом георгиевских ленточек и танков. И оно таки дойдёт половине коллектива, потому что родина же, подвиг и всё такое, какие тут домены и форматы файлов.
                                                                                                  +1
                                                                                                  Мне кажется «фонарик из Плюмбума» немного спалил эту «рыбалку». :)
                                                                                                    +1
                                                                                                    Новогодняя распрадажа в Стиме моментально бросается в глаза :)
                                                                                                      +2
                                                                                                      Интересная статья получилась. особенно порадовала опечатка (или же нет) «зайчатки аналитики». Милота необычайная)
                                                                                                        0
                                                                                                        Мне вот просто интересно, как тестировались письма? На идиота? Как производилась выборка успешных писем?
                                                                                                          0
                                                                                                          Успешное письмо соответствует условиям задачи.
                                                                                                          Если есть форма для сбора логинов-паролей, прощались какие-то огрехи в оформлении.
                                                                                                          Если письмо отличное само по себе, можно было даже на форму особо не смотреть.
                                                                                                          Плюс всегда с первого взгляда понятно, кто постарался и заморочился, а кто тяп-ляп.

                                                                                                          А по поводу тестирования — можете выполнить короткое упражнение. Пройдите по списку «горячих» у Ольги Мазаевой и подумайте, на какие из писем вы бы кликнули на ее месте. Вот я делал примерно так.
                                                                                                            0
                                                                                                            К сожалению, на меня это уже не подействует, как и на большинство сидящих здесь, кто с вебом более-менее на «ты»)) А вот всех прочих, очень даже.
                                                                                                          +5
                                                                                                          По работе столкнулся с большим количеством фишинга — угоняют аккаунты наших клиентов, которыми обычно являются женщины-учителя. Практика показывает, что на них наиболее эффективно действует тупейшая лобовая атака такого стиля:
                                                                                                          «Здравствуйте. Мы особая секретная группа ФСБ. Пройдите по ссылке и введите свои логин и пароль от сервиса NNN. С уважением, старший лейтенант Иванов.»
                                                                                                          Увы.
                                                                                                            0
                                                                                                            Как-то защищаете? Инструкции, семинары, срывание листочков с паролями с мониторов?

                                                                                                            Тут очень кстати новость про то, что всего 16% учителей в России умеют пользоваться компьютером.
                                                                                                              0
                                                                                                              Всего 16%? Ужасно. Честно говоря, даже странно, почему они так отстают. И да, я понимаю, что кроме столичных/областных школ есть и другие, но всё же…
                                                                                                            +3
                                                                                                            Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.

                                                                                                            Вы незаслуженно хорошего мнения о людях.
                                                                                                            Как-то раз позвонила главбух и при помощи истеричных воплей потребовала, чтобы я удалил только что отправленное ею письмо И НИ В КОЕМ СЛУЧАЕ НЕ ЧИТАЛ ЕГО11!!!1
                                                                                                            В приложении к письму было что-то типа "зряплатная ведомость апрель 1995.xlsx"

                                                                                                              +2
                                                                                                              Прочитали?
                                                                                                                0
                                                                                                                Ну зачем же огорчать главбуха?
                                                                                                                  0
                                                                                                                  Можно прочитать и не сказать. Никто не огорчится :)
                                                                                                                0
                                                                                                                Тоже неплохая идея. Прислать письмо с непонятным содержанием, а следом письмо с объяснением что письмо отправлено по ошибке, не в коем случае не читать и удалить. Любопытство оно такое…
                                                                                                                0
                                                                                                                в этом тестировании есть одна мааааленькая проблемка…
                                                                                                                Письма рассылались единично, не массово.
                                                                                                                Попробуйте пульнуть хотя бы по 5000 тыс. примерно одинаковых писем на все три почтовых сервиса.

                                                                                                                Очень скоро фильтра поймаете (если конечно почтовый акк не раскачен) и потом будет труднее аналогичное содержимое выдумать.
                                                                                                                  0
                                                                                                                  Тут прицельная атака, подстроенная под конкретного пользователя, зачем делать по пять миллионов (да даже пять тысяч, если вы это имели в виду) примерно одинаковых?
                                                                                                                  0
                                                                                                                  Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.

                                                                                                                  Я довольно долго получал ежемесячно ведомость от какой-то конторы. В конце-концов написал им письмо с благодарностью за информацию и просьбой больше не присылать. После этого прекратили:)
                                                                                                                    0
                                                                                                                    Надо было переслать на all@%домен_компании%, тогда было бы веселье обеспечено)
                                                                                                                    +1
                                                                                                                    Я тут выложил объявление на Авито и получил пару забавных фишинговых смс: image

                                                                                                                    Причем первое выглядит правдоподобно если не всматриваться. Открыл в песочнице — редиректит на авито :)
                                                                                                                      0
                                                                                                                      На настоящее авито? А что происходит между открытием и редиректом?
                                                                                                                        0
                                                                                                                        Не разбирался, если честно. Редирект на настоящее авито.
                                                                                                                          +1
                                                                                                                          Вполне вероятно что и ничего: чтобы что-то происходило, нужно передать правильный UserAgent.
                                                                                                                            0
                                                                                                                            Через некоторые промежуточные сайты, о которых нельзя говорить, отдает пустоту. Так что, скорее всего, у вас верная версия.
                                                                                                                              +1
                                                                                                                              Это старая, старая песня
                                                                                                                              или вариации на тему.
                                                                                                                              0

                                                                                                                              Не ходите туда.
                                                                                                                                0
                                                                                                                                Причем домен зарегистрирован позавчера вечером. Видимо регулярно блочат. Но, наверное, работает схема, раз стоимость регулярной смены доменов оправдывает.
                                                                                                                            0
                                                                                                                            Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке. Пожалуйста, не будьте как я.

                                                                                                                            Вот уж что-что, а приложенные к письму исполняемые файлы напрягают меня моментально больше всего. Если бы ссылка на сайт, откуда надо скачать приложение, да еще предварительно выбрав свою ОС и т.п. располагающие реалистичные детали…
                                                                                                                              0
                                                                                                                              ООО «Вектор»? Ах, это девяностые

                                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                              Самое читаемое