Как я попросил студентов написать фишинговые письма
— Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
— Я ввёл его в Гугле, — продолжал Сисадмин, — и убедился, что в Сети такого сочетания нет.
— Теперь есть.
Я аспирант и преподаю вирусологию в университете.
Полгода назад, перед началом осеннего семестра, мне выдали целый поток пятикурсников — 45 человек с разным опытом, интересами и жизненными позициями. Еще тогда я подумал, что это хорошая база для какого-нибудь научного эксперимента. Спустя два месяца я все придумал и попросил студентов написать фишинговые письма.
Под катом то, что из этого получилось, что им за это было, и немного аналитики о работе популярных почтовых сервисов. И сами письма, конечно.
Осторожно, много скриншотов.
Дисклеймер
Не занимайтесь фишингом. Формально, это мошенничество, оно преследуется по статье 159.6 УК РФ. Лабораторные работы проводились в контролируемых условиях, письма отправлялись на предварительно подготовленные ящики, доступ к которым есть только у автора поста.
Все персонажи вымышлены, все совпадения с реальными людьми и организациями случайны. Все логотипы, товарные знаки и названия принадлежат их владельцам.
Я сразу понял, что ничего интересного из отправки писем на мою личную почту не выйдет — будет скучный спам, от которого никакой пользы и образовательной ценности. Студенты должны были понимать, зачем они это делают (спойлер: чтобы знать, как защищаться) и каким может быть подход к любому человеку.
Поэтому перед тем, как дать задание, я прочитал лекцию о целенаправленных атаках, социальной инженерии и фишинге, показал примеры и объяснил, что уязвим любой человек.
А еще в очередной раз напомнил об уголовной ответственности за мошенничество.
Драматургия
Я придумал трех персонажей. Каждый из них где-то работает, интересуется какими-то вещами и испытывает слабости. Все трое из разных городов, разного возраста и с разными жизненными ценностями (по крайней мере, я думал об этом, когда их прописывал).
Конечно, по разным причинам эти трое используют разные почтовые сервисы — от гугла, Яндекса и mail.ru. У них разные спам-фильтры, и было интересно понять, где лучше.
Пора представить персонажей.
Мазаева Ольга Венедиктовна, 53 года, бухгалтер ООО «Вектор», Воронеж. Почта на mail.ru, mazaeva1964@inbox.ru.
Не любит современные технологии. Иногда играет в «Сокровища пиратов» на подаренном сыном телефоне. Умеет нажимать кнопки в 1С, но, в целом, с компьютером на вы.
В прошлом работала финансистом в НПО «ДЖОУЛЬ». В 90-е завод выкупил западный инвестор, а штат сократили. Имеет аккаунт в «Одноклассниках», иногда ставит подругам детства пятерки с плюсом за деньги.
Владислава Олеговна Петриченко, 21 год, офис-менеджер в фирме «Астек», Томск. Почта — zlatovladka@yandex.ru.
После семестра информатики на втором курсе теперь точно уверена, что работа сисадминов куда проще, чем ее. Конечно, весь день в танчики играть и иногда перетыкать кабели, выдернутые глупыми бухгалтерами. Мастерски обрабатывает свои селфи в Фотошопе — заменяет обои с цветочками на Мальту. Это ее первая работа, поэтому она только учится копировать документы с помощью кнопки COPY на МФУ, а не путем сканирования и печати. Владислава зарегистрирована на тринадцати сайтах знакомств, потому что ждет мужчину своей мечты, а не безвольную тряпку.
Андрей Пиманов, 26 лет, тестировщик в «Alphabetic Issues», Санкт-Петербург. Почта — ultradoter9000@gmail.com.
Параноик и либерал. Недавно перевез все свои данные в Диск Google, а пароли — в Google Smart Lock, потому что старый аккаунт на mail.ru, по его словам, «взломала кровавая гэбня». Помешан на страйкболе, регулярный участник турниров клуба «Sam Susam». Купил 458 игр в «Стиме», играл только в 6. Каждую неделю ходит на почту за посылками из китайских интернет-магазинов. Заказал ноут на Гирбесте и страшно этим гордится.
Естественно, просто дать описания людей и их электропочту было бы недостаточно для полноценной лабораторной работы, поэтому я сформулировал условия. Привожу их без изменений.
Условия
- Письма нужно действительно отправить на указанные почтовые ящики. Если вы используете специально созданные ящики, то после отправки присылайте список адресов с указанием своей фамилии и номера группы.
- Считается, что персонажи открывают письма на рабочих компьютерах в рабочее время.
- При написании нужно использовать индивидуальные особенности персонажей. По умолчанию считается, что письмо, написанное кому угодно и без деталей, не идет в зачет.
- Цель атаки — доступ во внутреннюю сеть или к данным (почта, календари, архивы, финансовая информация) организации, в которой работает каждый из персонажей. Меньший приоритет в получении личных данных персонажей.
- От кого, под каким предлогом и как будет совершаться атака, остаётся на ваше усмотрение. Использование доп. средств (скрипты, документы с макросами, софт) идет в зачет при наличии подходящей легенды.
- Письма, попавшие в спам, не идут в зачет.
В отчете я попросил приложить тексты писем, полученные логины и пароли и зайчатки аналитики о том, почему письма получились именно такими. В остальном, у студентов была полная свобода творчества.
Еще я выдал студентам несколько ссылок с полезной инфой и стал ждать.
Почитаем письма
Для начала стоит сказать, что ссылки почти во всех письмах работают и ведут на сайты разной степени прожарки.
Первая пачка писем пришла через неделю. Дадим слово авторам.
Письмо Ольге Мазаевой
Создавая это письмо, мы сделали упор на заинтересованность нашего адресата игрой «Сокровища пиратов» и получении так называемых «ОК-ов» в сети «Одноклассники». Кроме того, мы учли всем известный факт, что людям нравится участвовать в различных акциях, получая при этом что-либо совершенно бесплатно.
Письмо Владиславе Петриченко
Создавая письмо для данного адресата, мы использовали в качестве мнимого отправителя компанию-работодателя, использовали фирменный логотип компании, что добавило нашему адресату уверенности в «надежности» фишингового письма. Кроме того, мы опять же использовали приемы социальной инженерии, включив в свое письмо сообщение о розыгрыше, сделав призом за участие путевку на любимую нашим адресатом Мальту, добавив на фишинговый сайт счетчик уменьшающий оставшееся количество разыгрываемых призов.
Письмо Андрею Пиманову
Опираясь на данные о параноидальности адресата относительно безопасности своих данных, темой письма было решено выбрать усовершенствование системы защиты данных Google, а именно включение двухэтапной аутентификации. Однако, при создании письма возникли проблемы, сервисы Gmail, узнавая в нашем письме контент, похожий на свой, все время отправляли письмо в спам. Для решения этого вопроса нам пришлось сделать скрин составленного нами письма, вставить скрин в отправляемое письмо, и прикрепить к нему ссылку на наш фишинговый сайт.
Поругал авторов на тему отправки скриншотов, но письма засчитал.
Авторы получили зачет первыми из всего потока.
Сомнительная аналитика
По очевидным причинам, в статью не смогут войти 135 писем и их подробное описание. Также я не прикладываю ссылки на фишинговые сайты — в основном, из этических соображений.
Итак, писем было много, но надо подвести какой-то промежуточный итог. Далее о том, в какую сторону думали студенты и какие письма приходили чаще всего.
Самые примечательные — под спойлерами.
Ольга Мазаева
Бухгалтеру Ольге Мазаевой пришло 11 писем от ее любимой игры в Одноклассниках и еще 5 писем о бесплатной или почти бесплатной расстановке пятерок на фотки школьных подруг.
Еще ее пытались предупредить о разном ФНС, 1С, Сбербанк и служба безопасности Одноклассников.
Давят на больное. Как же ставить оценки, если аккаунт заблокируют? А там вся жизнь, сообщения, подруги, вот это все. Конечно, никто в официальных письмах не делает таких огромных кнопок, это, скорее, прием с сайтов по продаже Уникальных Курсов Всего На Свете. Но работает, судя по всему.
Если вы отвечаете за безопасность в своей компании, расскажите сотрудникам, что банки никогда не отправят ни одно подтверждение корпоративной финансовой информации на личную почту.
Здесь, конечно, автор перегнул с суммой перевода. Была бы она в раз в десять меньше, потенциальный вредоносный эффект мог бы быть в десять раз больше.
Никогда не занимайтесь такими вещами в реальной жизни, пожалуйста.
Как же не присоединиться к бывшим коллегам? Клик, ввод пароля, угнанный аккаунт.
Еще один пример воздействия якобы от поддержки продукта, которым человек пользуется каждый день. Никогда не качайте ничего из таких писем, а лучше позвоните ответственным за безопасность и предупредите их.
mail.ru любезно перенес это письмо в папку «Регистрации» для большей уверенности, что все хорошо. Все не хорошо. Не вводите никакие коды подтверждения операций, которых вы не делали, и стирайте такие письма.
Попробуйте новую версию продукта. Попробуйте! Попробуйте!!! Там новая система оценки! Не от 1 до 10, а от 1 до 12.
Дьявол в мелочах. Автор письма скопировал Мазаеву из гуглдока, поэтому шрифт не совпал. И снова — обновите ПО. Какое? Да не важно, просто обновите. К слову, по ссылке заботливо написанный студентом учебный кейлоггер.
Андрей Пиманов
Как и ожидалось, сложнее всего студентам дались письма параноидальному тестировщику Андрею. В основном, конечно, сложности были из-за спам-фильтра гуглопочты, но и сами студенты придумали здесь меньше векторов атак, чем в остальных случаях.
Андрею пришло несчетное количество писем от Steam, около десяти от Алиэкспресса и других китайских магазинов и еще парочка от Гугла. Самое вкусное, внезапно, от страйкбольного клуба «Sam Susam», см. под спойлер.
На таможне теперь нужен ИНН, поэтому письмо может и сработать. Поди разбери, что там за номер заказа, когда тебе каждую неделю приходит несколько посылок. Есть версия, что в Алиэкспрессе не такие косноязычные копирайтеры, но тут дело вкуса.
Победитель в категории «Письмо, которое вам никогда не напишет Гугл». Ссылка не спрятана, фирменной верстки нет (даже скриншотом готового письма), текст составлен наспех. Доброго времени суток!
Письмо как письмо. Гораздо веселее то, куда ведет ссылка (не вводите там ничего!).
Новогодняя распрадажа в стиме для тех, кто является и может.
Хорошее. С пакетом учредительных документов и справкой из налоговой, конечно, перегнули, но тоже похоже на обычное письмо. Здесь нет ссылки и, если не вдумываться, можно случайно отправить что-то не то.
Однозначно, мое любимое письмо. Тут все хорошо: написано человеческим языком, не пытается маскироваться под популярные сайты, а в тексте есть приятные мелочи которые выдают заботу. Мнимую, конечно. Будьте начеку!
Владислава Петриченко
Владиславу полюбили все студенты. Ей заботливо присылали ссылки на сайты знакомств, подходящих по типажу партнеров и даже промокод на фотошоп, чтобы редактировать фоточки было еще приятнее.
Выдать себя за службу безопасности вашей организации — излюбленный прием мошенников. Формальный стиль, документ во вложении. Никуда не нужно ходить, качай и смотри.
Просто очень смешное письмо, хотя, формально, методы соц.инженерии используются. Жаль, что сервис называется не «Я согласна!». Это вам бизнес-идея #9402.
Когда отправляешь фишинговые письма сразу многим людям и путаешь заголовки, а потом просишь подписать согласие, верстая письмо картинкой. Обратите внимание: если все письмо — одна большая ссылка, скорее всего, вам пишет мой студент. Можете смело удалять.
У меня только один вопрос: как авторы подбирали фотографию для письма? В отчете ни слова, а я бы даже почитал отдельный пост на эту тему.
Тут снова засветился украденный логотип Астека, но авторы другие. Тут просто все очень хорошо, главное — распробовать.
Владислава хочет на мальту, а тут такое предложение за копейки. Срочно, срочно покупать.
К тому же, сайт располагает:
Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке. Пожалуйста, не будьте как я.
— А что там со спам-фильтрами? Они же должны фильтровать такое, правда?
Вообще, наверное, должны, но нет.
Лучше всех справился gmail — из 38 писем 13 оказались в папке «Спам». Гуглопочта фильтровала письма, «похожие на те, что мы уже заблокировали» и те, которые «содержат вещи, характерные для фишинговых писем».
На втором месте из трех Яндекс — он отфильтровал неутешительные три письма. К сожалению, Яндекс не указывает причину блокировки в интерфейсе почты.
На mail.ru в спам попало единственное письмо.
Если вспомнить, как выглядели успешные письма, я бы не назвал работу всех трех сервисов хорошей. И даже какой-никакой процент отфильтрованных писем у gmail не решает проблемы с фишингом и целенаправленными атаками. Злоумышленники могут прикинуться кем угодно и, зная о вас совсем немного, получат доступ к вашим аккаунтам.
Выводы
Считаю, что лабораторная работа удалась. После беседы студенты понимают (или делают вид, что понимают) как защищаться от фишинга и почему не нужно так делать в реальной жизни — мошенникам грозит реальный тюремный срок по статье 159.6 УК РФ. Я много раз предупредил студентов об этом на лекции и практических занятиях. Не делайте так и вы.
А как защищаться?
- Не открывайте ссылки, не скачивайте и не запускайте файлы из писем, если не уверены
- Не вводите свои личные данные — логины, пароли, номера карт и любую другую информацию — на посторонних сайтах. Если у вас есть малейшее подозрение, закройте страницу.
- Подключите двухфакторную аутентификацию для своих аккаунтов. Это может быть смска, биометрическая аутентификация или подтверждение на мобильном устройстве.
- Если сомнительное письмо пришло на корпоративную почту, расскажите об этом админу или службе безопасности. Есть вероятность, что кто-то проводит целенаправленную атаку на компанию.
- Будьте бдительны. Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.
Большое спасибо студентам, которые поучаствовали в этом эксперименте. Встретимся на экзамене:)
А всем остальным спасибо, что дочитали до конца. Не дайте себя обмануть.