Сразу к делу. Спам-атаке подверглось мой уютное интернет болото! К счастью #Яндекс мой почтовый сервис, который я не буду рекламировать за бесплатно сумел сам всё отсеять и защитить мои глаза и нервы от унылой сортировки спама. Да, я сортирую все письма. Часть работы, знаете ли. Но раз инцидент исчерпан - зачем растекаться мыслью по вебу, спросит анон? А затем:
Только изучение фундаментальных основ защитит наше счастливое будущее!
Итак приступим. Все действия над объектом исследования я буду производить в папке спам, ничего не восстанавливая, что и Вам рекомендую делать, ибо нахождение письма в этой папке режет его функционал (ввиде блокировки вложений, переходов по внешним ссылкам и закреплённых картинок). Это может послужить дополнительным фильтром безопасности от случайной ошибки. Как известно большая часть взломов, утечек и прочих инцидентов, связанных с нарушением информационной безопасности (#ИБ ) происходит из-за неаккуратной работы либо наплевательского отношения к безопасности самих пользователей.
На первый взгляд #госуслуги решили побаловать меня баблишком, причём в этом письме не указано сколько, но зачастую можно наткнуться на письма, которые обещают весьма вкусные суммы. Особую остроту этому спаму придаёт тот факт, что недавно я как раз таки пользовался госуслугами и поджидал от них письмецо в почту. В каком-то смысле это пример удачной попытки использовать один из механизмов социальной инженерии: подгадать момент, когда потенциальная жертва ожидает подобного результата.
В целом из элементов социальной инженерии можно отметить:
- Указание в качестве имени отправителя имя известного источника (Госуслуги);
- Попытка заинтересовать жертву денежной выгодой;
- Использование ловушки по времени - установление некоторых ограничений на время реакции фразой: "Без Вашей реакции средства будут депортированы";
- Прямой приказ выполнить действие, скрытый в контексте, фразами заставляющими включить картинки и ссылки в письме, установленными вверху и внизу письма;
- Не полное раскрытие информации и создание интриги, развязка которой кроется за обыденным действием - переходом по ссылке.
Вообще в наше время к любой информации информации нужно относиться критически. Век информационных технологий вносит определенные коррективы в поведение людей, в том числе и в поведение преступников, поэтому перед тем, как что-то делать (направлять свои персональные данные, данные банковских карт, пароли, логины и т.д., а также переходить по ссылкам, скачивать файлы, открывать доступ на устройстве) остановитесь и хорошенько подумайте - не собираются ли Вас обдурить? В этом письме имеется акцент на то, что его надо вытащить из спама, из чего можно сделать вывод, что:
- автор знал, что письмо в спам попадёт;
- автора больше всего интересует работоспособность прикреплённой ссылки, а не факт прочтения текста.
Очевидно, что в этом случае НЕ НАДО идти на поводу у автора!
Следующим пунктом разберём отправителя письма. ГОСУСЛУГИ это замечательный выбор. все мы там зарегистрированы, все рано или поздно воспользуемся, все получали или ожидаем что можем получить от них письмо. В браузере справа от имени отправителя виден его почтовый адрес: info@erp13.ru. Как известно в email то, что идёт после спецсимвола "@" относится к почтовому домену - грубо говоря к серверу с которого организация направляет Вам #электронные письма . Настоящие Госуслуги направляют Вам письма с домена gosuslugi.ru (например no-replay@gosuslugi.ru). С других доменов направлять Вам письма они НЕ БУДУТ! Кстати стоит отметить, что хотя имя отправителя хорошо видно в ПК версии браузера, при просмотре почты через браузер с мобильного устройства #e-mail отправителя может быть скрыт из-за экономии места на экране. Для того чтобы его увидеть можно нажать на имя получателя или открыть свойства письма (об этом чуть ниже).
Переходим к тексту письма. Текст обезличенный, а Госуслуги совершенной точно знают моё ФИО и прочие персональные данные. Государственные организации при работе с гражданами обязаны использовать официально-деловой стиль переписки, поэтому как правило письма от таких организаций начинаются с обращения по имени и отчеству.
Для более глубокого анализа спам писем можно использовать метод исследования свойств письма. Чтобы открыть свойства письма в Яндекс почте нужно нажать три точки в верхней строке действий и выбрать соответствующий пункт. В #gmail интересующая кнопка находится справа от имени отправителя и называется "показать оригинал". К слову у #google представление реализовано более дружелюбно. Подробности на рисунках:
Если Вам интересен разбор структуры письма сточки зрения кода - пишите в комментарии и я напишу об этом значительно быстрее.
Дополнительно стоит отметить часто встречающийся метод манипуляции связанный с прямой угрозой, как например в этом письме (найдено специально для Вас <3):
Это письмо составлено в целом грамотно с точки зрения психологии: сначала идёт нагнетание ситуации, затем наносятся превентивные удары по самым известным широкому кругу методам защиты. При этом постоянно используется терминология, которая может ввести в заблуждение простого обывателя, не обладающего глубокими познаниями в #it и безопасности в интернете. Следом автор пытается еще больше усилить панику и окончательно пробить броню жертвы, если она раньше еще колебалась. В конце письма (не приведен на скриншоте) указаны реквизиты манипулятора и еще немного приёмов, которые в целом не отличаются от приведённых выше.
Если рассматривать текст письма с точки зрения человека понимающего во взломе (ну или хотя бы претворяющегося, что понимает как это делаю я), текст письма становится похож на анекдот:
К слову письма с угрозами, подобные этому, могут нападать серийно и формировать угрожающую последовательность заголовков вроде: 1) Вас взломали, 2) У вас осталось Х дней, 3) последнее предупреждение и т.д. Если же Вас при прочтении подобного мучают сомнения - подумайте, если человек может взломать Вас и пошифровать все файлы - не лючше ли ему начать с шифрования, а потом уже по факту грабить Вас?
Спасибо, что дочитали до этого момента. Соблюдайте меры предосторожности в сети, ставьте лайки, делитесь мнениями экспертов в комментариях и развивайте скилы. Кроме того вы можете ускорить написание статей и подготовку видео лягушке заплатив чеканной монетой на кошелёк ЮМани (бывший Яндекс.Деньги): 4100116552360517.
Благодарю за внимание.