dat 80% van die wêreld se e-posse strooipos is. Dit wil sê e-posboodskappe wat die ontvanger glad nie nodig het nie (en dit is hartseer). Maar, asof dit nie genoeg is nie, is daar onder die strooipos dikwels briewe wat vir kwaadwillige doeleindes gestuur word: byvoorbeeld om data te steel of uit te vee, of afpersing.
KDPV:
Soos ons weet, is dit in die meeste gevalle nie genoeg om die brief bloot aan die ontvanger af te lewer vir 'n brief om werklik rekenaarstelsels te benadeel nie. 'n "Opponent geneig om saam te werk" word vereis, d.w.s. die gebruiker moet onafhanklik aksies uitvoer wat sal lei tot die uitvoering van die aanvaller se plan.
Tipies is so 'n aksie om 'n lêeraanhegsel by 'n brief te "oopmaak", dit wil sê om die verwerking van die lêer met die hand deur die ooreenstemmende verwerkerprogram binne die gebruiker se bedryfstelsel te begin.
Wat nog hartseerder is, is dat 'n teenstander-assistent nie 'n seldsame voël is nie, en ons spammer-aanvaller kan heel moontlik op hom staatmaak.
En dit lei tot
Kortom, ons rekenmeester maak 'n rekening oop, en dit is glad nie eers 'n rekening nie, maar 'n virus.
Kwaadwillige e-posse het natuurlik belangrike verskille. Maar om op die aandag en bewustheid van gebruikers staat te maak, is 'n slegte idee. Selfs gewaagde konserte oor die tema “moenie dit oopmaak nie” met vuurwerke en ’n solo-vokale uitvoering deur die hoofregisseur (die komposisie “Polymers”) word uiteindelik uit die kantoorwerker se geheue gevee.
Natuurlik sal goed gekonfigureerde stelsels ons beskerm teen die meeste van hierdie aanvalle. Maar die sleutelwoord is steeds "van die meerderheid." Niemand sal 'n 100% waarborg gee nie; en as dit by die gebruiker kom, is dit 'n goeie ding om dit te versterk, as een van die swakste punte van die stelsels.
Tegnologie en maatskaplike ingenieurswese gaan hand aan hand wanneer dit kom by rekenaarmisdaad. Die aanvaller besef dat dit moeilik is om voor te gee dat hy iemand is wat die gebruiker onvoorwaardelik vertrou, en word daarom gedwing om ander taktieke te gebruik: intimidasie, dwang, nabootsing van erkende owerhede en/of die gebruik van ooreenstemmende vals name - byvoorbeeld die stuur van briewe namens regeringsinstansies en groot maatskappye.
En, soos die ou mense ons leer: as ons nie kan wen nie, moet ons lei. Regtig, hoekom is ons erger as spammers? Ja, ons is baie beter! En ons het meer geleenthede. En die taak self sal die mees minimale programmeringsvaardighede vereis en sal feitlik nie bestaande stelsels beïnvloed nie.
Vrywaring: die skrywer is nie 'n spammer nie, die spammer is nie die skrywer nie. Die skrywer staan slegs en uitsluitlik aan die kant van die goeie.
Die taak is baie eenvoudig:
Ons sal self aan ons gebruikers briewe stuur wat blykbaar kwaadwillig is. In aanhangsels tot hierdie briewe sal ons dokumente aanheg waar ons in groot letters sal skryf “MOENIE DOKUMENTE UIT SULKE BRIEWE OOPmaak NIE. Wees meer oplettend en versigtig."
Ons taak is dus soos volg: terme:
Toestand 1. Letters moet anders wees. As ons elke keer dieselfde brief aan almal uitstuur, sal dit nie anders wees as gewone aanmanings by vergaderings, waarteen gebruikers sterk immuun is nie. Ons moet die gebruiker se sisteem wat verantwoordelik is vir leer stimuleer. Hieruit volg die volgende voorwaardes:
Toestand 2. Letters moet eg lyk. Die stuur van briewe van Meat Company LLP of Barack Obama is moontlik, maar oneffektief. Dit maak sin om werklike (en ander!) name van organisasies en liggame te gebruik;
Toestand 3. ook dit is belangrik dat die letters 'n bietjie vreemd lyk. Hulle moet ietwat twyfelagtig wees om agterdog by die gebruiker te wek en die leerstelsel in die brein te aktiveer;
Toestand 4. En met dit alles briewe moet aandag trek en uitlok. Wel, alles is eenvoudig hier, ons hoef nie eers iets uit te dink nie: spammers het reeds alles vir ons gedoen. “Boetes”, “Hofbeslissings” en selfs net “Dokumente” in aanhangsels, “Verbeurings”, “Herberekenings”, “Penies” in die onderwerp en baie woorde “Dringend”, “Onmiddellik”, “Verpligtend”, “Betaal” in die teks - en die truuk is in die sak.
Om hierdie magiese stel te implementeer, sal jy minimale programmeringsvaardighede en 'n vervelige aand nodig hê. Die skrywer het Python 3 (omdat dit nodig was om te oefen) en JS (om data direk vanaf die blaaierkonsole in te samel) gebruik. Maar die meeste van die kode kan maklik geïmplementeer word deur gebruik te maak van inheemse OS-instrumente (bash, cmd), jy hoef net te sukkel met die enkoderings.
Om eerlik te wees, moet daarop gelet word dat die idee self nie aan die skrywer behoort nie, maar van een groot internasionale maatskappy opgetel is. Die idee is egter so oppervlakkig dat, sodra hy dit gehoor het, die skrywer, skree “hoekom het ek dit nie voorheen gedoen nie,” gehaas het om dit te implementeer.
So, eerstens, het ons dele nodig waaruit ons 'n brief sal saamstel. Kom ons begin met die Van-veld – wie sal ons skugter gebruikers bedreig. Wel, wie: natuurlik banke, belastinginspektorate, howe en allerhande vreemde LLC's. Terselfdertyd kan u sjablone byvoeg vir toekomstige outomatiese vervanging, soos PAO CmpNmF. Sien vanaf.txt
Nou het ons eintlik name nodig. LLC Romashka en Vector, sowel as die eindeloos herhaalde "Moskou Hof" sal waarskynlik nie 'n reaksie by siele ontlok nie.
Gelukkig gee die internet ons wonderlike geleenthede om inligting te bekom. Byvoorbeeld, U kan 'n eenvoudige JavaScript-opdrag direk in die blaaierkonsole kry met kode soos:
for (let el of document.getElementById("mw-content-text").querySelectorAll("li")) {console.log(el.innerText;)}Op hierdie manier kan jy vinnig baie vinnig 'n uitstekende basis vir ons take versamel (veral aangesien die skrywer dit reeds vir jou gedoen het :) Ons sal dit in gewone teks stoor, 'n oormatige databasis vir so 'n taak. Die projek gebruik UTF-8-enkodering met BOM, in die geval van die gebruik van die mees spesifieke karakters. Sien txt-lêers met ooreenstemmende name.
Vervolgens moet ons 'n korrekte (standaard, maar nie noodwendig bestaande) e-posadres van die sender genereer sodat ons brief korrek vertoon en korrek aangestuur word. Vir sommige name het die skrywer vaste domeine gebruik, vir ander - outo-generering vanaf die naam deur 'n transliterasiebiblioteek te gebruik, iets soos Vector LLC -> [e-pos beskerm]. Die naam van die boks is geneem uit die lys in die kode en is ook bedoel om ontsag te wek: "vzyskanie", "shtraf", "dolg", 'alarm' en ander "zapros".
Nou - die onderwerp van die brief.
Die onderwerp moet beslis aandag trek, anders gaan die brief ongemerk verby. Maak jou innerlike rekenmeester bangmaak los en alles sal uitwerk: “Sluiting van die rekening(e) (CmpNm)", "Hoofrekenmeester (CmpNm)", "Vereiste (vir CmpNm)" "Betaal dadelik (!!!)" en ander slenters.
Sien subj.txt. Voeg by na smaak, meng, moenie skud nie.
Die teks van die brief behoort ietwat vreemd te wees. Ons het reeds die gebruiker se aandag getrek, nou is ons taak om agterdog te wek. Daarom is daar absoluut geen sin om op hierdie stadium te probeer nie. Kom ons neem dreigende frases van spammers en kombineer hulle arbitrêr; honderd persent egtheid sal ons net verhinder. Dit sal onsin blyk te wees soos:
(важная) Информация (ООО "ТЕСТ") По счёту в порядке судебного разбирательства
откройте документы во вложении
постановление во вложении
Sien msg.txt. Byvoegings is welkom.
En uiteindelik, die belegging. Die projek verskaf tans 3 tipes aanhangsels: pdf, doc, docx. Lêers word van monsters gekopieer sonder om die inhoud te verander, die aanhegsellêer kry 'n naam uit die lys ("Besluit", "Besluit", ens., sien flnms.txt). Vir die eerste twee tipes word die grootte willekeurig gegenereer deur nulle aan die einde van die lêer by te voeg. Dit werk nie met docx nie (hoewel die lêer na die Word-herstelprosedure oopmaak; en LibreOffice, byvoorbeeld, maak docx-lêers oop sonder om te vloek, waarby derdeparty-lêers deur die argivererkoppelvlak gevoeg is).
En ons kry hierdie wonderwerk:
Jy kan stuur:
gen_msg.py [email protected]
Eintlik is dit al. Iets om vir 'n uur te doen, maar daar sal voordeel wees ... En daar sal voordeel wees. Want die teorie is droog, maar die boom van die lewe word welig groen – verduidelikings bereik nie, herinneringe word vergeet en mense bemeester vaardighede net deur oefening. En dit is beter vir ons om onderwysers te wees as om later alles van rugsteun te herstel, nie waar nie?
Slegs geregistreerde gebruikers kan aan die opname deelneem. , asseblief.
Het jy dit op jou gebruikers probeer? Hoe is die resultate?
-
0,0%Niemand het dit gekoop nie, hulle het dit sonder vraag uitgevee0
-
0,0%Sommige het verdagte e-posse gerapporteer; aanhegsels is nie oopgemaak nie0
-
50,0%Sommige oopgemaakte aanhangsels (ek sal jou in die kommentaar vertel wat volgende gebeur het)3
-
50,0%Het 'n stok van die owerhede ontvang3
6 gebruikers het gestem. 21 gebruiker het buite stemming gebly.
Bron: will.com