que el 80% de los correos electrónicos del mundo son spam. Es decir, mensajes de correo electrónico que el destinatario no necesita en absoluto (y esto es triste). Pero, por si esto fuera poco, entre el spam suelen aparecer cartas enviadas con fines maliciosos: por ejemplo, robar o borrar datos, o extorsionar.
KDPV:
Como sabemos, para que una carta dañe realmente los sistemas informáticos, en la mayoría de los casos no basta con entregarla al destinatario. Se requiere un "oponente dispuesto a cooperar", es decir, el usuario debe realizar de forma independiente acciones que conduzcan a la ejecución del plan del atacante.
Normalmente, esta acción consiste en "abrir" un archivo adjunto a una carta, es decir, iniciar manualmente el procesamiento del archivo mediante el programa procesador correspondiente dentro del sistema operativo del usuario.
Lo que es aún más triste es que un oponente-asistente no es un pájaro raro, y nuestro atacante-spammer bien puede contar con él.
Y esto lleva a
En resumen, nuestro contable abre una cuenta, y ni siquiera es una cuenta, sino un virus.
Los correos electrónicos maliciosos, por supuesto, tienen diferencias importantes. Pero confiar en la atención y la conciencia de los usuarios es una mala idea. Incluso los atrevidos conciertos sobre el tema "No abras esto" con fuegos artificiales y la interpretación vocal solista del director general (la composición "Polímeros") finalmente se borran de la memoria del oficinista.
Por supuesto, unos sistemas bien configurados nos protegerán de la mayoría de estos ataques. Pero la palabra clave sigue siendo “de la mayoría”. Nadie dará una garantía del XNUMX%; y si se trata del usuario, entonces fortalecerlo, como uno de los puntos más débiles de los sistemas, es algo bueno.
La tecnología y la ingeniería social van de la mano cuando se trata de malas prácticas informáticas. El atacante se da cuenta de que es difícil fingir ser alguien en quien el usuario confía incondicionalmente y, por lo tanto, se ve obligado a utilizar otras tácticas: intimidación, coerción, imitar a autoridades reconocidas y/o utilizar nombres falsos correspondientes, por ejemplo, enviar cartas en nombre de agencias gubernamentales y grandes empresas.
Y, como nos enseñan los antiguos: si no podemos ganar, debemos liderar. De verdad, ¿por qué somos peores que los spammers? ¡Sí, somos mucho mejores! Y tenemos más oportunidades. Y la tarea en sí requerirá habilidades de programación mínimas y prácticamente no afectará los sistemas existentes.
Descargo de responsabilidad: el autor no es un spammer, el spammer no es el autor. El autor está única y exclusivamente del lado del bien.
La tarea es muy sencilla:
Nosotros mismos enviaremos a nuestros usuarios cartas que parezcan maliciosas. En los archivos adjuntos de estas cartas adjuntaremos documentos donde escribiremos en letras grandes “NO ABRIR DOCUMENTOS DE TALES CARTAS. Sea más atento y cuidadoso."
Por tanto, nuestra tarea es la siguiente. condiciones:
Condición 1. Las letras deben ser diferentes.. Si enviamos siempre la misma carta a todo el mundo, esto no será diferente de los recordatorios habituales en las reuniones, a los que los usuarios son muy inmunes. Debemos estimular el sistema del usuario responsable del aprendizaje. De esto se derivan las siguientes condiciones:
Condición 2. Las letras deben parecer reales.. Enviar cartas de Meat Company LLP o Barack Obama es posible, pero ineficaz. Tiene sentido utilizar nombres reales (¡y diferentes!) de organizaciones y organismos;
Condición 3. También es importante que las letras se vean un poco raras. Deben ser algo dudosos para poder despertar las sospechas del usuario y activar el sistema de aprendizaje en el cerebro;
Condición 4. Y con todo esto Las cartas deben llamar la atención y provocar.. Bueno, aquí todo es sencillo, ni siquiera necesitamos inventar nada: los spammers ya lo han hecho todo por nosotros. "Multas", "Decisiones judiciales" e incluso simplemente "Documentos" en los anexos, "Pérdidas", "Recálculos", "Penetras" en el asunto y muchas palabras "Urgente", "Inmediatamente", "Obligado", "Pagar" en el texto - y el truco está en la bolsa.
Para implementar este conjunto mágico, necesitarás conocimientos mínimos de programación y una velada aburrida. El autor utilizó Python 3 (porque era necesario para practicar) y JS (para recopilar datos directamente desde la consola del navegador). Pero la mayor parte del código se puede implementar fácilmente utilizando herramientas nativas del sistema operativo (bash, cmd), solo hay que luchar con las codificaciones.
Para ser justos, cabe señalar que la idea en sí no pertenece al autor, sino que fue adquirida de una gran empresa internacional. Sin embargo, la idea es tan superficial que, apenas la escuchó, el autor, gritando “¿por qué no lo hice antes?”, se apresuró a implementarla.
Entonces, en primer lugar, necesitamos detalles a partir de los cuales redactaremos una carta. Comencemos con el campo De, que amenazará a nuestros usuarios tímidos. Bueno, quién: por supuesto, los bancos, las inspecciones fiscales, los tribunales y todo tipo de LLC extrañas. Al mismo tiempo, puede agregar plantillas para futuras autosustituciones, como PAO CmpNmF. Ver desde.txt
Ahora necesitamos, de hecho, nombres. Es poco probable que LLC Romashka y Vector, así como el interminablemente repetido "Tribunal de Moscú", provoquen una respuesta en el alma.
Afortunadamente, Internet nos brinda increíbles oportunidades para obtener información. Por ejemplo, Puede obtener un comando JavaScript simple directamente en la consola del navegador con código como:
for (let el of document.getElementById("mw-content-text").querySelectorAll("li")) {console.log(el.innerText;)}De esta manera, podrá recopilar rápidamente una base excelente para nuestras tareas (especialmente porque el autor ya lo ha hecho por usted :) Lo guardaremos en texto plano, una base de datos excesiva para tal tarea. El proyecto utiliza codificación UTF-8 con BOM, en caso de utilizar caracteres más específicos. Ver archivos de texto con los nombres correspondientes.
A continuación, debemos generar una dirección de correo electrónico correcta (estándar, pero no necesariamente existente) del remitente para que nuestra carta se muestre correctamente y se reenvíe correctamente. Para algunos nombres, el autor utilizó dominios fijos, para otros, generación automática a partir del nombre utilizando una biblioteca de transliteración, algo así como Vector LLC -> [email protected]. El nombre de la casilla está tomado de la lista del código y también pretende inspirar asombro: “vzyskanie”, “shtraf”, “dolg”, “alarm” y otros “zapros”.
Ahora - el tema de la carta.
El tema definitivamente debe llamar la atención, de lo contrario la carta pasará desapercibida. Libera tu miedo contable interno y todo saldrá bien: “Cerrar la(s) cuenta(s) (CmpNm)", "Contador jefe (CmpNm)", "Requerimiento para CmpNm)" "Paga inmediatamente (!!!)" y otras bromas.
Ver subj.txt. Agregue al gusto, mezcle, no agite.
El texto de la carta debería ser algo extraño. Ya hemos llamado la atención del usuario, ahora nuestra tarea es despertar sospechas. Por lo tanto, no tiene ningún sentido intentarlo en este momento. Tomemos frases amenazantes de spammers y las combinemos arbitrariamente; la autenticidad cien por cien sólo nos obstaculizará. Resultará una tontería como:
(важная) Информация (ООО "ТЕСТ") По счёту в порядке судебного разбирательства
откройте документы во вложении
постановление во вложении
Ver mensaje.txt. Las adiciones son bienvenidas.
Y por último, la inversión. Actualmente, el proyecto proporciona 3 tipos de archivos adjuntos: pdf, doc, docx. Los archivos se copian de muestras sin cambiar el contenido, el archivo adjunto recibe un nombre de la lista ("Decreto", "Sentencia", etc., consulte flnms.txt). Para los dos primeros tipos, el tamaño se genera aleatoriamente agregando ceros al final del archivo. Esto no funciona con docx (aunque después del procedimiento de recuperación de Word el archivo se abre; y LibreOffice, por ejemplo, abre sin decir malas palabras archivos docx a los que se han agregado archivos de terceros a través de la interfaz del archivador).
Y obtenemos este milagro:
Puedes enviar:
gen_msg.py [email protected]
En realidad, eso es todo. Algo que hacer durante una hora, pero habrá beneficio... Y habrá beneficio. Porque la teoría es seca, pero el árbol de la vida crece de un verde exuberante: las explicaciones no llegan, los recordatorios se olvidan y las personas dominan las habilidades sólo a través de la práctica. Y es mejor para nosotros ser profesores que restaurar todo desde las copias de seguridad más tarde, ¿verdad?
Solo los usuarios registrados pueden participar en la encuesta. por favor
¿Lo has probado con tus usuarios? ¿Cómo son los resultados?
-
0,0%Nadie lo compró, lo borraron sin dudar0
-
0,0%Algunos informaron correos electrónicos sospechosos; los archivos adjuntos no se abrieron0
-
50,0%Algunos abrieron los archivos adjuntos (les contaré en los comentarios lo que pasó después)3
-
50,0%Recibió un palo de las autoridades3
6 usuarios votaron. 21 usuario se abstuvo.
Fuente: habr.com