Оффлайн
- Регистрация
- 25.01.17
- Сообщения
- 763
- Реакции
- 225
- Репутация
- 292
Для проведения различных экспериментов зарегистрировался в социальной сети «ВКонтакте». Буквально в течение часа после регистрации, я получил письмо от администрации. Заголовки этого письма содержат настоящие сервера ВКонтакте, поэтому увидев фразы «администратор оставил Вам личное сообщение», «С уважением, Администрация ВКонтакте.ру» я настроился на серьёзный разговор и отправился читать сообщение.
Основная идея сообщения — существует актуальная проблема ложных (автоматических) регистраций, и нужно ещё раз подтвердить, что я не бот.
Но здесь следует обратить внимание на детали.
Очень странные стиль и написание сообщения
Возьмём фразу «подтверждающую вашу действительность». Что здесь имеется в виду? Какую действительность? Нужно подтвердить, уж не в матрице ли я нахожусь? Или фраза «при невыполнении следующих показаний». Каких показаний? Может правильнее «при невыполнении данных инструкций (указаний)»? Также в глаза бросается описка в слове «сообщение».
В первом абзаце я насчитал 68 некириллических символов из 212 символов (32 %). Зачем администратору нужно писать таким способом? Ведь набирать текст, постоянно переключая раскладку, — очень сложно. Более того, почему администратор пишет с такой странной пунктуацией: нет пробелов после знаков препинания, использует избыточное использование символов?
Подмена символов используется для того, чтобы обойти фильтры на сайте. Например, система может быть запрограммирована, что если в сообщении встречаются слова и фразы «сотрудник», «администрация», «отослать смс на номер ХХХ с текстом ZZZ», то его нужно заблокировать. Злоумышленники обходят такие спам-фильтры очень простым способом: подменой символов.
В этом примере можно выделить три основные группы подстановок:
1. Начертание букв полностью совпадает: а, е, р, с, у, х, А, В, Е, Н, С.
2. Подобное начертание букв: g, n, m.
3. Подмена цифрами: 3, 6.
Обратите внимание, как удачно выбран шрифт на сайте, чтобы немного упростить работу злоумышленников: в гарнитурах Arial, Tahoma (как в сообщении), Verdana, как и в других шрифтах без засечек, начертание букв g, n, m очень похоже на кириллические буквы д, п, м. Тем более, когда размер шрифта 10 пунктов и меньше (на сайте используется шрифт размером 9 пунктов). В гарнитурах Times New Roman и Georgia (шрифты с засечками) начертание букв n и m уже не так похоже на кириллические из-за присутствия засечек и характерного начертания буквы «джи».
В последних двух примерах уже видно, что слово «дополнительные» превратилось в «гополнительные» или даже «гонолнительные», и такая ошибка уже должна насторожить пользователя.
В конце сообщения присутствует фраза
«При не выполнении следующих показаний,ваша страничка 6ygет удалена в течении суток!!!» которая должна заставить меня суетиться, и быстренько отправить смс на указанный номер. А когда человек начинает суетиться и волноваться — ничего хорошего не выходит. Отключается голова и совершаются эмоциональные поступки.
Ещё один важный признак — адрес отправителя. Если кликнуть по ссылке «администратор», то мы попадём на страничку пользователя с именем ↔ администратор ↔, у которого id92158627. Если положить, что идентификаторы выдаются последовательно, то получается, что этот «администратор» зарегистрировался уже будучи 92-миллионным пользователем, что тоже должно наводить на размышлении, о подлинности этой учетной записи.
Отправка СМС
Следующее, что должно насторожить пользователя, — отправка СМС. Здесь нужно следить за следующим:
1. На какой номер отправляется СМС? Чей это сервис?
2. Действительно ли оно бесплатное?
3. Что мы указываем в тексте сообщения?
Быстрый поиск по запросу «смс 2090» вывел меня на сайт с ценами и комментариями пользователей. Оказалось, что смс никакая не бесплатная, а имеет вполне конкретную стоимость в 100 рублей. Судя по описанию становится понятно, что такая смска повышает какие-то голоса для пользователя ВКонтакте. Также в комментариях можно почитать, что случай такого фишинга далеко не единичный.
Странным также является текст сообщения: id26460705. Если посмотреть профиль этого пользователя, то там видно, что это не я.
А значит, и голоса уйдут не мне.
Рекомендации пользователям
Не паниковать, не суетиться, не волноваться, не торопиться. Внимательно прочитайте сообщения, проверьте основные признаки:
— от кого прислано сообщение?
— грамотно ли написано сообщение, есть ли орфографически или пунктуационные ошибки?
— присутствуют ли признаки обхода спам-фильтра (например, неправильные символы)?
— на какой сервис нужно отправлять сообщение, что указывается в тексте?
В том случае, если вы сомневаетесь, можно попросить помощи у друзей, обратиться в службу технической поддержки сайта или проконсультироваться на форуме «Антивирусной школы».
О выявленных фактах фишинга или спама следует докладывать в техническую поддержку соответствующего сайта.
Рекомендации разработчикам
Спам-фильтры требуют улучшений. Во-первых, нужно делать нормализацию текстовых сообщений: приводить все символы к русскому набору, чтобы избежать обхода спам-фильтров с помощью подстановок. Во-вторых, следует фильтровать ложную пунктуацию, исправлять простые орфографические ошибки и описки. В примере выше фраза
«Вам нужно отослать s-м-s сообщение подтверждающее вашу действительность» в результате нормализации должна стать
«Вам нужно отослать смс сообщение подтверждающее вашу действительность».
Также следует убрать избыточные символы, чтобы в итоге получилось слитное предложение:
«Вам нужно отослать смс сообщение подтверждающее вашу действительность с таким текстом: id26460705 на номер 2090 (или 1053)».
Здесь уже словосочетания «отослать смс», «на номер», «с текстом» встречаются в одном контексте, что с большой вероятностью символизирует о смс-фишинге. При нормализации и фильтрации необходимо учесть, что могут применяться синонимы, например: смс — смска, сообщение отослать — отправить, выслать, заслать, написать текст — слова, символы, сообщение номер — адрес
В итоге, фишинговая фраза могла бы выглядеть так: «Вам нужно написать сообщение с такими символами на адрес 2090».
Ещё не мешало бы указывать в конце каждого сообщения небольшую памятку о фишинге: «Не сообщать никому свои пароли и не отправлять никаких смс» со ссылкой на более развернутое описание. Хоть проблема фишинга и актуальна, но её описание на сайте ВКонтакте запрятано далековато, а также требует регулярного обновления.
Основная идея сообщения — существует актуальная проблема ложных (автоматических) регистраций, и нужно ещё раз подтвердить, что я не бот.
Но здесь следует обратить внимание на детали.
Очень странные стиль и написание сообщения
Возьмём фразу «подтверждающую вашу действительность». Что здесь имеется в виду? Какую действительность? Нужно подтвердить, уж не в матрице ли я нахожусь? Или фраза «при невыполнении следующих показаний». Каких показаний? Может правильнее «при невыполнении данных инструкций (указаний)»? Также в глаза бросается описка в слове «сообщение».
В первом абзаце я насчитал 68 некириллических символов из 212 символов (32 %). Зачем администратору нужно писать таким способом? Ведь набирать текст, постоянно переключая раскладку, — очень сложно. Более того, почему администратор пишет с такой странной пунктуацией: нет пробелов после знаков препинания, использует избыточное использование символов?
Подмена символов используется для того, чтобы обойти фильтры на сайте. Например, система может быть запрограммирована, что если в сообщении встречаются слова и фразы «сотрудник», «администрация», «отослать смс на номер ХХХ с текстом ZZZ», то его нужно заблокировать. Злоумышленники обходят такие спам-фильтры очень простым способом: подменой символов.
В этом примере можно выделить три основные группы подстановок:
1. Начертание букв полностью совпадает: а, е, р, с, у, х, А, В, Е, Н, С.
2. Подобное начертание букв: g, n, m.
3. Подмена цифрами: 3, 6.
Обратите внимание, как удачно выбран шрифт на сайте, чтобы немного упростить работу злоумышленников: в гарнитурах Arial, Tahoma (как в сообщении), Verdana, как и в других шрифтах без засечек, начертание букв g, n, m очень похоже на кириллические буквы д, п, м. Тем более, когда размер шрифта 10 пунктов и меньше (на сайте используется шрифт размером 9 пунктов). В гарнитурах Times New Roman и Georgia (шрифты с засечками) начертание букв n и m уже не так похоже на кириллические из-за присутствия засечек и характерного начертания буквы «джи».
В последних двух примерах уже видно, что слово «дополнительные» превратилось в «гополнительные» или даже «гонолнительные», и такая ошибка уже должна насторожить пользователя.
В конце сообщения присутствует фраза
«При не выполнении следующих показаний,ваша страничка 6ygет удалена в течении суток!!!» которая должна заставить меня суетиться, и быстренько отправить смс на указанный номер. А когда человек начинает суетиться и волноваться — ничего хорошего не выходит. Отключается голова и совершаются эмоциональные поступки.
Ещё один важный признак — адрес отправителя. Если кликнуть по ссылке «администратор», то мы попадём на страничку пользователя с именем ↔ администратор ↔, у которого id92158627. Если положить, что идентификаторы выдаются последовательно, то получается, что этот «администратор» зарегистрировался уже будучи 92-миллионным пользователем, что тоже должно наводить на размышлении, о подлинности этой учетной записи.
Отправка СМС
Следующее, что должно насторожить пользователя, — отправка СМС. Здесь нужно следить за следующим:
1. На какой номер отправляется СМС? Чей это сервис?
2. Действительно ли оно бесплатное?
3. Что мы указываем в тексте сообщения?
Быстрый поиск по запросу «смс 2090» вывел меня на сайт с ценами и комментариями пользователей. Оказалось, что смс никакая не бесплатная, а имеет вполне конкретную стоимость в 100 рублей. Судя по описанию становится понятно, что такая смска повышает какие-то голоса для пользователя ВКонтакте. Также в комментариях можно почитать, что случай такого фишинга далеко не единичный.
Странным также является текст сообщения: id26460705. Если посмотреть профиль этого пользователя, то там видно, что это не я.
А значит, и голоса уйдут не мне.Рекомендации пользователям
Не паниковать, не суетиться, не волноваться, не торопиться.
Внимательно прочитайте сообщения, проверьте основные признаки:— от кого прислано сообщение?
— грамотно ли написано сообщение, есть ли орфографически или пунктуационные ошибки?
— присутствуют ли признаки обхода спам-фильтра (например, неправильные символы)?
— на какой сервис нужно отправлять сообщение, что указывается в тексте?
В том случае, если вы сомневаетесь, можно попросить помощи у друзей, обратиться в службу технической поддержки сайта или проконсультироваться на форуме «Антивирусной школы».
О выявленных фактах фишинга или спама следует докладывать в техническую поддержку соответствующего сайта.
Рекомендации разработчикам
Спам-фильтры требуют улучшений. Во-первых, нужно делать нормализацию текстовых сообщений: приводить все символы к русскому набору, чтобы избежать обхода спам-фильтров с помощью подстановок. Во-вторых, следует фильтровать ложную пунктуацию, исправлять простые орфографические ошибки и описки. В примере выше фраза
«Вам нужно отослать s-м-s сообщение подтверждающее вашу действительность» в результате нормализации должна стать
«Вам нужно отослать смс сообщение подтверждающее вашу действительность».
Также следует убрать избыточные символы, чтобы в итоге получилось слитное предложение:
«Вам нужно отослать смс сообщение подтверждающее вашу действительность с таким текстом: id26460705 на номер 2090 (или 1053)».
Здесь уже словосочетания «отослать смс», «на номер», «с текстом» встречаются в одном контексте, что с большой вероятностью символизирует о смс-фишинге. При нормализации и фильтрации необходимо учесть, что могут применяться синонимы, например: смс — смска, сообщение отослать — отправить, выслать, заслать, написать текст — слова, символы, сообщение номер — адрес
В итоге, фишинговая фраза могла бы выглядеть так: «Вам нужно написать сообщение с такими символами на адрес 2090».
Ещё не мешало бы указывать в конце каждого сообщения небольшую памятку о фишинге: «Не сообщать никому свои пароли и не отправлять никаких смс» со ссылкой на более развернутое описание. Хоть проблема фишинга и актуальна, но её описание на сайте ВКонтакте запрятано далековато, а также требует регулярного обновления.
Оффлайн
- Регистрация
- 13.04.17
- Сообщения
- 26
- Реакции
- 14
- Репутация
- 10
Статейка то должна быть со скринами походу))