Бесплатно Фишинг ВКонтакте

Для проведения различных экспериментов зарегистрировался в социальной сети «ВКонтакте». Буквально в течение часа после регистрации, я получил письмо от администрации. Заголовки этого письма содержат настоящие сервера ВКонтакте, поэтому увидев фразы «администратор оставил Вам личное сообщение», «С уважением, Администрация ВКонтакте.ру» я настроился на серьёзный разговор и отправился читать сообщение.

Основная идея сообщения — существует актуальная проблема ложных (автоматических) регистраций, и нужно ещё раз подтвердить, что я не бот.

Но здесь следует обратить внимание на детали.

Очень странные стиль и написание сообщения

Возьмём фразу «подтверждающую вашу действительность». Что здесь имеется в виду? Какую действительность? Нужно подтвердить, уж не в матрице ли я нахожусь? Или фраза «при невыполнении следующих показаний». Каких показаний? Может правильнее «при невыполнении данных инструкций (указаний)»? Также в глаза бросается описка в слове «сообщение».

В первом абзаце я насчитал 68 некириллических символов из 212 символов (32 %). Зачем администратору нужно писать таким способом? Ведь набирать текст, постоянно переключая раскладку, — очень сложно. Более того, почему администратор пишет с такой странной пунктуацией: нет пробелов после знаков препинания, использует избыточное использование символов?

Подмена символов используется для того, чтобы обойти фильтры на сайте. Например, система может быть запрограммирована, что если в сообщении встречаются слова и фразы «сотрудник», «администрация», «отослать смс на номер ХХХ с текстом ZZZ», то его нужно заблокировать. Злоумышленники обходят такие спам-фильтры очень простым способом: подменой символов.

В этом примере можно выделить три основные группы подстановок:

1. Начертание букв полностью совпадает: а, е, р, с, у, х, А, В, Е, Н, С.

2. Подобное начертание букв: g, n, m.

3. Подмена цифрами: 3, 6.

Обратите внимание, как удачно выбран шрифт на сайте, чтобы немного упростить работу злоумышленников: в гарнитурах Arial, Tahoma (как в сообщении), Verdana, как и в других шрифтах без засечек, начертание букв g, n, m очень похоже на кириллические буквы д, п, м. Тем более, когда размер шрифта 10 пунктов и меньше (на сайте используется шрифт размером 9 пунктов). В гарнитурах Times New Roman и Georgia (шрифты с засечками) начертание букв n и m уже не так похоже на кириллические из-за присутствия засечек и характерного начертания буквы «джи».

В последних двух примерах уже видно, что слово «дополнительные» превратилось в «гополнительные» или даже «гонолнительные», и такая ошибка уже должна насторожить пользователя.

В конце сообщения присутствует фраза

«При не выполнении следующих показаний,ваша страничка 6ygет удалена в течении суток!!!» которая должна заставить меня суетиться, и быстренько отправить смс на указанный номер. А когда человек начинает суетиться и волноваться — ничего хорошего не выходит. Отключается голова и совершаются эмоциональные поступки.

Ещё один важный признак — адрес отправителя. Если кликнуть по ссылке «администратор», то мы попадём на страничку пользователя с именем ↔ администратор ↔, у которого id92158627. Если положить, что идентификаторы выдаются последовательно, то получается, что этот «администратор» зарегистрировался уже будучи 92-миллионным пользователем, что тоже должно наводить на размышлении, о подлинности этой учетной записи.

Отправка СМС

Следующее, что должно насторожить пользователя, — отправка СМС. Здесь нужно следить за следующим:

1. На какой номер отправляется СМС? Чей это сервис?

2. Действительно ли оно бесплатное?

3. Что мы указываем в тексте сообщения?

Быстрый поиск по запросу «смс 2090» вывел меня на сайт с ценами и комментариями пользователей. Оказалось, что смс никакая не бесплатная, а имеет вполне конкретную стоимость в 100 рублей. Судя по описанию становится понятно, что такая смска повышает какие-то голоса для пользователя ВКонтакте. Также в комментариях можно почитать, что случай такого фишинга далеко не единичный.

Странным также является текст сообщения: id26460705. Если посмотреть профиль этого пользователя, то там видно, что это не я. А значит, и голоса уйдут не мне.

Рекомендации пользователям

Не паниковать, не суетиться, не волноваться, не торопиться. Внимательно прочитайте сообщения, проверьте основные признаки:

— от кого прислано сообщение?

— грамотно ли написано сообщение, есть ли орфографически или пунктуационные ошибки?

— присутствуют ли признаки обхода спам-фильтра (например, неправильные символы)?

— на какой сервис нужно отправлять сообщение, что указывается в тексте?

В том случае, если вы сомневаетесь, можно попросить помощи у друзей, обратиться в службу технической поддержки сайта или проконсультироваться на форуме «Антивирусной школы».

О выявленных фактах фишинга или спама следует докладывать в техническую поддержку соответствующего сайта.

Рекомендации разработчикам

Спам-фильтры требуют улучшений. Во-первых, нужно делать нормализацию текстовых сообщений: приводить все символы к русскому набору, чтобы избежать обхода спам-фильтров с помощью подстановок. Во-вторых, следует фильтровать ложную пунктуацию, исправлять простые орфографические ошибки и описки. В примере выше фраза

«Вам нужно отослать s-м-s сообщение подтверждающее вашу действительность» в результате нормализации должна стать

«Вам нужно отослать смс сообщение подтверждающее вашу действительность».

Также следует убрать избыточные символы, чтобы в итоге получилось слитное предложение:

«Вам нужно отослать смс сообщение подтверждающее вашу действительность с таким текстом: id26460705 на номер 2090 (или 1053)».

Здесь уже словосочетания «отослать смс», «на номер», «с текстом» встречаются в одном контексте, что с большой вероятностью символизирует о смс-фишинге. При нормализации и фильтрации необходимо учесть, что могут применяться синонимы, например: смс — смска, сообщение отослать — отправить, выслать, заслать, написать текст — слова, символы, сообщение номер — адрес

В итоге, фишинговая фраза могла бы выглядеть так: «Вам нужно написать сообщение с такими символами на адрес 2090».

Ещё не мешало бы указывать в конце каждого сообщения небольшую памятку о фишинге: «Не сообщать никому свои пароли и не отправлять никаких смс» со ссылкой на более развернутое описание. Хоть проблема фишинга и актуальна, но её описание на сайте ВКонтакте запрятано далековато, а также требует регулярного обновления.
​