<a href="https://password-purgatory.pages.dev" rel="noopener noreferrer" target="_blank">Password Purgatory</a>
новости

Австралийскому программисту надоело тратить время на письма спамеров. Он придумал, как отомстить: заставить их бесконечно придумывать сложные пароли

Источник: Meduza

Австралийский консультант по веб-безопасности Трой Хант придумал способ, как проучить спамеров, присылающих надоедливые письма с предложениями о сотрудничестве. Хант описал свой метод в блоге.

Способ Ханта, по его словам, направлен на то, чтобы заставить спамеров потратить время на бессмысленные действия — так же, как обычные люди тратят свое время на чтение спама. «Наказание должно соответствовать преступлению», — отметил программист.

Хант создал в своем ящике специальную папку для писем от спамеров с предложениями о сотрудничестве, которую назвал «Чистилищем паролей». На все письма, которые он перекладывает в эту папку, написанный им скрипт автоматически высылает ответное письмо, как будто бы составленное человеком — в нем говорится, что Хант заинтересовался изложенным в спамерском письме предложением и надеется на успешное сотрудничество.

В письме содержится просьба оставить свои контакты, что займет, как утверждается, «буквально одну секунду». Когда спамер кликает на соответствующую ссылку, он попадает на сайт Троя Ханта, где от него просят зарегистрироваться — ввести электронный адрес и придумать пароль.

Именно в пароле и заключается ловушка, придуманная Хантом. После того как спамер придумывает какой-либо пароль, сайт пишет, что он не подходит, так как не удовлетворяет требованиям безопасности — например, не содержит заглавных букв. Когда спамер переделывает пароль с учетом этого требования, сайт снова пишет, что он не подходит — так как теперь не удовлетворяет другому требованию. И это продолжается снова и снова — каждый раз, когда пароль переделывается, сайт Ханта требует от него соответствия еще каким-то критериям.

Требования к паролю появляются в случайном порядке. Некоторые из них вполне стандартны (например, уже упомянутое обязательное наличие заглавной буквы, наличие хотя бы одного специального символа или длина не менее чем из 8 символов), но большинство из них Хант сделал нарочито издевательскими. Например:

  • пароль не должен заканчиваться на «!» или «1»
  • пароль не должен содержать повторяющихся символов
  • пароль должен содержать хотя бы один эмодзи
  • пароль должен содержать хотя бы одну букву с немецким умляутом
  • пароль должен начинаться с букв «cat»
  • пароль должен заканчиваться буквами «dog»
  • пароль должен содержать хотя бы одно имя персонажа мультсериала «Гриффины»
  • пароль должен представлять собой палиндром.

Особо упорных спамеров, которые выполнят все требования, в конце ожидает ошибка: «Ваш пароль не подходит, потому что кто-то уже использовал этот пароль».

Вы можете попробовать выполнить требования программы Ханта здесь. Не вводите в эту форму пароли, которые вы где-либо используете.

Хант также написал скрипт, который позволяет ему отследить, как долго попавший в его ловушку спамер пытается придумать подходящий пароль и какие варианты он вводит. «Никогда я не был так взволнован, проверяя свою нежелательную почту», — написал программист после того, как его скрипт начал работать.

Он также поделился первым успешным примером работы ловушки: некий спамер провел на его сайте 80 секунд и за это время придумал шесть паролей. После требования добавить цифры к паролю, который, в соответствии с предыдущими требованиям, уже начинался с большой буквы и содержал слова «cat» и «dog», спамер покинул сайт.

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.