📚 Hub Books: Онлайн-чтение книгРазная литератураВзломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер

Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер

Шрифт:

-
+

Интервал:

-
+
1 ... 38 39 40 41 42 43 44 45 46 ... 63
Перейти на страницу:
определение темного паттерна, потому что само оно станет мишенью для взлома, когда хакеры будут пытаться обойти закон.

46

Доверие и авторитет

19 марта 2016 г. Джон Подеста, в то время председатель президентской кампании сенатора Хиллари Клинтон, получил электронное письмо якобы от Google. Это было предупреждение о безопасности, и в нем содержалась ссылка на страницу, похожую на страницу входа в Google. Подеста спокойно ввел свои учетные данные, но позже оказалось, что эта страница вовсе не была страницей Google. На самом деле она управлялась ГРУ, российской военной разведкой. Как только оперативники по ту сторону экрана получили пароль Подесты от сервиса Gmail, они завладели по меньшей мере 20 000 его электронных писем, а затем слили их в WikiLeaks для публикации. Это был хакинг с помощью средств социальной инженерии.

Социальная инженерия – весьма распространенный способ взлома компьютерных систем. По сути, это убеждение человека, имеющего особый доступ к системе, в том, чтобы он использовал его не по назначению. Более 20 лет назад я написал: «Только любители атакуют машины; профессионалы нацелены на людей»{198}. Это утверждение верно и сегодня. И в первую очередь оно касается хакерских методов, основанных на доверии.

Один из таких методов представляет собой звонок на линию техподдержки сотового оператора под видом другого человека с целью убедить сотрудника перевести номер этого человека на телефон, который вы контролируете. Эта атака, известная как подмена SIM-карты, особенно неприятна, поскольку контроль над номером телефона открывает путь другим видам мошенничества и часто приводит к большим потерям. Известен случай, когда жертва лишилась вследствие такой атаки $24 млн{199}, а совокупные потери просто огромны.

Существует гигантское количество вариаций на тему социальной инженерии. Они могут выглядеть как телефонный разговор с сотрудником – именно так в 2020 г. хакеры завладели 130 аккаунтами Twitter{200} – или как переписка по электронной почте. Термином «фишинг» обозначают отправку фальшивых электронных писем с целью убедить получателя перейти по ссылке, открыть вложение или сделать что-то еще, ставящее под угрозу безопасность компьютера или банковского счета получателя. Фишинговые атаки не слишком эффективны, поскольку злоумышленники забрасывают широкую сеть и делают свои призывы достаточно общими. Термин «целевой фишинг» используется, когда эти письма становятся персонализированными. Чтобы составить убедительное сообщение, требуется серьезно исследовать адресата, но оно может быть очень эффективным методом взлома. Подеста попался как раз на такой крючок. Как и бывший госсекретарь Колин Пауэлл.

В главе 12 я рассказал о компрометации деловой электронной почты. Хакер получает доступ к электронной почте руководителя компании, а затем пишет подчиненному что-то вроде: «Здравствуйте. Это генеральный директор. Да, это непривычно, но я в командировке и не имею обычного доступа к сети. Мне нужно, чтобы вы прямо сейчас перевели $20 млн на этот иностранный счет. Это важно. От этого зависит крупная сделка. Я пришлю вам необходимые бумаги, когда вернусь в отель». В зависимости от того, насколько хорошо хакеру удастся сделать детали правдоподобными, насколько сотрудник будет рассеян и доверчив и как все вместе впишется в реальную ситуацию, этот хак может оказаться весьма успешным. В 2019 г. компания Toyota потеряла $37 млн из-за подобной аферы, пополнив длинный список ее жертв.

В 2015 г. сирийские женщины-агенты, флиртуя по Skype с доверчивыми повстанцами, сумели выведать у них планы сражений, а также личные данные высокопоставленных руководителей. Российская разведка использовала ту же тактику, пытаясь выведать секретную информацию у военнослужащих США.

Технологии облегчают подобные махинации. Сегодня преступники используют технологию дипфейк для совершения атак методами социальной инженерии. В 2019 г. генерального директора британской энергетической компании обманом заставили перевести{201} €220 000, подделав голос его босса из материнской компании и подтвердив телефонный звонок электронным письмом. В этом хаке использовалась только цифровая обработка голоса, но и видеоизображение уже на подходе. Известен случай, когда мошенник использовал силиконовую маску для записи видео{202} и обманом заставил людей перевести ему миллионы долларов.

Этот вид мошенничества может иметь и геополитические последствия. В рамках научного исследования были созданы очень убедительные видеоролики, в которых политики говорят то, чего они не говорили, и делают то, чего не делали. В 2022 г. видео, на котором президент Украины Владимир Зеленский призывает украинские войска сдаться, было развенчано самим Зеленским. Хотя ролик сделан кое-как и в нем легко можно распознать фальшивку, со временем при развитии технологий такие подделки станут намного лучше.

Одного существования такой технологии уже достаточно для того, чтобы подорвать наше доверие к аудио– и видеодокументам в целом. В 2019 г. видеозапись давно пропавшего с экранов действующего президента Габона{203} Али Бонго, который, как считалось, находился в тяжелом состоянии или уже умер, была названа его противниками «глубокой подделкой» и послужила спусковым крючком для военного путча, оказавшегося, впрочем, неудачным. Это было настоящее видео, но откуда неспециалист мог знать, какое из утверждений является правдой?

Объедините эти методы с уже существующими и будущими технологиями ИИ, которые позволят ботам создавать и убедительно воспроизводить реалистичные тексты – сообщения, монологи и диалоги, – и вы получите технологии, которые полностью хакнут наше представление о том, кто или, точнее, что является или не является человеком.

Мы видели подобные подделки в действии во время президентских выборов в США в 2016 г. BuzzFeed обнаружил 140 фальшивых новостных сайтов{204} с доменными именами, похожими на настоящие ресурсы, и сенсационными заголовками, которые пользовались большим успехом в Facebook. Это стало началом волны новых сайтов, замаскированных под авторитетные источники информации. Такие доменные имена, как BostonTribune.com, KMT11.com и ABCNews.com.co, выглядели вполне официально и обманули многих читателей, заставив поверить в дезинформацию. Такие сайты, как The Tennessee Star, Arizona Monitor и Maine Examiner, были созданы, чтобы выглядеть как традиционные газеты, но распространяли при этом политическую пропаганду.

Многие исторические индикаторы доверия больше не работают. Печатные книги и телевизионные новости считались авторитетными источниками, поскольку издательская и вещательная отрасли выступали в роли привратников публичного поля. Доверие, основанное на подобной схеме, не имеет под собой оснований применительно к интернету. Сегодня любой может опубликовать что угодно в виде книги. Бумажную газету по-прежнему трудно подделать, но сымитировать ее в формате веб-сайта несложно. Раньше сигналом о надежности и платежеспособности банка служило солидное здание, в котором он размещался; теперь эту роль выполняет графика и дизайн веб-сайта.

Я могу привести еще больше примеров хакинга, основанного на вероломстве. Спонсированный контент соответствует форме и функциям платформы, на которой он размещен, но на самом деле является платной рекламой. (Большинство платформ, впрочем, отмечают такой контент как спонсированный.) Отзывы клиентов, которыми сегодня пестрит интернет, могут выглядеть правдоподобно, но их легко подделать. То и дело всплывает информация о фальсификации профессиональных полномочий: грабители выдают себя за сотрудников иммиграционных служб, чтобы отбирать деньги у новых мигрантов, доктора наук выдают себя за врачей, чтобы торговать шарлатанскими снадобьями, мошенники выдают себя за налоговых инспекторов, чтобы получить доступ к компьютерам и паролям честных налогоплательщиков.

И последнее: наши когнитивные системы доверия привыкли иметь дело с людьми. Мы не приспособлены оценивать надежность организаций, брендов, корпораций и т. п. Отсюда возникли маскоты – милые узнаваемые персонажи, олицетворяющие бренд, – и положительные отзывы знаменитостей. Рекламодатели уже десятилетиями придают брендам человеческое лицо и запускают наши когнитивные системы доверия.

Некоторые бренды даже обзавелись узнаваемыми сетевыми личностями: рестораны быстрого питания Wendy's выступают в Twitter в образе саркастичного тролля, а от лица Amazon прославился персонаж, гневно реагирующий на критиков компании в правительстве. И все это для того, чтобы имитировать человечность и завоевать доверие так же, как это делают влиятельные лица и политики. По мере того как компании и политические движения все чаще используют ИИ для оптимизации своего присутствия в социальных сетях и поддаются искушению запускать фальшивые аккаунты, чтобы создать впечатление поддержки широких слоев населения, доверие к ним вскоре может возникнуть даже у матерых скептиков.

47

1 ... 38 39 40 41 42 43 44 45 46 ... 63
Перейти на страницу:

Комментарии

Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!

Никто еще не прокомментировал. Хотите быть первым, кто выскажется?