Кертис, как и многих в наше время, обманом убедили нажать на вложение, которое, как ей казалось, было обычным файлом. Создав впечатление, что он содержит интересующую ее информацию, файл на самом деле загрузил и распаковал ряд других файлов, с помощью которых хакеры взяли под свой полный контроль ее компьютер. Вредоносная программа даже сфотографировала женщину с помощью ее же веб-камеры. На этом снимке Софи выглядит совершенно обескураженной, пытаясь понять, как кому-то удалось влезть в ее компьютер.
На самом деле журналистке было прекрасно известно, кто захватил компьютер. За несколько месяцев до этого она ради интереса наняла тестировщика на уязвимости, или пентестера. Кого-то вроде меня. Компании и частные лица нанимают профессиональных хакеров, чтобы те попытались взломать их компьютер или компьютерную сеть. Так можно понять, где нужно усилить защиту. В случае с Кертис проверка растянулась на несколько месяцев.
Приступая к подобной работе, я всегда стараюсь узнать о клиенте как можно больше. Я много времени трачу на то, чтобы узнать, как он живет и чем занимается в Интернете, слежу за постами на ресурсах Twitter, Facebook и, да, даже LinkedIn. Именно это и сделал специалист, нанятый Софи Кертис. Среди электронных писем женщины оказалось одно тщательно сконструированное послание от пентестера — первое письмо. Он знал, что она журналистка и что она с легкостью принимает запросы от незнакомых людей. Касательно первого письма Кертис позже написала, что там было недостаточно информации, чтобы заинтересовать ее и вызвать у нее желание провести интервью и написать статью о том человеке. Но ее впечатлил масштаб исследовательской работы, проделанной хакером и его коллегами.
Кертис сказала: «Они сумели с помощью Twitter узнать мой рабочий электронный ящик, а также несколько мест, где я недавно побывала, и название общественного мероприятия, которое я регулярно посещаю вместе с другими журналистами. По вещам на заднем плане одной из выложенных мной в Twitter фотографий им удалось выяснить, какой у меня был мобильный телефон, а также что мой жених раньше курил самокрутки (это была старая фотография) и что он увлекается велосипедным спортом».124 Любой из этих деталей хватило бы для того, чтобы составить такое письмо.
Также на конференции DEF C0N2016 был анонсирован новый инструмент на базе искусственного интеллекта. С помощью этого инструмента можно будет анализировать твиты жертвы. После этого инструмент сможет составить фишинговое письмо, ориентируясь на интересы человека.125 Поэтому будьте осторожны, переходя по ссылке из твита.
И правда, часто самые незначительные мелочи — лишний комментарий, оставленный тут или там, необычная побрякушка на полке за вашей спиной на фотографии, футболка с логотипом летнего лагеря, где вы побывали — становятся дополнительным источником важнейшей личной информации, которой вы вовсе не собирались ни с кем делиться. Нам может казаться, что эти не связанные между собой детали безобидны, но чем больше подробностей выяснит злоумышленник, тем легче ему будет убедить вас открыть прикрепленный к письму файл и захватить контроль над вашим цифровым миром.
Кертис отметила, что тестировщики на этом остановились. Будь они настоящими преступниками, процесс мог бы продолжаться еще какое-то время. Возможно, хакеры взломали бы ее аккаунты в соцсетях, рабочую сеть издания Telegraph и даже проникли бы в банковский счет. И вероятнее всего, они бы сделали это таким образом, что Кертис даже не поняла бы, что ее компьютер был взломан, — большинство атак не провоцируют реакцию Windows Defender или другого антивируса. Некоторые хакеры проникают в компьютер и затихают, а пользователь может не догадываться об этом многие месяцы и даже годы. Это касается не только ноутбука, но и перепрошитого iPhone (т. е. с джейлбрейком) или мобильного устройства на операционной системе Android.
Хотя Google и другие сервисы электронной почты проверяют ваши письма на предмет вредоносного программного обеспечения и порнографического контента, а также для получения статистических данных в рекламных целях, но они не ставят своей целью защитить вас от мошеннических схем. Как и с конфиденциальностью, которую, как мы уже говорили, каждый понимает по-своему, с мошенничеством дела обстоят трудно. Мы не всегда можем его распознать, даже когда оно у нас прямо под носом.
В полученном Кертис фальшивом письме с LinkedIn содержалось однопиксельное изображение, неприметная точка, как те, с помощью которых некоторые веб-сайты следят за своими посетителями (мы говорили об этом ранее). Когда эта крошечная точка отвечает на запрос, она передает занимающемуся сбором данных серверу, который может быть расположен в любой точке мира, информацию о том, когда, на какое время и с какого устройства вы открывали это письмо. Также программный код сообщает, было ли письмо сохранено, перенаправлено или удалено. Кроме того, если бы атака была настоящей, хакеры могли бы добавить в письмо ссылку на фальшивую страницу LinkedIn, которая бы в точности имитировала настоящую страницу с тем лишь исключением, что размещалась бы на другом сервере, возможно, вообще в другой стране.
Хотя Google и другие сервисы электронной почты проверяют ваши письма на предмет вредоносного программного обеспечения и порнографического контента, а также для получения статистических данных в рекламных целях, но они не ставят своей целью защитить вас от мошеннических схем.
Для рекламодателя эта брешь в системе безопасности — отличная возможность для сбора данных о получателе (и составления его профиля). Для хакеров это
способ выяснить технические характеристики, необходимые для разработки плана перехвата контроля над вашей машиной. Например, если вы используете устаревшую версию браузера, там могут быть уязвимости, которые сыграют хакерам на руку.
Второе письмо, полученное Кертис от тестировщиков, содержало вложение, электронный документ, использующий уязвимости программы, с помощью которой он открывался (допустим, Adobe Reader). Когда мы говорим о вредоносных программах, большинство людей вспоминает компьютерные вирусы начала 2000-х, когда одно зараженное электронное письмо распространяло копии зараженных писем всем адресатам из списка контактов. Подобные массовые атаки в наше время случаются гораздо реже, отчасти потому что изменились сами почтовые программы. Напротив, современные вредоносные программы действуют гораздо более тонко и часто подстраиваются под конкретного человека. Именно так и было в случае с Софи Кертис. Тестировщики применили особый вид фишинга, известный как направленный фишинг, целью которого является конкретный человек.
Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным человека, таким как логины, пароли, данные банковских карт или финансовая информация. Распространенная фишинговая схема заключается в том, что хакер обманом убеждает финансового директора перевести крупную сумму денег под тем предлогом, что якобы так распорядился генеральный директор. Обычно в фишинговом письме или сообщении содержится активный элемент, например, кликабельная ссылка или открывающееся вложение. Что же касается Кертис, хакеры внедрили вредоносную программу на ее компьютер, просто чтобы показать, насколько это легко.
