Читаем Искусство быть невидимым полностью

Кертис, как и многих в наше время, обманом убедили нажать на вложение, которое, как ей казалось, было обычным файлом. Создав впечатление, что он содержит интересующую ее информацию, файл на самом деле загрузил и распаковал ряд других файлов, с помощью которых хакеры взяли под свой полный контроль ее компьютер. Вредоносная программа даже сфотографировала женщину с помощью ее же веб-камеры. На этом снимке Софи выглядит совершенно обескураженной, пытаясь понять, как кому-то удалось влезть в ее компьютер.

На самом деле журналистке было прекрасно известно, кто захватил компьютер. За несколько месяцев до этого она ради интереса наняла тестировщика на уязвимости, или пентестера. Кого-то вроде меня. Компании и частные лица нанимают профессиональных хакеров, чтобы те попытались взломать их компьютер или компьютерную сеть. Так можно понять, где нужно усилить защиту. В случае с Кертис проверка растянулась на несколько месяцев.

Приступая к подобной работе, я всегда стараюсь узнать о клиенте как можно больше. Я много времени трачу на то, чтобы узнать, как он живет и чем занимается в Интернете, слежу за постами на ресурсах Twitter, Facebook и, да, даже LinkedIn. Именно это и сделал специалист, нанятый Софи Кертис. Среди электронных писем женщины оказалось одно тщательно сконструированное послание от пентестера — первое письмо. Он знал, что она журналистка и что она с легкостью принимает запросы от незнакомых людей. Касательно первого письма Кертис позже написала, что там было недостаточно информации, чтобы заинтересовать ее и вызвать у нее желание провести интервью и написать статью о том человеке. Но ее впечатлил масштаб исследовательской работы, проделанной хакером и его коллегами.

Кертис сказала: «Они сумели с помощью Twitter узнать мой рабочий электронный ящик, а также несколько мест, где я недавно побывала, и название общественного мероприятия, которое я регулярно посещаю вместе с другими журналистами. По вещам на заднем плане одной из выложенных мной в Twitter фотографий им удалось выяснить, какой у меня был мобильный телефон, а также что мой жених раньше курил самокрутки (это была старая фотография) и что он увлекается велосипедным спортом».¹²⁴ Любой из этих деталей хватило бы для того, чтобы составить такое письмо.

Также на конференции DEF C0N2016 был анонсирован новый инструмент на базе искусственного интеллекта. С помощью этого инструмента можно будет анализировать твиты жертвы. После этого инструмент сможет составить фишинговое письмо, ориентируясь на интересы человека.¹²⁵ Поэтому будьте осторожны, переходя по ссылке из твита.

И правда, часто самые незначительные мелочи — лишний комментарий, оставленный тут или там, необычная побрякушка на полке за вашей спиной на фотографии, футболка с логотипом летнего лагеря, где вы побывали — становятся дополнительным источником важнейшей личной информации, которой вы вовсе не собирались ни с кем делиться. Нам может казаться, что эти не связанные между собой детали безобидны, но чем больше подробностей выяснит злоумышленник, тем легче ему будет убедить вас открыть прикрепленный к письму файл и захватить контроль над вашим цифровым миром.

Кертис отметила, что тестировщики на этом остановились. Будь они настоящими преступниками, процесс мог бы продолжаться еще какое-то время. Возможно, хакеры взломали бы ее аккаунты в соцсетях, рабочую сеть издания Telegraph и даже проникли бы в банковский счет. И вероятнее всего, они бы сделали это таким образом, что Кертис даже не поняла бы, что ее компьютер был взломан, — большинство атак не провоцируют реакцию Windows Defender или другого антивируса. Некоторые хакеры проникают в компьютер и затихают, а пользователь может не догадываться об этом многие месяцы и даже годы. Это касается не только ноутбука, но и перепрошитого iPhone (т. е. с джейлбрейком) или мобильного устройства на операционной системе Android.

Хотя Google и другие сервисы электронной почты проверяют ваши письма на предмет вредоносного программного обеспечения и порнографического контента, а также для получения статистических данных в рекламных целях, но они не ставят своей целью защитить вас от мошеннических схем. Как и с конфиденциальностью, которую, как мы уже говорили, каждый понимает по-своему, с мошенничеством дела обстоят трудно. Мы не всегда можем его распознать, даже когда оно у нас прямо под носом.