Читаем Искусство быть невидимым полностью

В полученном Кертис фальшивом письме с LinkedIn содержалось однопиксельное изображение, неприметная точка, как те, с помощью которых некоторые веб-сайты следят за своими посетителями (мы говорили об этом ранее). Когда эта крошечная точка отвечает на запрос, она передает занимающемуся сбором данных серверу, который может быть расположен в любой точке мира, информацию о том, когда, на какое время и с какого устройства вы открывали это письмо. Также программный код сообщает, было ли письмо сохранено, перенаправлено или удалено. Кроме того, если бы атака была настоящей, хакеры могли бы добавить в письмо ссылку на фальшивую страницу LinkedIn, которая бы в точности имитировала настоящую страницу с тем лишь исключением, что размещалась бы на другом сервере, возможно, вообще в другой стране.

Для рекламодателя эта брешь в системе безопасности — отличная возможность для сбора данных о получателе (и составления его профиля). Для хакеров это

способ выяснить технические характеристики, необходимые для разработки плана перехвата контроля над вашей машиной. Например, если вы используете устаревшую версию браузера, там могут быть уязвимости, которые сыграют хакерам на руку.

Второе письмо, полученное Кертис от тестировщиков, содержало вложение, электронный документ, использующий уязвимости программы, с помощью которой он открывался (допустим, Adobe Reader). Когда мы говорим о вредоносных программах, большинство людей вспоминает компьютерные вирусы начала 2000-х, когда одно зараженное электронное письмо распространяло копии зараженных писем всем адресатам из списка контактов. Подобные массовые атаки в наше время случаются гораздо реже, отчасти потому что изменились сами почтовые программы. Напротив, современные вредоносные программы действуют гораздо более тонко и часто подстраиваются под конкретного человека. Именно так и было в случае с Софи Кертис. Тестировщики применили особый вид фишинга, известный как направленный фишинг, целью которого является конкретный человек.

Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным человека, таким как логины, пароли, данные банковских карт или финансовая информация. Распространенная фишинговая схема заключается в том, что хакер обманом убеждает финансового директора перевести крупную сумму денег под тем предлогом, что якобы так распорядился генеральный директор. Обычно в фишинговом письме или сообщении содержится активный элемент, например, кликабельная ссылка или открывающееся вложение. Что же касается Кертис, хакеры внедрили вредоносную программу на ее компьютер, просто чтобы показать, насколько это легко.

Среди наиболее известных фишинговых атак была «Операция Аврора», когда получателями фишингового письма были китайские сотрудники Google. Злоумышленники хотели заразить вирусом компьютеры компании в Китае, чтобы получить доступ к внутренней сети главного представительства Google в Маунтин-Вью, Калифорния. Хакерам это удалось, они очень близко подобрались к исходному коду поисковой системы Google. Пострадал не только Google. Другие компании, например Adobe, жаловались на аналогичные атаки. В итоге компания Google быстро свернула свою деятельность на территории Китая.¹²⁶

Каждый раз, когда мы получаем запрос с сайта LinkedIn или Facebook, наша защита потенциально ослабевает. Вероятно, потому что мы доверяем этим сайтам и автоматически доверяем электронным письмам от них. Но как мы видели, кто угодно может подделать сообщение, и оно будет выглядеть правдоподобно. При живом общении мы обычно видим, что у собеседника накладные усы или шиньон или же что он пытается изменить голос. Сотни лет эволюции развили наши инстинкты настолько, что мы подсознательно улавливаем ложь. Эти инстинкты не действуют в Интернете, по крайней мере, у большинства из нас. Софи Кертис была журналисткой, по роду деятельности ей положено быть любопытной и недоверчивой, ведь она должна распутывать клубки событий и проверять факты. Софи могла бы проверить наличие пользователя LinkedIn в списке сотрудников издания Telegraph. Тогда бы она поняла, что письмо, вероятно, фальшивка. Но она так не сделала. И в обычной жизни многие из нас так же беспечны.