Шрифт:
Узкие места могут возникать в самых странных ситуациях. Только в 2009 году, по некоторым подсчетам, в США было украдено более 143 миллионов элементов персональных данных (номеров кредитных карт, карт социального страхования и т. д.) {90} . Это большая проблема для потребителей, однако представьте себе, с каким проблемами сталкиваются при этом преступники.
Предложение украденных номеров кредитных карт резко возросло, и конкуренция между плохими парнями заставила упасть цены на каждый украденный номер. Они снизились до одного доллара (при этом помимо самого номера карты в комплект входит код CVV2 и индекс для адреса, на который отправляются счета) {91} . Более «уважаемые» дилеры украденных номеров даже предлагают круглосуточную службу поддержки потребителей. Если номер кредитной карты не работает, они предоставляют на замену новый всего за несколько часов (и мы сейчас не шутим). Обратите внимание, насколько убедительными кажутся условия обслуживания этих, скажем так, предпринимателей {92} .
90
Verizon RISK Team, 2010 Data Breach Investigations Report, www.verizonbusiness.com/resources/reports/rp_2010-DBIR-combined-reports_en_xg.pdf.
91
Ко времени, когда вы будете читать эту книгу, цена может упасть еще сильнее. Для того чтобы узнать текущие расценки, введите «CVV2 CC» в поисковую строку своей любимой поисковой машины (хотя, для протокола, Боб и Хью ни в коем случае не рекомендуют кому бы то ни было покупать украденные номера кредитных карт).
92
Эти сайты живут недолго. Сайт, с которого мы брали тексты объявлений, уже давно исчез из сети.
Попробуйте, прежде чем покупать (цитата из рекламного объявления в сети): «Если хотите проверить, купите один номер. Если с CVV все в порядке, можете купить у меня еще».
Скидки за объем покупки – зачем покупать один украденный номер, когда вы можете получить 30? Порадуйте себя: «Если вы захотите купить больше 30 номеров, я предложу вам отличную цену».
Отсутствие оплаты в кредит (что в данных условиях выглядит несколько несправедливым): «CVV будет отправлен вам после получения платежа».
И, наконец, приверженность качеству и ориентация на клиентов: «Мы меняем плохие CVV. Гарантия 24 часа. Все мои CVV проверены перед продажей. Не подходит – заменим!»
Обычно такие номера кредитных карт покупают представители организованных преступных групп. А вот теперь пришло время для непростого вопроса – каким образом можно превратить украденный номер кредитной карты в деньги без риска быть пойманным? И вот тут-то мы и натыкаемся на настоящее узкое место для мошенничества в области кредитных карт – на американских домохозяек.
Процесс работает следующим образом – плохие парни публикуют в сети объявления о возможности работы (иногда даже вывешивают баннеры на сайтах, где дают свои объявления о вакансиях агентства и компании). Они обнадеживают обещаниями типа «Заработайте до 100 тысяч долларов, работая на дому в свободное время». Что ж, это кажется вполне привлекательным. Люди реагируют на предложение и становятся «сотрудниками».
В течение недели к их домам начинают подъезжать грузовики с большими телевизорами, игровыми системами, ноутбуками и другой дорогостоящей электроникой, заказанной в интернет-магазинах с помощью украденных номеров кредитных карт. Работа этих «сотрудников» довольно проста – упаковать поступившие товары в коробки и отправить их по адресу склада, расположенного за пределами страны.
Такая схема мошенничества носит название «переупаковка», и довольно часто домохозяйки (называемые на преступном жаргоне «мулами») даже и не знают, что занимаются чем-то противозаконным – до тех пор пока через несколько месяцев агенты ФБР не начинают штурмовать их дома {93} .
93
Интернет полон историй о мошенничествах по методу переупаковки. Одну из них можно найти здесь: Eve Tahmincioglu, «Don’t Fall for Work-at-Home Scams», NBC News, по состоянию на 21 апреля 2008 года, www.msnbc.msn.com/id/24132244/ns/business-careers/t/dont-fall-work-at-home-scams.
Процесс монетизации украденного номера кредитной карты ограничен поиском достаточного количества «мулов», то есть временем, за которое преступники смогут подключить к работе ни о чем не подозревающих подмастерьев. Это и есть узкое место.
Основная доля усилий в цепочке поставок украденных номеров кредиток концентрируется на найме сотрудников. Это большой и серьезный бизнес. Киберпреступники обращаются к сайтам знакомств и объявлений или отправляются на форумы любителей тех или иных хобби – то есть в любые места, где они могут завязать нужные связи. Для того чтобы понять динамику развития отношений в этой области, мы бы хотели пригласить вас в странный мир CAPTCHA [29] .
29
CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart (Полностью автоматизированный тест Тьюринга для различения компьютеров и людей). Аббревиатура созвучна английскому слову capture, означающему, помимо прочего, «ввод или сбор данных». Прим. перев.
Возможно, само это название вам и незнакомо, но если вы пользуетесь интернетом, то наверняка их видели. CAPTCHA – написанные нарочито нечетким шрифтом слова, которые нужно впечатать в специальное поле на сайте перед тем, как купить билет на бейсбольный матч или открыть новый аккаунт электронной почты. Это своеобразный тест, позволяющий ответить на вопрос о том, кто общается с сайтом – человек или компьютер.
В современном виде CAPTCHA стал плодом размышлений Луиса фон Ана, специалиста по компьютерным технологиям из Университета Карнеги – Меллон {94} . CAPTCHA были интегрированы почти в каждый значимый сайт, в том числе Google, Yahoo и Ticketmaster. Возможно, вы удивляетесь – какой цели служат эти невероятно раздражающие, иногда совершенно неразборчивые слова. Порой человеку сложно их прочитать, однако для компьютера задача прочитать хорошие CAPTCHA оказывается просто не под силу.
94
Для того чтобы больше узнать об истории CAPTCHA и reCAPTCHA, рекомендуем начать со следующего источника: «reCAPTCHA: Telling Humans and Computers Apart Automatically», Google, по состоянию на 8 октября 2012 года, www.google.com/recaptcha/captcha. Луис фон Ан также выступал по этому вопросу на конференции TED, где поделился несколькими другими идеями по вопросу массового сотрудничества. Luis von Anh, «Massive-scale Online Collaboration», TED talk, 16:40, снято в апреле 2011 года, опубликовано в декабре 2011 года, www.ted.com/talks/luis_von_ahn_massive_scale_online_collaboration.html.
До появления CAPTCHA киберпреступники создавали автоматизированные инструменты, позволяющие за несколько секунд перебрать тысячи различных паролей для вашего сайта или другого закрытого источника. После появления CAPTCHA процесс застопорился. Созданные преступниками роботы доходили до раздела сайта, где им нужно было догадаться, какое слово зашифровано в поле, а затем сдавались.
CAPTCHA менял правила игры для сайтов, изнемогавших от засилья спама или роботов, перебиравших пароли. Но давайте еще раз посмотрим на ситуацию с точки зрения киберпреступника. Очевидно, что CAPTCHA стал слишком узким местом.
Организованные преступные группы, работающие в интернете, инвестировали много времени и сил в написание инструментов для рекламы своих предложений и взлома аккаунтов. Им совершенно не нравилось видеть, что все эти усилия были потрачены зря и что они теряют доходы (особенно обидным было то, что причиной этого послужило несколько букв, написанных почерком пьяного любителя американских горок). И здесь мы можем видеть, насколько творческими могут оказаться усилия хорошо мотивированной группы по преодолению узких мест.