Внушая доверие: история социальной инженерии

Одним из самых одиозных примеров отлично сработавшей социальной инженерии считают гениальное ограбление городской казны бывшим заключенным Вильгельмом Фойгтом в 1906 году. Все, что ему для этого понадобилось, – это поношенная военная форма и безграничная наглость.

Тюрьма в буквальном смысле стала вторым домом Фойгта: четыре раза его ловили за кражу, еще два – за подделку документов. Неудивительно, что работодатели не горели желанием связываться с таким «кандидатом». Тогда Вильгельм разработал гениальный план.

Он купил потрепанную офицерскую форму (не сразу, а по частям, чтобы не привлекать внимания). На окраине Берлина Фойгт остановил отряд из десяти гвардейцев и приказал следовать за ним. При этом продемонстрировал приказ, в котором командование обязывало военных оказывать всякую помощь держателю бумаги. Приказ, понятное дело, был поддельным – не зря Вильгельм отсидел за аналогичные преступления два срока.

Властный голос и команды, не предполагающие возражений, подействовали – гвардейцы отправились за псевдокапитаном на вокзал, а далее на поезде в пригород Берлина, Кёпеник. Чтобы окончательно отвести от себя подозрения, жулик накормил солдат сытным ужином.

В Кёпенике Фойгт с отрядом отправился в ратушу, где под выдуманным предлогом приказал арестовать ротмистра и главного кассира. А деньги из кассы реквизировал, то есть забрал. Да еще и выдал фейковую квитанцию – правда, от чужого лица. Приказав гвардейцам оставаться в ратуше еще полчаса, Вильгельм благополучно добрался до вокзала, переоделся в гражданское и был таков.

Это ограбление могло бы не состояться, если бы преступник не был так уверен в том, что гвардейцы подчинятся. Он сыграл на безупречной выучке немецких военных беспрекословно выполнять приказы, а бесплатный ужин и продуманная постановка в ратуше не оставила отряду даже шансов усомниться в законности всего происходящего.

Некоторые сделки, которые удавалось проворачивать преступникам с помощью приемов социальной инженерии, поражали своим масштабом. К примеру, в 1925 году некто Виктор Люстиг умудрился продать... Эйфелеву башню. Самую настоящую, в центре Парижа.

Привычный нам символ Франции в то время считался весьма спорным архитектурным решением. Многие горожане были уверены, что он портит облик города, поэтому башню необходимо разобрать. На этой волне Виктор решил продать башню на металлолом. Он сделал себе поддельные документы, согласно которым получил должность вице-директора департамента Министерства почты и телеграфа Франции. Затем поселился в один из лучших отелей Парижа и пригласил на аудиенцию пятерых крупнейших торговцев металлоломом.

Легенда Люстига была проста: башня дорого обходится бюджету, поэтому в скором будущем ее начнут разбирать. На кону – 7200 тонн качественного металла! В то время, пока Виктор рассказывал коммерсантам вымышленную историю и пояснял, как крупно им повезло, он внимательно наблюдал за каждым. И в итоге выбрал одного, который (как показалось преступнику) больше всего горел желанием получить лакомый кусочек Парижа.

«Счастливчиком» оказался Андре Пуассон: после недолгих переговоров он согласился оплатить не только первый взнос, но еще и взятку «чиновнику». Получив огромную сумму в 70 тысяч франков, Люстиг покинул страну и уехал в Вену. Торговец заявлять в полицию не стал: все-таки не очень хотелось огласки столь деликатного дела.

Люстиг оказался настолько впечатлен своей «рабочей схемой», что вскоре снова приехал в Париж и попытался провернуть сделку еще раз. Но тут ему уже не повезло: один из коммерсантов что-то заподозрил и обратился в полицию.

Сегодня методы социальной инженерии активно используют киберпреступники. Многие представляют их эдакими злодеями, сидящими перед компьютерами в темной комнате с надвинутым на голову капюшоном, но на самом деле «на той стороне» может быть и человек, далекий от цифровых технологий, но снабженный правильным скриптом для общения. Даже продвинутые в кибербезопасности люди часто попадают в ловко расставленные ловушки.

Как-то компанию The Security Awareness, специализирующуюся на аудите безопасности, попросили проверить крупный банк в Нью-Йорке. Ее основатель Уинн Швартау решил действовать нестандартно. Он написал сотрудникам банка обычные бумажные письма на бланке организации, в которых от имени руководства рассказал, что в целях безопасности принято решение переходить на физическую почту, пока IT-отдел не убедится в высоком уровне защиты инфраструктуры. И предложил каждому прислать свои логины и пароли для проверки. Примерно треть сотрудников в ответе действительно выслала данные – настолько правдоподобно выглядела легенда. Заметьте: никаких взломов, поисков уязвимостей и прочих высокотехнологичных приемов. Чистая игра на особенностях психики.

Загадочные звонки от «сотрудников безопасности банка» с хорошо поставленными голосами и идеально выверенными скриптами лишили накоплений не одну тысячу человек. Но чаще всего нарушителям не обязательно разговаривать с вами или назначить встречу. В наше время, когда все можно сделать, не вставая с кресла, злоумышленники пытаются пользоваться вашей наивностью в интернете. Например, создают поддельные сайты со знакомой айдентикой. Скажем, вы хотите купить билет на балет в Большом театре, попадаете на сайт со знакомым лого, выбираете место, оплачиваете покупку, и... И ничего. Сайт может быть поддельным, и тогда в руках нарушителей окажутся не только перечисленные деньги, но и данные вашей банковской карты (включая CV-код).

Одно из главных правил кибербезопасности сегодня – не выходить за рамки защищенной экосистемы. Проще говоря, если вы покупаете что-то на одном из интернет-ресурсов, стоит для начала проверить базовые требования безопасности. Не фейковый ли домен (он может быть очень похож на оригинальный), осуществляется ли передача данных при оплате по защищенному каналу (значок с замочком перед адресом). Любой сервис в интернете (особенно тот, который использует персональные данные), в той или иной степени защищен. Разумеется, крупные компании уделяют защите первостепенное внимание.

Возьмем, к примеру, «Авито». Для многих это просто платформа для коммерции с простым и понятным интерфейсом. На самом деле здесь все сделано для того, чтобы пользователь мог безопасно совершить все нужные действия в рамках платформы.

Покупки обычно начинаются с уточнений и обсуждений – для этого у «Авито» есть встроенный мессенджер. Нет необходимости обмениваться контактами, искать друг друга в глобальных мессенджерах. Плюс встроенного коммуникатора в том, что сообщения в нем нельзя удалить – это может пригодиться при разборках спорных ситуаций. Умные алгоритмы мессенджера настроены таким образом, что при попытке подцепить вас на популярную уловку (например, предложить перейти в незащищенный канал связи или отправить фишинговую ссылку), вы получите предупреждение непосредственно в чате.

Когда ответы на все вопросы получены, остается передать деньги. И здесь нельзя переоценить такое решение, как «Безопасная сделка». При сделках частных лиц момент оплаты всегда вызывает максимальное количество споров. Понятно, что продавец хочет получить деньги перед тем, как отправлять или передавать товар, а покупатель желает заплатить после того, как он получит товар и убедится, что все в порядке. Механизм «Безопасной сделки» обеспечивает именно такую схему.

Если покупатель приобретает лот через «Авито Доставку», деньги просто замораживаются на специальном защищенном счете. Продавец получает уведомление (через тот же встроенный мессенджер), что сделка совершена и нужно отнести товар в один из пунктов приема или передать курьеру. Когда покупатель получает свою посылку, он может проверить содержимое: все ли соответствует описанию и фотографиям, не возникло ли повреждений при транспортировке. Если что-то не так, всегда можно отказаться от покупки – тогда деньги, включая стоимость товаров, вернутся обратно на счет, а посылка – продавцу. Если все в порядке, покупатель это подтверждает, и деньги отправляются владельцу объявления.

Помимо активной защиты участников сделки «Авито» старается сделать отношения между продавцом и покупателем максимально прозрачными для обеих сторон. Для этого используют систему оценок и рейтингов. Даже не вступая в диалог, всегда можно увидеть основные данные о человеке или компании: как давно на «Авито», кто и как отзывается о состоявшихся сделках, сколько сделок в принципе совершено.

Крайне полезным инструментом, в значительной степени помогающим определить добросовестного контрагента, стала возможность подтверждения профиля по документам и реквизитам. К примеру, сантехника или электрика, которого вы вызовете через «Авито», придется впустить в квартиру. И в этом случае нужно быть максимально уверенным в том, что аккаунт принадлежит реальному человеку, а не создан автоматически с целью заработать нечестным путем.

Если профиль специалиста подтвержден по документам, значит, ему нечего скрывать. Вряд ли преступник согласится предоставить свои паспортные данные платформе. А с недавних пор в «Авито» появилось подтверждение подлинности аккаунта через «Госуслуги». Воспользоваться ей может любой пользователь платформы: при этом все остальные будут видеть соответствующий значок, что однозначно повысит уровень доверия.

Юридические лица тоже могут получить особую верификацию. Например, в разделах «Авто» и «Недвижимость» компании, которые прошли дополнительную проверку со стороны «Авито» на соответствие правилам платформы, получают значок «Проверенный партнер». А в разделе «Работа» можно встретить бейдж «Компания проверена»: это значит, что она не находится в стадии банкротства и на нее не поступают жалобы от соискателей.

_{На правах рекламы, 16+}