Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

По большей части манипулирование людьми осуществляется по телефону, что затрудняет поимку злоумышленника. Один из них звонил разным людям и заявлял: «Это оператор. Вам звонит за ваш счет… (имярек) из такого-то города». Если жертва соглашалась принять звонок, «оператор» продолжал: «Функция соединения за ваш счет заблокирована. Сообщите мне, пожалуйста, номер вашей карты, и я соединю вас». Это происходило в действительности. Злоумышленник находил людей в конференциях Usenet и придумывал звонки за их счет от корреспондентов по конференции, что выглядело весьма правдоподобно.

Когда в 2000 году Кевин Митник давал показания в Конгрессе, он говорил о манипулировании людьми: «Нападения этого рода были столь успешны, что мне редко приходилось обращаться к техническим средствам. Компании способны истратить миллионы долларов на технические средства защиты, но все это будет напрасно, если можно позвонить по телефону и убедить кого-нибудь сделать на компьютере нечто, что ослабляет защиту или открывает доступ к интересующей информации».

Другой вид нападений с помощью манипулирования людьми направлен против кредитных карт. Предположим, Алиса узнала номер кредитной карты Боба. Она могла бы сделать покупки за его счет, но она более коварна. Она дает рекламу различных товаров – видеокамер, компьютеров, чего угодно еще – и предлагает их по очень низкой цене. Карл попадается на удочку и покупает какой-то продукт у Алисы. Она в свою очередь заказывает этот продукт у настоящего продавца, используя номер кредитной карты Боба. Продавец доставляет покупку Карлу и бывает озадачен, когда впоследствии Боб обнаруживает траты. В этом случае виновным посчитают Карла, а не Алису.

Автоматизированное манипулирование людьми можно использовать сразу против большого количества людей, и кто-нибудь постоянно будет одурачен. В 1993 году подписчики New York ISP Phantom Access получили следующее зловещее сообщение: «Мне стало известно, что ваша учетная запись была взломана посторонним лицом. Внесенные изменения столь значительны, что это позволило обнаружить ошибку. Пожалуйста, временно измените пароль для доступа к DPH7, чтобы мы смогли оценить серьезность вторжения. Когда проблема будет решена, я извещу вас. Благодарю за содействие. – Системный администратор». А в 1999 году пользователи AOL постоянно получали сообщения вроде: «В результате произошедшей ошибки была удалена из базы данных информация о более чем 25 000 учетных записей, в том числе и вашей. Чтобы получить доступ к резервным данным, нам необходим ваш пароль. Если мы не получим его, мы НЕ будем иметь возможности позволить вам подписаться на America Online в течение 24 часов, следующих за открытием настоящего письма».

Правдоподобие и неожиданность сообщения, ужас, который оно вызывает, заставляют жертву сдаться. Распространяемые по электронной почте вирусы и черви используют автоматизированное манипулирование людьми, чтобы заставить получателей открыть их. Вирус ILOVEYOU прятался в посланиях от людей, известных получателю. Сообщения имели правдоподобную тему и содержание, побуждавшее открыть вложение. Вложение было представлено как безвредный текстовый файл, на самом же деле это был файл VBScript. Я уже говорил об этом в главе 10. Люди не могут противодействовать таким вирусам, использующим манипулирование людьми.

В некоторых случаях технические средства безопасности в состоянии помочь. Если бы всегда готовые прийти на подмогу сотрудники помимо пароля должны были использовать маркеры доступа (или средства биометрического контроля), то славный парень на другом конце провода не сумел бы получить все, чего хотел. Его не выручил бы пароль, если бы компьютер имел устройство для распознавания отпечатков пальцев. Если бы системы были достаточно разумны и распознавали, что кто-то входит в них с удаленного компьютера, тогда как правила предписывают делать это исключительно на рабочем месте, возможно, кого-нибудь это встревожило бы.

Иногда предотвратить манипулирование людьми позволяют довольно простые процедуры. В Военно-морских силах США используются сейфы с двумя замками (конечно, с различными комбинациями цифр); один человек не должен знать шифр обоих замков. Это значительно затрудняет управление людьми. Можно использовать многие компьютерные трюки, чтобы ограничить возможности обманутого законного пользователя оказать помощь мошеннику. Технические средства способны усложнить задачу мошенника, в некоторых случаях весьма значительно.