Читаем Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах полностью

19 марта 2016 г. Джон Подеста, в то время председатель президентской кампании сенатора Хиллари Клинтон, получил электронное письмо якобы от Google. Это было предупреждение о безопасности, и в нем содержалась ссылка на страницу, похожую на страницу входа в Google. Подеста спокойно ввел свои учетные данные, но позже оказалось, что эта страница вовсе не была страницей Google. На самом деле она управлялась ГРУ, российской военной разведкой. Как только оперативники по ту сторону экрана получили пароль Подесты от сервиса Gmail, они завладели по меньшей мере 20 000 его электронных писем, а затем слили их в WikiLeaks для публикации. Это был хакинг с помощью средств социальной инженерии.

Социальная инженерия – весьма распространенный способ взлома компьютерных систем. По сути, это убеждение человека, имеющего особый доступ к системе, в том, чтобы он использовал его не по назначению. Более 20 лет назад я написал: «Только любители атакуют машины; профессионалы нацелены на людей»{198}. Это утверждение верно и сегодня. И в первую очередь оно касается хакерских методов, основанных на доверии.

Один из таких методов представляет собой звонок на линию техподдержки сотового оператора под видом другого человека с целью убедить сотрудника перевести номер этого человека на телефон, который вы контролируете. Эта атака, известная как подмена SIM-карты, особенно неприятна, поскольку контроль над номером телефона открывает путь другим видам мошенничества и часто приводит к большим потерям. Известен случай, когда жертва лишилась вследствие такой атаки $24 млн{199}, а совокупные потери просто огромны.

Существует гигантское количество вариаций на тему социальной инженерии. Они могут выглядеть как телефонный разговор с сотрудником – именно так в 2020 г. хакеры завладели 130 аккаунтами Twitter{200} – или как переписка по электронной почте. Термином «фишинг» обозначают отправку фальшивых электронных писем с целью убедить получателя перейти по ссылке, открыть вложение или сделать что-то еще, ставящее под угрозу безопасность компьютера или банковского счета получателя. Фишинговые атаки не слишком эффективны, поскольку злоумышленники забрасывают широкую сеть и делают свои призывы достаточно общими. Термин «целевой фишинг» используется, когда эти письма становятся персонализированными. Чтобы составить убедительное сообщение, требуется серьезно исследовать адресата, но оно может быть очень эффективным методом взлома. Подеста попался как раз на такой крючок. Как и бывший госсекретарь Колин Пауэлл.

В главе 12 я рассказал о компрометации деловой электронной почты. Хакер получает доступ к электронной почте руководителя компании, а затем пишет подчиненному что-то вроде: «Здравствуйте. Это генеральный директор. Да, это непривычно, но я в командировке и не имею обычного доступа к сети. Мне нужно, чтобы вы прямо сейчас перевели $20 млн на этот иностранный счет. Это важно. От этого зависит крупная сделка. Я пришлю вам необходимые бумаги, когда вернусь в отель». В зависимости от того, насколько хорошо хакеру удастся сделать детали правдоподобными, насколько сотрудник будет рассеян и доверчив и как все вместе впишется в реальную ситуацию, этот хак может оказаться весьма успешным. В 2019 г. компания Toyota потеряла $37 млн из-за подобной аферы, пополнив длинный список ее жертв.

В 2015 г. сирийские женщины-агенты, флиртуя по Skype с доверчивыми повстанцами, сумели выведать у них планы сражений, а также личные данные высокопоставленных руководителей. Российская разведка использовала ту же тактику, пытаясь выведать секретную информацию у военнослужащих США.

Технологии облегчают подобные махинации. Сегодня преступники используют технологию дипфейк для совершения атак методами социальной инженерии. В 2019 г. генерального директора британской энергетической компании обманом заставили перевести{201} €220 000, подделав голос его босса из материнской компании и подтвердив телефонный звонок электронным письмом. В этом хаке использовалась только цифровая обработка голоса, но и видеоизображение уже на подходе. Известен случай, когда мошенник использовал силиконовую маску для записи видео{202} и обманом заставил людей перевести ему миллионы долларов.

Этот вид мошенничества может иметь и геополитические последствия. В рамках научного исследования были созданы очень убедительные видеоролики, в которых политики говорят то, чего они не говорили, и делают то, чего не делали. В 2022 г. видео, на котором президент Украины Владимир Зеленский призывает украинские войска сдаться, было развенчано самим Зеленским. Хотя ролик сделан кое-как и в нем легко можно распознать фальшивку, со временем при развитии технологий такие подделки станут намного лучше.