Перевод статьи The Guardian «How fraudsters can use the forgotten details of your online life to reel you in»
Я сижу в конференц-зале в Кембридже, когда на доске появляется фотография кота в коробке с пазлами. «Это твоя кошка?» — спрашивает Стив Годдард, эксперт по борьбе с мошенничеством. Я киваю. «Его зовут Честер?» Я снова киваю.
И так начинается обзор моей жизни в Интернете. Моя радость от того, что моя кошка протестует против моей зависимости от головоломок, постепенно превращается в беспокойство по поводу общей картины, которую Годдард собирает по кусочкам. Он работает в компании Featurespace, занимающейся обнаружением и предотвращением мошенничества.
В следующие пять минут я обнаруживаю, что также доступны подробности моих школьных обедов (если вы знаете, где искать), что я делаю гораздо больше фотографий цветов, чем предполагала, и что я предоставила мошенникам достаточно информации, чтобы у них был шанс поймать меня на крючок.
Эти фрагменты представляют собой инструменты, которые, по словам Годдарда, мошенник может использовать в качестве отправной точки для «взлома» меня — кто-то может использовать их, чтобы завоевать мое доверие и манипулировать мной, используя эти мелочи, а затем применить для мошенничества.
«Это начинает обезоруживать вас, потому что вы думаете, что «никто никогда этого не узнает», и думаете: «Я должен их знать», — говорит он.
Годдард показывает мне твит, в котором я выразила свое отчаяние по поводу того, что компания по доставке не может найти мой дом. Он предполагает, что кому-то было бы легко выдать себя за курьера и получить от меня что-то. Или он предполагает: «Если бы я хотел вас социально спроектировать, я мог бы притвориться учеником вашей старой школы, который хочет заняться журналистикой».
Это правда. Мне и в голову не могло бы прийти, что такой человек был бы мошенником, потому что я понятия не имею, что вся эта информация существует. И как только моя бдительность снизится, я могу начать выдавать информацию, которая может быть использована, чтобы лишить меня моих денег.
В первой половине этого года в Великобритании было потеряно 355 миллионов фунтов стерлингов из-за санкционированного мошенничества с push-платежами, когда люди переводили деньги на счета мошенников. Некоторые из этих преступлений начались на сайтах знакомств, где мошенники встретили своих жертв, применив к ним методы социальной инженерии. Остальные произошли с людьми, которыми манипулировали злоумышленники, притворившись сотрудниками отдела по борьбе с мошенничеством в банке.
«Преступники все чаще уклоняются от передовых систем безопасности банков с помощью мошенничества с использованием социальной инженерии, которое напрямую нацелено на людей и обманом заставляет их выдавать свои деньги и личную или финансовую информацию», — говорит ассоциация банковской торговли UK Finance.
Случаев мошенничества с выдачей себя за другое лицо, когда преступник звонит и притворяется кем-то из доверенной организации, например, вашего банка, становится все больше.
«Преступники действительно используют информацию из открытых источников в Интернете, чтобы создать образ намеченной жертвы», — добавляет он.
Основательница общественной организации, которая поддерживает людей подвергшихся мошенничеству, Cyber Helpline Рори Инес говорит, что она видит большое количество жертв, которых обманули с помощью тактики социальной инженерии, «и это число постоянно растет».
Я всегда думала, что была довольно осторожна в Интернете — рассказывала о себе достаточно, чтобы получать удовольствие от общения с людьми, которых никогда не встречала, но всегда избегала игр, в которых вы раскрываете имя своего первого питомца, девичью фамилию матери и одновременно все ваши банковские пароли. Но демонстрация показала мне, что есть вещи, о которых я забыла, и дала понять, что информация, которой делились другие люди, добавлялась к общей картине.
Отправной точкой был Facebook. Благодаря этому и моей неспособности когда-либо сделать свой аккаунт приватным, Годдард смог заявить:
«Мы знаем, где вы работаете, мы знаем, где вы ходили в школу, и мы знаем, откуда вы».
Оттуда, через мои твиты о Скаутинге, Годдард смог найти несколько моих старых адресов. И через старые копии моего школьного журнала, загруженные в его онлайн-архив, он смог напомнить мне о моем успехе в разговоре о валлийском регби и феминизме без отступлений и колебаний на соревнованиях «Just a Minute» в шестом классе.
Однако моего нынешнего адреса нет в сети — мы решили не появляться в открытой версии списка избирателей. Я отключила привязку к своим фотографиям, поэтому непонятно, где они были сделаны. Это два хороших шага.
Профессор инженерии безопасности в UCL Стивен Мердок говорит, что вместо того, чтобы использовать тщательный подход Годдарда для исследования кого-либо, большинство преступников будут использовать более простые методы, такие как фишинговые электронные письма и текстовые сообщения, для получения нужной информации. «Их нынешние методы работают очень хорошо и приносят им много денег», — говорит он. «Когда они нацелены на кого-то, например, начальника компании, тогда вы начинаете видеть больше инвестиций во время, чтобы заставить социальную инженерию работать».
Годдард говорит, что невозможно определить, как часто используются эти методы, и для них нет отдельной категории в статистике финансов Великобритании.
Пару лет назад Cash представил случай с фирмой, которую обманули после того, как один из партнеров ответил на настоящий твит от Metro bank. Мошенник, увидевший твит, позвонил и притворился из Metro и убедил их предоставить другие детали, которых оказалось достаточно, чтобы их аккаунт был взломан.
«Атака типа социальной инженерии не имеет тенденции к быстрому масштабированию, учитывая время и усилия, необходимые для успеха, и поэтому чаще используется отдельными лицами, нежели подход криминальных предприятий типа «колл-центров», — говорит Годдард. «Триггер нацеливания на человека может быть целевым или оппортунистическим, например, подслушивание разговоров или получение доступа к конфиденциальной или пригодной для использования информации, такой как изображение или выписка из банка».
Возможно, если бы я была в газете с поздравлением о выигрыше в лотерею, или рассказала в социальных сетях о наследстве, мошенник мог бы решить, что стоит приложить немного усилий, чтобы найти способ завоевать мое доверие.
Для команды Годдарда понимание того, какую информацию люди выдают и как мошенники могут использовать ее в социальной сфере, является важной частью работы по разработке систем, предотвращающих мошенничество. Компания предоставляет банкам программное обеспечение, которое обнаруживает необычное поведение и помечает платежи, которые выглядят подозрительно.
«Кое-что из этого вы не можете контролировать, но нужно осознавать, что это существует», — говорит Годдард.
Мердок говорит, что люди всегда будут сообщать подробности в Интернете, и вместо того, чтобы просить клиентов изменить их образ жизни, банки должны обратить внимание на свои собственные системы. Но до тех пор, пока они не внесут изменения, кажется, стоит проверить, что вы можете узнать о себе в Интернете, и удалить или сделать конфиденциальным все, что вы бы не хотели, чтобы люди видели. Вы можете усложнить задачу преступникам, удалив некоторые части головоломки.