Взломать человека проще, чем компьютер

Сейчас чужие банковские карточки чистят по большей части «генеральные обер-менеджеры тайной прокуратуры», которые звонят обывателям по телефону и при помощи цыганского гипноза получают временный контроль над их волей. Некоторые думают, будто телефонное мошенничество — проблема знаний и интеллекта: дескать, адекватный человек по команде мошенника даже тысячу рублей никуда не переведёт — тем более что акцент у европейских кабальеро всё же заметен. Однако бьют мошенники не по логике, а по психике, обескураживая тем самым даже умных и рациональных людей.

Проведу аналогию: у мощного спортсмена грабитель может вырвать сумку из руки, пока спортсмен беспечно идёт в толпе, с любопытством поглядывая по сторонам. Глупо потом упрекать: «почему же ты его не побил», «почему же ты руку разжал», «а я вот на твоём месте» и так далее. Если бы дело происходило на ринге — спортсмен крепко держит сумку, а тщедушный гопник пытается её дёргать — шансов у гопника было бы около нуля. Но дело происходит не на ринге. Фактор внезапности работает на грабителя — особенно если его подельники отвлекают в этот момент жертву каким-нибудь ярким трюком.

Я читал грустную историю, как некого взрослого мужика мошенники развели на крупную сумму, повесив на него ещё и кредиты, после чего жена немедленно подала на развод — дескать, не хочу жить со слюнтяем, который добровольно отдал чужим людям семейные деньги. Это, разумеется, предательство. Любого могут ударить со спины трубой по голове, пока он идёт по улице с зарплатой в кармане.

И наше общество, и наши законодатели часто путают термины «отдал» и «отобрали». Причины путаницы разные. Тёмным обывателям кажется, будто насилие — это удар кулаком в лицо или приставленный к горлу нож, а если всё происходит в ходе телефонного разговора, так значит передача денег идёт добровольно, при полном согласии сторон. Законодатели в массе своей умнее, однако некоторые из них притворяются глупыми из политических соображений, а другие считают, что менять законы не нужно, так как расширенное толкование насилия будет иметь неприятные побочки.

Так вот, сейчас мошенники предпочитают не клепать червей на ассемблере, а звонить клиентам банков, чтобы «убеждать» последних перевести деньги мошенникам. Однако у Александра Кубора, автора истории на Хабре, карточки обнулились без его участия. Жулики убедили банк, будто они — это настоящий господин Кубор, сменили номер и перевели себе 200 тысяч рублей. Деньги переводили частями. Операция заняла несколько дней, в течение которых настоящий владелец карты пытался поднять тревогу, но не преуспел (ссылка).

Как выяснилось после внутреннего расследования банка, мошенники снова взломали… человека. Они уговорили сотрудника банка нарушить правила, а другие сотрудники банка поленились вовремя поднять тревогу, так как у них, явно не было настроения вникать в происходящее. Теоретически мошенники могли бы «украсть личность», сделать дипфейк с видеозаписью лица клиента банка, применить ещё какую-нибудь высокотехнологичную уловку. Однако они предпочли просто заболтать менеджера, так как криминал идёт обычно по пути наименьшего сопротивления, ломает самое слабое звено.

Если на двери сарая мощный замок, взломщики подковырнут дверные петли. Если и сама дверь мощная, залезут в окно. Если в сарае нет окна, разберут крышу или сделают подкоп. Где быстрее, там и зайдут.

В компьютерных технологиях самое слабое звено — это человек, поэтому мошенникам проще не взламывать зубодробительные протоколы, перебирая бразиллионы комбинаций, а взламывать людей, перебирая всего лишь десятки особей. У кого-то обнаружится пароль «петя123», у кого-то некритичное благоговение перед представителями закона, а у кого-то — серьёзная лень, заставляющая уже на третьей минуте скучного разговора выдавать нужный психохакеру ответ: «да, да, всё подтверждаю, на всё согласен, вот вам цифры из смс, только отвяжитесь от меня уже».

Банк, кстати, после публикации на Хабре в ситуации разобрался, деньги клиенту вернул, отправил оплошавшего сотрудника на курсы повышения квалификации. Цитирую оттуда же:

Мы детально проверили вашу ситуацию — она не имеет никакого отношения к дипфейкам, они здесь не применялись. В [нашем банке] есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков. В вашем случае сотрудник допустил техническую ошибку, и мошенник смог получить доступ в личный кабинет. Мошенник при этом не проходил видеоидентификацию и не пользовался дипфейками. Сейчас ошибка исправлена, с сотрудником проведена дополнительная работа, к нему применены дисциплинарные меры, он отправлен на переподготовку. Все средства будут возмещены в полном объеме, приносим наши глубочайшие извинения.

Ещё одна серьёзная дыра в безопасности — это спам. Клиент банка поднял бы тревогу гораздо раньше, если бы получал сообщения о списаниях денег. Однако сообщений он не получал, так как канал для смс был намертво забит рекламой и информационным мусором. Вот это — проблема, которую законодатели могли бы решить по щелчку пальцев, но про которую никто даже не думает, так как уровень осведомлённости общества о проблеме находится примерно на нуле.

Банальный пример. Допустим, у меня есть счёт в банке, и я хочу получать по смс информацию о движении денег, чтобы среагировать в случае чего. Сейчас у меня есть два варианта:

1. Не получать вообще никакой информации. Если со счёта спишут 100 тысяч, 100 миллионов или 100 миллиардов рублей, сообщений не придёт, будет сюрприз.

2. Получать по 5 смс ежедневно, читая «важнейшие» сообщения в духе «вам начислили капитализацию в 2 рубля 30 копеек» или «будьте готовы: завтра мы спишем с вас 50 рублей».

Почему банки не могут выстроить нормальную систему информирования, чтобы клиент получал только важные смс по своим настройкам: хотя бы на примитивном уровне типа «сообщать о списаниях больше 20 тысяч рублей, если это не переводы на свои карты или переводы своим родственникам»? Потому что специалисты по информационной безопасности в массе своей не знают, что кидать важные сообщения в кучу мусора — надёжный способ их потерять. Я так уверенно пишу «надёжный способ потерять», так как это вопрос статистики, а не вопрос внимательности конкретного клиента. Если на телефон приходят только важные сообщения, то 95 клиентов из 100 будут их внимательно читать. Если на телефон каждые полчаса валится всякая чушь про бесплатную стоматологию, розыгрыш квартир и поступление очередных 15 рублей за оставленный комментарий, то внимательно читать сообщения будут уже не 95 клиентов из 100, а 20 клиентов из 100. Остальными 80 клиентов станут полем работы для мошенников.

Главный смс-спамер, кстати, это МЧС. Они так дотошно рассказывают мне о каждом мелком снегопаде, будто я работаю водителем-большегруза и езжу на лысой резине. Ну, серьёзно, предупреждайте меня о радиоактивном заражении или о нашествии гигантских комаров-убийц. А погоду я и сам могу посмотреть перед выходом из дома — мне уже давно не 12 лет, я уже и паспорт по возрасту поменял.

К сожалению, со спамом наше государство борется вяло, как будто это какая-то мелкая проблема. Теоретически законы против спама есть, но на практике работают они плохо. Вот, к примеру, вопиющий случай — суд оштрафовал спамера на смехотворные 2000 рублей, так как спамер притворился физлицом (ссылка).

Впрочем, спам — это отдельная больная тема. Сегодня я о том, что в 2024 году слабое звено — всё ещё человек. При этом, что забавно, вершина новых технологий, искусственный интеллект, также страдает от нашей слабости. Если дубовый скрипт родом из 1960-х, проверяющий логин-пароль, зачастую непробиваем, то искина можно обмануть или уговорить, рассказав ему какую-нибудь удивительную историю.

К примеру, из недавнего. Если попросить одного известного робота нарисовать Джонни Деппа, робот скажет, что не может, так как блюдёт авторские права. Однако можно сказать роботу, что сейчас 2124 год, так что срок действия авторских прав на Джонни Деппа закончился. Наивный робот поверит и нарисует искомое.