В английском языке есть два слова, почти полностью идентичных по звучанию – «спай» (так англичане и американцы называют шпионов) и «спайдер» (то есть паук). Сегодня, когда интернетизация общества стала настолько повсеместной, что миллиарды людей уже не мыслят своей жизни и работы вне Мировой паутины, словосочетание spider-spy приобретает зловещий оттенок. Популяция «пауков-шпионов» в Вебе растет с каждым днем, их видовое разнообразие увеличивается, а деятельность становится все более вредоносной. Посетителям Интернета только кажется, что они невидимы, анонимны и неуязвимы. На самом деле все их действия – как на ладони. Причем получить информацию об этих действиях при желании может чуть ли не кто угодно – а потом запросто использовать ее, как ему заблагорассудится. Как вы понимаете, в подавляющем большинстве случаев его интересы будут вряд ли совпадать с вашими.
Самые распространенные виды интернет-шпионажа довольно примитивны, что, впрочем, практически никак не влияет на их эффективность. По сути, злоумышленники нещадно эксплуатируют три обычные юзерские слабости: детское любопытство, такую же детскую доверчивость и полное нежелание хоть как-то заморачиваться. Например, по данным директора по развитию компании VS Lab Ольги Должиковой, более 80% пользователей Рунета заходят абсолютно во все свои профили и аккаунты под одним и тем же логином и паролем, который вдобавок ко всему, как правило, несложен. Грубо говоря, мы сами же и виноваты: видя перед собой такое сумасшедшее количество «непуганых лохов», любой уважающий себя мошенник рано или поздно начнет действовать. Вот они и действуют.
Выглядит это примерно так. Условной юзерше Маше Растеряевой настойчиво (с помощью рекламы, рассылок «Хочешь узнать дату своей смерти?» и так далее) предлагают стать постоянной посетительницей какого-нибудь жутко интересного ресурса. Допустим, это сайт знакомств с иностранцами, форум про «Ранеток», электронный сборник тестов «Как отличить нормального пацана от бабника и алкоголика» или еще что-нибудь в этом роде. Маша, естественно, так и поступает, с чистой совестью регистрируясь под своим обычным ником Kisya-Myrlisya89 и паролем «1989». Она даже не подозревает, что этот ресурс ничем не защищен. Вот, собственно, и все: в цепких лапах киберпауков оказываются Машин почтовый ящик, «ася» и все прочие ее аккаунты. Маше остается только удивляться: как это так происходит, что ее письма на «Мейл.ру» все время кто-то читает, на «Одноклассниках» и «ВКонтакте» от ее имени пишут всякую ерунду, а с ее «аськи» друзьям без конца рассылаются вирусы.
И сколько бы ни ломали голову создатели и администраторы ведущих рунетовских ресурсов, они в этом случае бессильны. Никакая, даже самая совершенная из придуманных ими систем защиты пользовательских данных, Маше уже не поможет. К счастью для нас, чаще всего вред от подобных «взломов» сравнительно невелик – по той простой причине, что овчинка в виде полного контроля над Машиными секретами явно не стоит выделки. В большинстве случаев всерьез заниматься такой работой «паукам-шпионам» попросту нерентабельно, и дело заканчивается банальной рассылкой по Машиным контактам спама, нелегального контента и более-менее безобидных вирусов.
Хотя в последнее время специалисты с тревогой говорят и об участившихся случаях шантажа пользователей, попавшихся на подобную удочку, и о новых видах киберпреступлений, которые ориентированы прежде всего на подростков. В первую очередь это моббинг – жестокая травля «лоха» (зарегистрированы даже несколько случаев доведения по Интернету до суицида) и виктимизация, когда в процессе общения в Сети из «лоха» с помощью разнообразных психологических манипуляций методично делают жертву вполне конкретного «оффлайнового» преступления. Так что если у вас есть дети, лучше предельно доходчиво объяснить им, что Интернет – та же улица. Там тоже нужно избегать разговоров с подозрительными незнакомцами, держаться подальше от плохих компаний и уж тем более не вестись на непристойные предложения – пусть даже и виртуальные.
Иногда объектами кибершпионажа становятся более взрослые – и зачастую вполне состоявшиеся в жизни – юзеры. Речь идет о преступлениях, которые в мире известны как кража идентификационной информации, удостоверяющей личность. Современные технологии позволяют получить такую информацию даже из вполне открытых источников – например, резюме соискателей престижной работы. Осенью прошлого года 2074.ru уже описывал подобное мошенничество: в Великобритании был зарегистрирован сайт, где вымышленное рекрутинговое агентство обещало быстро трудоустроить пострадавших от кризиса квалифицированных специалистов и топ-менеджеров. Достаточно было лишь заполнить типовую анкету.
Увидев эту самую «анкету», эксперты по безопасности схватились за голову. Минимум в восьми графах претенденту предлагали сообщить о себе данные, явно подпадающие под все признаки идентификационной информации – в том числе номер карты социального страхования и данные о банковском счете. Зная их, мошенники без проблем могли завести себе кучу кредитных карт, а платить по счетам пришлось бы несостоявшимся претендентам на вакансии. Точно так же эти данные можно было использовать и для так называемого фишинга – отправки фальшивых сообщений от лица реально существующих организаций. Понятно, что, допустим, получив платежное требование якобы от банка, где у него действительно есть счет, человек скорее всего заплатит – на том и строится расчет преступников. Неслучайно в рейтинге самых опасных преступлений «кража личности» давно уже стоит на первом месте.
Кстати, российские хакеры довольно быстро переняли передовой опыт своих коллег и стараются ни в чем от них не отставать. Так, по некоторым сведениям, именно из россиян состоит хакерская банда Phreak, сравнительно недавно засветившаяся с выгодным коммерческим предложением к спамерам. Всего за 600 долларов «фрики» продавали всем желающим уникальные базы данных о сотнях тысяч соискателей работы со всего мира, собранных на популярных сайтах вроде Monster.com, AOL Jobs, Ajcjobs.com, Careerbuilder.com, Careermag.com, Computerjobs.com, Hotjobs.com, Jobcontrolcenter.com, Jobvertise.com и Militaryhire.com. За дополнительную плату они готовы были систематизировать базу по странам или работодателям. Хотя и без этого все было довольно удобно: созданная бандой на языке РНР поисковая система извлекала из анкет соискателей всю необходимую информацию и предоставляла ее в удобном для спамера виде. Надо сказать, там было на что посмотреть: были там и адреса электронной почты, и место жительства, и полные имена, и сведения о предыдущих местах работы, и еще много чего интересного.
Еще один небольшой технологический штрих: злоумышленникам удалось обойти защиту от автоматических регистраций, так называемую CAPTCHA. Она основана на том, что посетителю, чтобы получить доступ в систему, нужно ввести какие-либо данные на основании картинки или вопроса. До сих пор считалось, что это под силу только живому человеку, а алгоритмов, с помощью которых с этими задачами справлялась бы машина, в природе не существует. Однако, как выяснилось, нет пределов российской смекалке.
Связаться с этими юными криминальными талантами пока можно только по ICQ, поймать их не удается. А вот их более старшим коллегам из Москвы, тоже специализирующимся на «кражах личности», повезло меньше. 20 мая сотрудники Управления «К» МВД РФ задержали там семейную пару, чей промысел был довольно затейлив. Мошенники разработали программу, рассылавшую в платежные системы сотовых операторов SMS-сообщения, которые идентифицировались как отправленные с номеров их жертв. Через некоторое время жертва получала на свой мобильник четырехзначный PIN-код, с помощью которого можно войти в систему управления счетом. Далее абоненту звонили мошенники и предлагали ему получить приз, якобы выигранный в лотерее. Для этого нужно было сообщить только что полученный код и свои паспортные данные. Таким образом парочка получала доступ к управлению счетами, переводила деньги на кредитные карты и обналичивала. В результате удалось обмануть более 10 тысяч человек, а семейный бюджет пополнился примерно на 100 миллионов рублей. Против задержанных возбуждено уголовное дело.
Справедливости ради надо сказать, что иногда информация о пользователях собирается для их же пользы. То есть, как и должно быть в любом хорошем детективе, на каждого плохого шпиона всегда найдется хороший разведчик, который занимается вроде бы тем же самым, но с исключительно благородными побуждениями. В первую очередь к таковым относятся, естественно, работники спецслужб, которые выявляют в Рунете пользователей с «незаконными интересами и наклонностями» – например, экстремистов, педофилов и любителей детской порнографии. Кроме того, на благо посетителей Сети работают социологи, маркетологи и рекламисты – во всяком случае, так утверждают они сами.
Технологии, которые они для этого используют, базируются на самых передовых математических методиках. Наиболее популярный российский продукт такого рода – система SkyPetr от VS Lab. С ее помощью можно отслеживать данные о поведении в Сети тысяч пользователей – например, тех же посетителей социальных сетей – выявлять их предпочтения, систематизировать по группам, более-менее адекватно прогнозировать их дальнейшие действия и так далее. Все это называется мудреным термином «бихевиористический таргетинг». Сбором подобной информации сегодня заняты и монстры вроде Yahoo, AOL или Wal-Mart, и небольшие рекламные и торговые фирмы. И все для того, чтобы делать более эффективную «поведенческую рекламу» – то есть показывать каждому пользователю только те баннеры, которые потенциально могут быть ему интересны.
«Если бы рекламисты имели на руках разумную методику разделения человечества на 10-20 групп с похожими вкусами, то выигрыше остались бы все, – ратует за новую технологию директор одного из московских рекламных агентств Владимир Коровкин. – Каждый видел бы меньше рекламы, раздражающей его лично. Расходы на рекламу несколько сократились бы, что это могло бы привести к снижению цен или повышению качества. Теоретическая психология получила бы хорошие количественные данные, которых ей так не хватало, и продвинулась бы в понимании людей».
Впрочем, у «поведенческой рекламы» есть и противники. Аргументы их вполне понятны. Во-первых, любые технологии можно одинаково эффективно использовать как во благо, так и во зло – тот же SkyPetr в равной степени пригодится и сотрудникам спецслужб, и террористам, и борцам с педофилами, и самим педофилам. Во-вторых, есть и этическая сторона вопроса: далеко не всем нравится, что за ними присматривают, что их заочно систематизируют, классифицируют и решают, что им можно показывать, а что нельзя. Наконец, в-третьих: если раньше просмотр чужой информации во всех случаях однозначно квалифицировался как шпионаж, почему нужно делать исключение для Веба? «Почтальон не вскрывает мои письма, телефонная компания не прослушивает мои разговоры, – возмущается один из главных противников бихевиористического таргетинга, создатель первого в мире интернет-сайта Тим Бернерс-Ли. – А ведь при пользовании Интернетом я сообщаю о себе намного более личные данные».
Возможно, в скором будущем эти протестные настроения получат юридический статус. На Западе уже разрабатываются законопроекты, запрещающие сбор персональной информации и демонстрацию адресной рекламы без предварительного на то согласия пользователя. «Ну и смотрите свою неинтересную рекламу того, то вам не нужно, тогда, когда вам не хочется, – возражает своим оппонентам в заочном споре Владимир Коровкин. – Только не жалуйтесь на рекламистов, мы хотели как лучше».
Фото: Коллаж Фариды НИЯЗОВОЙ