Откуда ЦРУ знает ваш адрес: любопытные факты.
Автор: Александр Туманов | Источник: KM.RU, 27.04.2006
Факты:Что такое «Информационные войны»Холодная война не окончена. Объявленная России по окончании Второй мировой, она продолжается по сей день и только набирает обороты. И это значит, что холодная война не проиграна. Ее главное сражение еще впереди. В борьбе за геополитическое влияние и экономические ресурсы соперники России посылают все новые вызовы, запускают информационные вирусы и с помощью современных информационных технологий и средств коммуникации внедряют их в массовое сознание. |
Как вы будете себя чувствовать, если в одно прекрасное утро проснетесь от телефонного звонка неизвестного, который предложит вам поделиться секретами компании, в которой вы работаете, пригрозив, что в противном случае обнародует какую-нибудь информацию, которой вы не хотели бы делиться с окружающими, или сообщит, что знает, где живете не только вы, но и ваши дети?
Вероятно, вы подумаете, что на вас пытается «наехать» мафия или происходит что-то подобное, в любом случае, до крайности дикое и непонятное, нарушающее все представления об этике взаимоотношений в цивилизованном обществе или правовом государстве.
Почувствуете себя как героиня известного американского боевика «Сеть». В этой картине программист Руфь Маркс (которую неплохо сыграла голливудская актриса Сандра Баллок) оказывается беспомощной перед действиями хакера, сумевшего путем шпионажа присвоить всю ее личную и конфиденциальную информацию – от любимого рецепта коктейля до номера кредитной карточки и полицейского досье. Умело манипулируя этой информацией, от нее потребовали ни много ни мало сыграть ключевую роль в террористическом акте…
А теперь представьте себе, что на этом месте оказались вы, или, хуже того, высокопоставленный российский чиновник либо военный, от которого зависят вопросы национальной безопасности. Это уже страшно.
Да, скажете вы, но ведь я умею хранить секреты! И окажетесь абсолютно правы. Конечно, откуда же злоумышленники могли бы получить все ваши данные, которыми могли бы воздействовать на вас? Однако, дело в том, что пути ее получения зачастую ускользают от нашего взора, подобно тому, как мы не замечаем привычных дворников, почтальонов, милиционеров в повседневных буднях.
Подобно лепету собственных детей, которые рассказывают нам о школьных успехах, учителях, товарищах, о занятиях, всяческих бесплатных экскурсиях… И мы добродушно слушаем их, улыбаясь и особенно не вникая в смысл сказанного. И совершенно зря!
Как выясняется, именно такие каналы сбора информации и выбирает опытный и сильный враг. Поражение может прийти с наименее ожидаемой стороны – через ваших собственных детей. На днях стало известно, что такая структура, как «Ситибанк», фактически шантажирует детей, чтобы добиться согласия родителей на получение своей маркетинговой информации. Об этом, в частности, пишет интернет-издание Компромат.Ru.
Клиент этого банка рассказывает, что его маленькие дети бежали домой с криками «Мама, я хочу пойти на праздник!», сжимая в ручонках некий пригласительный билет на бесплатное «семейное» мероприятие в честь Пасхи. Причем наряду с логотипом «Ситибанка», приглашением детей с родителями и обещаниями подарков на обороте флаера содержалась достаточно подробная анкета с вопросами о Ф.И.О., рабочих и домашних телефонах и электронных адресах родителей. Еще 2 надписи сообщали, что «купон принимается только со всеми заполненными полями» и «передавая настоящий купон ЗАО КБ «Ситибанк», Вы соглашаетесь с тем, что предоставленная… информация может быть использована… в целях… обработки данных, статистической отчетности и прочих маркетинговых целях».
Адресат этого «купона» — родитель и клиент банка — однозначно расценил подобных ход банка как «шантаж, направленный при этом на детей. По его словам, очень похожим, кстати, на реакцию типичного россиянина, «если не давить на любимое чадо, ни один человек в здравом уме не даст «Ситибанку» своих рабочих и мобильных, чтобы получать маркетинговые звонки».
Казалось бы, ничего особенного: все мы привыкли получать и отказывать всяческим опросам, исследованиям и обещаниям «бесплатного сыра», вплоть до «Верите ли вы в Бога?» от незнакомца на улице.
Тем не менее, несколько фактов настораживают. Во-первых, эти фразы о согласии использования значимой для вас информации в «прочих маркетинговых целях». Во-вторых, зачем организаторам праздника знать все телефоны родителей, и их e-mail? Для безопасности детей? Но формат праздника дети плюс родители!
В-третьих, за «Ситибанком» не впервые отмечаются странности во взаимоотношениях с клиентами. В ряду подобных инцидентов, которые, похоже, иллюстрируют неприметные тенденции, наблюдаются и другие попытки сбора информации от граждан РФ.
Так, несколько человек отметили, что подверглись анкетированию якобы с целью открытия для них кредитных карт. Тем не менее, они не только получили отказ в открытии карт, но вскоре обнаружили, что их личными данными – адресами, телефонами, электронной почтой – пользуются третьи организации, которым они этих данных не давали.
В частности, вот что пишет в февральском номере известного журнала «Профиль» Евгений Верлин, попавший в такую ситуацию: «На заправке British Petroleum, что на Можайском шоссе, подошел ко мне приятный молодой человек, представился консультантом ЗАО КБ «Ситибанк» и предложил заполнить бумаги на получение кредитной карточки этого банка. Я согласился. Консультант, задав разнообразные вопросы, заполнил за меня анкету, вписал туда мои адресные и прочие данные, тут же в офисе заправки отксерокопировал мой паспорт, техпаспорт на автомобиль и водительские права… Спустя месяц я получил из «Ситибанка» письмо с отказом в открытии мне кредитки».
Однако кроме отказа этот человек получил еще многочисленные именные письма с просьбой о пожертвованиях от международных организаций (ЮНИСЕФ), которым не давал этих данных, многократно возрос объем спама в его персональной электронной почте, начали регулярно звонить конторы, изучающие потребительские предпочтения («А сколько у вас в семье мобильных телефонов? А как у вас в семье с компьютерным оснащением?») и тому подобное.
Через полгода – опять звонок на мобильный (!) с очередным предложением открыть карту «Ситибанка». При этом на резонный вопрос Евгения о «посторонних письмах» и контактах на другом конце провода сказали: «Красть вашу личность и передавать ваш адрес другим организациям больше не будут, а вот карточку точно откроют»!
К чести нашего героя, он заинтересовался этими манипуляциями с его личной информацией и провел небольшое расследование, в результате которого выяснилось следующее:
— «Ситибанк», не имея перед ним обязательств как перед клиентом (Евгений не получил карту, даже дважды пойдя навстречу инициативе менеджеров банка открыть ее), не органичен этими обязательствами в использовании уже полученной от него персональной информации. В этом случае понятны массовые предложения услуг со сбором данных и массовые отказы – это явно подготовка «слива» собранной информации;
— в России существуют фирмы, которые занимаются директ-маркетингом якобы по «легальным базам данных», информация в которых странным образом коррелирует с поступающей в «Ситибанк» (между прочим, без явного согласия клиентов);
— изучение иностранных интернет-источников и свидетельства зарубежных собеседников Евгения говорят о том, что «торговля персональными данными клиентов для американских банков вещь обычная», а «такие бизнесы, как Citibank, привыкшие собирать персональные данные на своих клиентов и делать их доступными третьим сторонам в офлайновом мире, без всякого зазрения совести обмениваются клиентскими данными с другими частями своей материнской компании Citigroup и даже с посторонними компаниями».
Зная все это, можно по-другому взглянуть и на проблему так называемого «фишинга». Распространение этого вида сетевого спама обычно связывают с мошенниками, которые якобы «выуживают» у клиентов личную информацию, рекомендуя клиентам банков выслать ее «для перепроверки счета» и перенаправляя их на фальшивые сайты – сборщики этой информации. В связи с этим «Ситибанк» неоднократно выступал в российской прессе, предупреждая о вреде фишинга и серьезном ущербе, который может принести этот вид мошенничества.
Что интересно, рассылки фишинга с формами «Ситибанка», поступавшие многим в качестве спама, смогут нанести ущерб только клиентам этого банка – остальные просто не будут заполнять форму банка, не имея в нем счетов. Отметим между тем, что «ущерб» от фишинга — как нельзя более удобный повод «списать» утечку персональной клиентской информации на сторону. К тому же широкое освещение эта проблема получила только в связи с именем этого банка.
Здесь также стоит вспомнить о заявлениях «Сити» о прямой утечке данных клиентов. В марте этого года Citibank попал в мировой скандал, когда выяснилось, что дебетовые карты части американских пользователей блокированы. После того, как эта ситуация получила общественный резонанс, представители банка предложили объяснение: якобы сети банкоматов сразу трех стран — Канады, Великобритании и России — оказались под подозрением из-за масштабного мошенничества.
Оказалось, что еще в прошлом году работникам банка стало известно о нарушении системы защиты информации у третьей стороны: якобы были похищены персональные данные клиентов банка.
Отметим, что и здесь фигурирует и третья сторона, и независящая от банка утечка информации. Между тем из этих элементов можно построить и версию, оправдывающую другое использование «пропавшей» персональной информации клиентов, кроме снятия денег с его счета. Например, «в прочих маркетинговых целях», как пишет на своих купонах российское подразделение «Ситибанка».
Зададимся вопросом: что может связывать все эти многочисленные инциденты, произошедшие с представителем одной из крупнейших финансовых структур мира? Нельзя исключить версию о том, что эта финансовая организация выполняет, в меру возможностей, конечно, заказ иностранных спецслужб по сбору информации.
Первое, что приходит в голову – зачем солидному банку, занимающемуся бизнесом, работать с разведкой? И первый ответ — это выгодно! Например, несколько лет назад американский Citibank оказался в центре скандала, когда предметом жесткой критики со стороны сената США стали действия банка, вызвавшие обвинения в легализации преступных доходов и в сотрудничестве с криминальными элементами.
Обвинения в адрес Citibank раздавались не только в США, но и в других странах. Мексиканская газета La Jornada в 2001 году назвала Citibank «крупнейшим американским банком и крупнейшим отмывателем денег» — по оценке издания всего в 90-е годы в Мексике с помощью американских банков было легализовано от $2,5 млрд до $5 млрд преступных доходов, пишет журнал «Профиль».
Кроме того, скандалы вокруг крупнейших американских корпораций Enron и WorldCom также выявили ряд нарушений: были доказаны сознательные нарушения Citigroup правил бухучета (GAAP), чтобы исказить характер сделок своих клиентов.
В результате этих провалов Федеральная торговая комиссия США подала иск против Citigroup, и в сентябре 2002 года корпорация выплатила по иску $215 млн, которые были распределены между жертвами ее кредитной политики. Кроме того, прошлые неудачи заставили банк сделать ставку на заграничную экспансию — сегодня он имеет свыше 3 тыс. филиалов и отделений более чем в 100 странах мира.
Настораживает то, что «Ситигруп» отделалась сравнительно легко. Штраф в $212 млн при обороте за 2004 год в $86,2 млрд и чистой прибыли в $17 млрд – слишком легкая кара за отмывание денег и жесткое обращение с кредиторами – темы, которые в то время в США являлись едва ли не знаменем политической кампании. Не было ли между банкирами и правительством США какой-либо неизвестной миру договоренности, например, о том, что корпорация заслужит прощение дополнительной работой на Центральное разведывательное управление США?
При этом наблюдатели отмечают, что экспансия «Ситигруп» сопровождается такими действиями, которые по манерам порой смахивают на работу хорошо поставленной спецслужбы. Начнем с того, что сегодня на Citigroup трудится 275 тыс. сотрудников в 100 странах, из них 2 тыс. — в России. Это количество может с легкостью растворить в себе те «жалкие» 100 тыс. разведчиков, которые находятся в подчинении главы Службы национальной разведки США Джона Негропонте. Не имел ли он в виду часть сотрудников «Ситигруп», раскрывая эту цифру?
Затем, стоит отметить, что Патриотический акт США, принятый после событий 11 сентября 2001 года, развязал спецслужбам руки, допустив тайный контроль за действиями своих и чужих граждан. Отметим, что не только спецслужбам. Как утверждает журнал «Профиль», во внутренних инструкциях Citigroup можно встретить ссылки на Патриотический акт, в соответствие которому ставятся, невзирая на национальные законы РФ и неприкосновенность частных сведений, все отношения с клиентами.
Соответственно, проводится и конкретная работа. По сведениям издания, в банке имеется некий документ от 2005 года, содержащий список так называемых «публичных лиц», который должен ненавязчиво помочь сотрудникам отделений банка во всем мире взять транзакции местных чиновников и членов их семей под особый контроль. При этом в списке фигурирует вся российская политическая элита, включая президента страны и высокопоставленных государственных ответственных чиновников!
Информация стекается к специальному менеджеру, который формирует регулярные отчеты о «подозрительных» сделках и обязан отвечать на запросы надзорных органов. При этом, по мнению экспертов, у международных банков имеется техническая возможность передавать собранную информацию в головную организацию, откуда она может свободно попадать в спецслужбы других стран. Не находясь под жестким контролем, сотрудники банка вполне могут сделать это.
Как видно из вышеизложенного, широкая банковская сеть иностранного капитала вполне может выполнять функции «технологии двойного назначения», при необходимости работая на интересы зарубежной спецслужбы – как против «рядовых» россиян, так и против высокопоставленных официальных лиц на самых высоких уровнях государственного аппарата РФ.
Поэтому, принимая решение во что бы то ни стало открыть счет в иностранном банке или даже заполняя невинную, на первый взгляд, карточку–купон, принесенную доверчивыми руками ваших детей, стоит подумать, кому вы отдаете свою персональную информацию, которая, кстати, является объектом защиты российского законодательства.
Не даст ли открытие счета российским гражданином в западном банке колоссальную информацию их жестким и бескомпромиссным службам, которым платят отнюдь не за распространение демократии? Ведь по этим данным в случае необходимости спецслужбы США, например, легко смогут восстановить портрет и привычки российского гражданина.
Фактически, расплачиваясь «иностранной» кредиткой, вы даете знать, в каком доме живете и каков ваш доход, какие магазины вы посещаете и какие продукты потребляете, какая кухня вам больше нравится, какие страны вы посещаете и какие книги читаете, — практически ВСЕ о себе.
Эти данные позволят спецслужбам составить ваш персональный психологический и социологический (да какой угодно!) портрет, который при необходимости непременно попадет на стол к дяде Сэму. И при необходимости, вами обязательно попытаются управлять из-за океана – зная ваши индивидуальные особенности, увлечения и слабые точки. Думается, неслучайно США требуют полного доступа американских банков на российский рынок, а американские корпорации настойчиво и даже агрессивно пытаются заполучить данные настоящих или потенциальных клиентов, объясняя это «маркетинговой деятельностью». Будьте внимательны!
______________________________________________________________________
В первой части настоящей статьи мы показали, что, принимая решение об открытии счета в иностранном банке, заполняя слишком подробную анкету, вообще, каким-либо образом передавая свою персональную информацию в чужие руки, не имеющие перед вами государственных обязательств, вы рискуете оказаться объектом изучения и манипулирования, если не сказать — агрессии.
Причем впоследствии эта агрессия может принять любой вид — от агрессивного маркетинга, до жесткого вмешательства зарубежных спецслужб в вашу спокойную жизнь, и даже преступлений против вашей личности со стороны криминала.
Интересно, что мнения по поводу приведенной нами информации разделились на две категории — тех, кто осознает потенциальную угрозу и выражает протест, и тех, кто призывает не обращать внимания на настойчивые попытки неуполномоченных законами РФ организаций извне фактически собрать досье на каждого из нас.
Давайте же рассмотрим, как осуществляются покушения на частную информацию, и как общество в России и за рубежом реагирует на эту современную тенденцию.
Например, наша читательница Ella пишет: «Я живу в США. Каждый день получаю гору писем из разных всемирно известных банков с предложением открыть кредитную карту. Могу получить тысячи долларов в долг… Да, они просят личную информацию. Вряд ли все эти банки собирают информацию для спецслужб. Это МАРКЕТИНГ! Здесь, в Америке, они сумеют продать снег пингвинам! Они знают все обо всех!.. Что поделаешь. Новый век. Маркетизация, глобализация, цивилизация…»
На первый взгляд, наша читательница права — являясь благонадежной американкой, живущей в стиле консюмеризма, можно ни о чем не думая начинать жить в долг, хотя и тут придется «быть осторожным и соблюдать свои лимиты». Но это — только на первый взгляд: для гражданина иностранного государства, имеющего активную политическую позицию, и влияющего на положение своей страны, дело оборачивается совсем по-другому. В истории операций спецслужб слишком много таких примеров.
Также стоит отметить, что «маркетизация, глобализация и цивилизация» в аспекте «игр» с личной информацией — как раз та вещь, которая сегодня вызывает сильнейшие протесты и у самих граждан США. В рамках дискуссии вокруг законопроектов об «информационном прайвеси» (Information Privacy) телекомпания Fox провела специальное исследование, убедительно показавшее, что большинство американцев опасаются и не желают вмешательства подобного рода в их личную жизнь.
Оказывается, 90% жителей США боятся, что номер их карточки социального обеспечения (знание которого позволяет получить доступ к банковскому счету) может быть найден в Интернете, 85% опасаются того же в отношении номеров их кредитных карт (это позволяет злоумышленникам совершать покупки по чужой кредитке). 83% беспокоит утрата личной финансовой информации, 72% — разглашение домашнего адреса и персональной медицинской информации, 70% — разглашение их номера телефона, как сообщает агентство Washington ProFile.
Эти опасения не являются «страхами домохозяйки» или другой формой психоза, а имеют многочисленные фактические обоснования. Достаточно вспомнить пример, приведенный Джеффри Розеном, автором книги «Нежелательный Взгляд. Разрушение прайвеси в Америке» о том, что используемая ФБР система поиска в Интернете — Carnivore — просматривает информацию, принадлежащую отнюдь не только подозреваемым, но и простым пользователям Сети. А другая разведывательная система — сверхсекретная Echelon (считается, что ее использует ЦРУ) — перехватывает не только интернет-сообщения, но и миллионы телефонных переговоров и факс-посланий.
При этом, хотя в США закон запрещает государственным и муниципальным структурам продавать или передавать посторонним накопленную ими информацию о жителях страны, запрет не распространяется на частные компании. Кроме того, хорошо известно, что вторжения на частную территорию традиционно является практикой американских спецслужб, и эта практика лишь усиливается.
Чарльз Сайкс, автор книги с красноречивым названием «Конец Прайвеси», считает, что технологическая революция фактически лишила человека права на неприкосновенность, и с каждым днем ситуация будет только усугубляться. Рег Витэкер, автор одноименной книги «End of Privacy: How Total Surveillance Is Becoming a Reality», винит во всем методы тотального контроля, которые устанавливают некоторые государства, в том числе, системы идентификации, биометрии, наблюдения, ограничения доступа и др.
Граждане США крайне недовольны создавшейся ситуацией. Еще бы — ведь по данным издания, в то время как в 2002 году лишь 27% американцев, опрошенных журналом Business Week, заявили, что в последние годы их прайвеси было нарушено, в 2004 году аналогичный опрос, проведенный компанией Opinion Dynamics, показал, что вторжение в свое личное пространство пережили уже 74% жителей США.
Опрос, проведенный агентством Harris Interactive, показал, что 63% американцев — выступают за то, чтобы человек получил больше прав на защиту своей персональной информации (29% хотят, чтобы этим занималось государство).
Поэтому не стоит говорить о «стереотипе мышления, взращенном на почве 70-летней шпиономании», как некоторые наши оппоненты, декларирующие: «маркетинг — дитя цивилизации… Не нравится — поезжайте в тайгу… ведите натуральное хозяйство».
Ведь мы отнюдь не призываем отказаться от современных платежных средств. Напротив, не стоит останавливать прогресс — нужно сделать так, чтобы эти механизмы социума стали более безопасными и не могли более служить для шпионажа и злоупотреблений.
Другой же стереотип мышления — пассивная позиция типа «пусть все идет так, как идет» — как раз служит благоприятной почвой для того, чтобы вами и вашими данными манипулировали в своих интересах те, кто ведет «более активный образ жизни», возможно выполняя при этом четкие приказы руководства.
В России нет столь широких протестов против нарушения «прайвеси» — вероятно, из-за того, что наша страна не обладает ни идеологией администрации США, ни техническими средствами для ее реализации. К тому же у нас есть четкие законы, которые достаточно жестко препятствуют как разглашению государственной тайны, так и сбору и использованию персональной информации граждан РФ.
Очевидно, что основной интерес для спецслужб иностранных государств представляют российские военные и чиновники различных уровней, представители законодательной и судебной властей, по долгу службы обладающие информацией, составляющей государственную тайну или важную для национальной безопасности.
С другой стороны, обычные граждане, не несущие повышенной ответственности за страну на государственных постах, все же имеют возможность когда-нибудь занять таковые, или повлиять на госслужащих или членов представительных органов страны, будучи, например, их родственниками или знакомыми. Поэтому простые россияне также могут представлять интерес для иностранных спецслужб, особенно сейчас, когда методы сбора информации стали существенно дешевле в связи с глобальной информатизацией мира.
Поэтому, не рассматривая здесь специфические для разведок методы сбора данных, отметим лишь те, которые могут быть задействованы иностранными корпорациями, сочувствующими своим национальным разведслужбам в рамках того самого «агрессивного маркетинга», то есть путем тщательного сбора частичной информации о клиентах под видом разнообразных «анкет», «опросов» и тому подобных средств.
То есть, покажем, как подготовленные специалисты могут получить важную информацию, прямой доступ к которой закрыт, абсолютно «бытовым» неприметным образом, используя открытые каналы. Используем для этого авторитетный зарубежный опыт Кевина Митника — известного хакера, осужденного правосудием США за проникновение во многие правительственные и корпоративные секреты, которому противостояли лучшие эксперты по защите информации из ФБР.
Отметим, что Кевин не обладал ни значительной технической базой, ни очень большими познаниями в программировании, но лишь талантом в использовании телефонного «фрикинга» (искусства общения по телефону в целях получения нужной информации или действий от собеседника) и того, что сейчас называется «социальной инженерией».
«Впервые я столкнулся с тем, что позднее стал называть социальной инженерией, в средней школе, когда встретил другого школьника, также увлечённого хобби под названием телефонный фрикинг. Я затачивал свои таланты в искусстве под названием социальная инженерия (заставляя людей делать вещи, которые они не стали бы обычно делать для незнакомца) и получал за это зарплату», — пишет Митник в своей книге «Искусство обмана».
Вскоре Кевин обнаружил, что мог виртуально достать любую информацию, которую хотел и начал использовать свой талант, чтобы узнавать секреты людей и корпораций, опираясь на обман, знание терминологии и растущие навыки в манипуляции людьми.
Эти навыки, тогда только входившие в обиход маргиналов — фриков и хакеров, сейчас, несомненно, взяты на вооружение так называемым «маркетингом» и социальной инженерией. Но от этого они не стали более этичными или менее опасными, скорее приобрели другой масштаб и широко используются для сбора информации и оказания влияния всеми, кому не лень — от «агентов на телефоне» и маркетинговых отделов банков — до специализированных исследовательских служб.
При этом основная специфика подобных методик — их «незаметность» и маскировка под обычные коммуникации между членами социума. Это достигается тем, что, получая там и здесь лишь частичную информацию, саму по себе не являющуюся секретной, сборщик восстанавливает картину целиком, картина = тайна, охраняемая личностью, фирмой или государственной организацией.
Вот как поясняет это Кевин Митник: «Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого-нибудь очень ценного приза — скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно — это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого-нибудь фрагмента информации или какого-нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин, почему им следовало бы её защищать и ограничивать к ней доступ».
Таким путем социальные инженеры получают множество «фрагментов», каждый из которых используется в качестве ступеньки для наращивания осведомленности о следующем этапе «проникновения».
Например, типичная операция этого рода выглядит приблизительно так: сборщик информации звонит по телефону в одно (не слишком значительное) подразделение компании, называясь, к примеру, поставщиком компьютеров, запамятовавшим имя начальника подразделения. Ему сообщают это имя — скажем Джон Коллинз. Он делает следующий звонок в другое, более важное подразделение, например финансовый отдел и уже от лица Джона Коллинза просит напомнить номер счета, который его интересует, и сказать, с кем он говорит. Затем он может позвонить в банк и, представившись добытым именем бухгалтера, узнать, сколько денег находится на таком-то счету. И так далее.
Так, складывая кусочки мозаики, социальные инженеры могут получить абсолютно засекреченную информацию. «Для того чтобы обойти средства безопасности, социальный инженер должен найти способ обмануть доверенного пользователя, раскрыть информацию или незаметно заставить неподозревающего человека дать ему доступ… Во всём мире не найдется таких технологий, которые могли бы защитить… Опытный социальный инженер может получить доступ к любой возможной информации, используя стратегию и тактику своего ремесла… Социальные инженеры могут носить множество шляп и множество лиц. Если вы думаете, что вы никогда с ними не сталкивались, возможно, вы ошибаетесь», — пишет Митник.
Именно о таких вот технологиях социальной инженерии, только более грубых и топорно «впариваемых», могут напомнить и перегруженные личными вопросами «анкеты», и неожиданные «опросы» общественного мнения, и, как ни странно, повадки криминального мира, в частности, известных «наводчиков».
Интересно, что люди интуитивно чувствуют подобные «крючки» и вопросы, вызывающие у них лишь неприятие и единственное желание ответить: «Какое вам дело?» Например, один из наших читателей просто ужаснулся, когда, изъявив желание открыть кредитную карту в уже упоминавшемся «Ситибанке», прочел в очень детализированной анкете вопрос: «Есть ли у вас среди родственников высокопоставленные чиновники и военные?» После этого, сделав напрашивающиеся выводы, этот человек отказался от заполнения анкеты.
Зададимся вопросом, как же противостоять сбору вашей персональной информации не уполномоченными на то организациями? Что делать?
Вообще, защита от подобных попыток получения информации состоит из двух частей: первая — необходимо знать, что такие попытки могут быть предприняты. Вторая — необходимо знать, как поступить в этом случае.
По словам Митника, манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа. 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать, это:
Особенно об этом стоит напомнить людям, занимающим государственные посты, ведь их небрежность в предоставлении персональной информации может вызвать последствия, которые подпадают под положения закона РФ «О государственной тайне», а также статей 275 УК РФ «Государственная измена», и 276 УК РФ «Шпионаж».
С другой стороны, неправительственные организации недаром делают на своих материалах пометки о добровольности предоставления вами своей персональной информации, так как в противном случае они рискуют, как минимум, обвинениями по статьям 137 УК РФ «Нарушение неприкосновенности частной жизни», 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» и т.п…
Итак, мы видим, что проблема манипулирования персональной информацией граждан существует во всем мире, что ею могут заинтересоваться не только спецслужбы, но, по их заказу, и неправительственные организации, и знаем теперь некоторые методы нападения и защиты в этой области.
Поэтому представителям власти в РФ хочется напомнить старые, но верные слова: «Будьте бдительны», и пожелать всегда поступать в соответствии с совестью и законами Российской Федерации, а простым гражданам — быть внимательными и взвешивать все «за» и «против», взаимодействуя с иностранными кредитно-финансовыми структурами.
Помните, что «социальные инженеры» разного рода используют вашу доверчивость, ваше желание быть полезным, вашу симпатию и ваше человеческое легковерие, чтобы получить то, что они хотят, однако это может нанести ущерб не только вам, но и вашим близким, и даже вашей стране.
Кроме того, вышеизложенное — еще один аргумент в пользу патриотизма и ограничения доступа иностранного влияния на российский рынок, особенно такого, которое в силу специфики, может собирать информацию у значительного количества россиян — например, американские банки или маркетинговые структуры. На своем уровне вы ответственны за свою личную конфиденциальную информацию. Ваши индивидуальные особенности, увлечения и слабые точки — только ваше личное дело, а ваш психологический портрет не должен попасть в руки дяди Сэма.
В противном случае последствия могут зайти очень далеко — вплоть до смены политического курса страны. Вспомним, например, как США «сопровождали» выборы на Украине в конце позапрошлого года. Зная конфиденциальную информацию, они явно смогли повлиять на итоги выборов, угрожая санкциями не только украинским властям, но и отдельным лицам.
Так, 22 ноября официальный представитель Госдепартамента США заявил, что Соединенные Штаты будут вынуждены пересмотреть отношения с Украиной и принять меры против отдельных лиц, если будут доказаны факты «нарушений» на президентских выборах. Пресс-секретарь американского МИДа Адам Эрли заявил: «Соединенные Штаты глубоко обеспокоены выборами на Украине. Мы призываем украинские власти не допустить новых нарушений и мошенничества (в ходе подсчета голосов), сохранять приверженность демократии и правам человека, а также принять меры, чтобы исход выборов отражал волю украинского народа».
Заранее зная «волю» украинского народа, представитель Госдепа США, по сообщению Reuters, пояснил, что, если подтасовка итогов голосования будет доказана, США готовы в том числе заморозить счета лиц, «причастных к подтасовкам», и лишить их права на въезд в США. По мнению наблюдателей, удар, несомненно, достиг цели — на сторону Ющенко встали МИД, Ассоциация банков Украины и другие организации. Конечно, такое воздействие на внутреннюю политику иностранного государства со стороны США не было бы возможным без скрупулезного знания состояния финансов, да и вообще, подробного досье нужных «объектов влияния».
Причем впоследствии эта агрессия может принять любой вид — от агрессивного маркетинга, до жесткого вмешательства зарубежных спецслужб в вашу спокойную жизнь, и даже преступлений против вашей личности со стороны криминала.
Интересно, что мнения по поводу приведенной нами информации разделились на две категории — тех, кто осознает потенциальную угрозу и выражает протест, и тех, кто призывает не обращать внимания на настойчивые попытки неуполномоченных законами РФ организаций извне фактически собрать досье на каждого из нас.
Давайте же рассмотрим, как осуществляются покушения на частную информацию, и как общество в России и за рубежом реагирует на эту современную тенденцию.
Например, наша читательница Ella пишет: «Я живу в США. Каждый день получаю гору писем из разных всемирно известных банков с предложением открыть кредитную карту. Могу получить тысячи долларов в долг… Да, они просят личную информацию. Вряд ли все эти банки собирают информацию для спецслужб. Это МАРКЕТИНГ! Здесь, в Америке, они сумеют продать снег пингвинам! Они знают все обо всех!.. Что поделаешь. Новый век. Маркетизация, глобализация, цивилизация…»
На первый взгляд, наша читательница права — являясь благонадежной американкой, живущей в стиле консюмеризма, можно ни о чем не думая начинать жить в долг, хотя и тут придется «быть осторожным и соблюдать свои лимиты». Но это — только на первый взгляд: для гражданина иностранного государства, имеющего активную политическую позицию, и влияющего на положение своей страны, дело оборачивается совсем по-другому. В истории операций спецслужб слишком много таких примеров.
Также стоит отметить, что «маркетизация, глобализация и цивилизация» в аспекте «игр» с личной информацией — как раз та вещь, которая сегодня вызывает сильнейшие протесты и у самих граждан США. В рамках дискуссии вокруг законопроектов об «информационном прайвеси» (Information Privacy) телекомпания Fox провела специальное исследование, убедительно показавшее, что большинство американцев опасаются и не желают вмешательства подобного рода в их личную жизнь.
Оказывается, 90% жителей США боятся, что номер их карточки социального обеспечения (знание которого позволяет получить доступ к банковскому счету) может быть найден в Интернете, 85% опасаются того же в отношении номеров их кредитных карт (это позволяет злоумышленникам совершать покупки по чужой кредитке). 83% беспокоит утрата личной финансовой информации, 72% — разглашение домашнего адреса и персональной медицинской информации, 70% — разглашение их номера телефона, как сообщает агентство Washington ProFile.
Эти опасения не являются «страхами домохозяйки» или другой формой психоза, а имеют многочисленные фактические обоснования. Достаточно вспомнить пример, приведенный Джеффри Розеном, автором книги «Нежелательный Взгляд. Разрушение прайвеси в Америке» о том, что используемая ФБР система поиска в Интернете — Carnivore — просматривает информацию, принадлежащую отнюдь не только подозреваемым, но и простым пользователям Сети. А другая разведывательная система — сверхсекретная Echelon (считается, что ее использует ЦРУ) — перехватывает не только интернет-сообщения, но и миллионы телефонных переговоров и факс-посланий.
При этом, хотя в США закон запрещает государственным и муниципальным структурам продавать или передавать посторонним накопленную ими информацию о жителях страны, запрет не распространяется на частные компании. Кроме того, хорошо известно, что вторжения на частную территорию традиционно является практикой американских спецслужб, и эта практика лишь усиливается.
Чарльз Сайкс, автор книги с красноречивым названием «Конец Прайвеси», считает, что технологическая революция фактически лишила человека права на неприкосновенность, и с каждым днем ситуация будет только усугубляться. Рег Витэкер, автор одноименной книги «End of Privacy: How Total Surveillance Is Becoming a Reality», винит во всем методы тотального контроля, которые устанавливают некоторые государства, в том числе, системы идентификации, биометрии, наблюдения, ограничения доступа и др.
Граждане США крайне недовольны создавшейся ситуацией. Еще бы — ведь по данным издания, в то время как в 2002 году лишь 27% американцев, опрошенных журналом Business Week, заявили, что в последние годы их прайвеси было нарушено, в 2004 году аналогичный опрос, проведенный компанией Opinion Dynamics, показал, что вторжение в свое личное пространство пережили уже 74% жителей США.
Опрос, проведенный агентством Harris Interactive, показал, что 63% американцев — выступают за то, чтобы человек получил больше прав на защиту своей персональной информации (29% хотят, чтобы этим занималось государство).
Поэтому не стоит говорить о «стереотипе мышления, взращенном на почве 70-летней шпиономании», как некоторые наши оппоненты, декларирующие: «маркетинг — дитя цивилизации… Не нравится — поезжайте в тайгу… ведите натуральное хозяйство».
Ведь мы отнюдь не призываем отказаться от современных платежных средств. Напротив, не стоит останавливать прогресс — нужно сделать так, чтобы эти механизмы социума стали более безопасными и не могли более служить для шпионажа и злоупотреблений.
Другой же стереотип мышления — пассивная позиция типа «пусть все идет так, как идет» — как раз служит благоприятной почвой для того, чтобы вами и вашими данными манипулировали в своих интересах те, кто ведет «более активный образ жизни», возможно выполняя при этом четкие приказы руководства.
В России нет столь широких протестов против нарушения «прайвеси» — вероятно, из-за того, что наша страна не обладает ни идеологией администрации США, ни техническими средствами для ее реализации. К тому же у нас есть четкие законы, которые достаточно жестко препятствуют как разглашению государственной тайны, так и сбору и использованию персональной информации граждан РФ.
Очевидно, что основной интерес для спецслужб иностранных государств представляют российские военные и чиновники различных уровней, представители законодательной и судебной властей, по долгу службы обладающие информацией, составляющей государственную тайну или важную для национальной безопасности.
С другой стороны, обычные граждане, не несущие повышенной ответственности за страну на государственных постах, все же имеют возможность когда-нибудь занять таковые, или повлиять на госслужащих или членов представительных органов страны, будучи, например, их родственниками или знакомыми. Поэтому простые россияне также могут представлять интерес для иностранных спецслужб, особенно сейчас, когда методы сбора информации стали существенно дешевле в связи с глобальной информатизацией мира.
Поэтому, не рассматривая здесь специфические для разведок методы сбора данных, отметим лишь те, которые могут быть задействованы иностранными корпорациями, сочувствующими своим национальным разведслужбам в рамках того самого «агрессивного маркетинга», то есть путем тщательного сбора частичной информации о клиентах под видом разнообразных «анкет», «опросов» и тому подобных средств.
То есть, покажем, как подготовленные специалисты могут получить важную информацию, прямой доступ к которой закрыт, абсолютно «бытовым» неприметным образом, используя открытые каналы. Используем для этого авторитетный зарубежный опыт Кевина Митника — известного хакера, осужденного правосудием США за проникновение во многие правительственные и корпоративные секреты, которому противостояли лучшие эксперты по защите информации из ФБР.
Отметим, что Кевин не обладал ни значительной технической базой, ни очень большими познаниями в программировании, но лишь талантом в использовании телефонного «фрикинга» (искусства общения по телефону в целях получения нужной информации или действий от собеседника) и того, что сейчас называется «социальной инженерией».
«Впервые я столкнулся с тем, что позднее стал называть социальной инженерией, в средней школе, когда встретил другого школьника, также увлечённого хобби под названием телефонный фрикинг. Я затачивал свои таланты в искусстве под названием социальная инженерия (заставляя людей делать вещи, которые они не стали бы обычно делать для незнакомца) и получал за это зарплату», — пишет Митник в своей книге «Искусство обмана».
Вскоре Кевин обнаружил, что мог виртуально достать любую информацию, которую хотел и начал использовать свой талант, чтобы узнавать секреты людей и корпораций, опираясь на обман, знание терминологии и растущие навыки в манипуляции людьми.
Эти навыки, тогда только входившие в обиход маргиналов — фриков и хакеров, сейчас, несомненно, взяты на вооружение так называемым «маркетингом» и социальной инженерией. Но от этого они не стали более этичными или менее опасными, скорее приобрели другой масштаб и широко используются для сбора информации и оказания влияния всеми, кому не лень — от «агентов на телефоне» и маркетинговых отделов банков — до специализированных исследовательских служб.
При этом основная специфика подобных методик — их «незаметность» и маскировка под обычные коммуникации между членами социума. Это достигается тем, что, получая там и здесь лишь частичную информацию, саму по себе не являющуюся секретной, сборщик восстанавливает картину целиком, картина = тайна, охраняемая личностью, фирмой или государственной организацией.
Вот как поясняет это Кевин Митник: «Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого-нибудь очень ценного приза — скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно — это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого-нибудь фрагмента информации или какого-нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин, почему им следовало бы её защищать и ограничивать к ней доступ».
Таким путем социальные инженеры получают множество «фрагментов», каждый из которых используется в качестве ступеньки для наращивания осведомленности о следующем этапе «проникновения».
Например, типичная операция этого рода выглядит приблизительно так: сборщик информации звонит по телефону в одно (не слишком значительное) подразделение компании, называясь, к примеру, поставщиком компьютеров, запамятовавшим имя начальника подразделения. Ему сообщают это имя — скажем Джон Коллинз. Он делает следующий звонок в другое, более важное подразделение, например финансовый отдел и уже от лица Джона Коллинза просит напомнить номер счета, который его интересует, и сказать, с кем он говорит. Затем он может позвонить в банк и, представившись добытым именем бухгалтера, узнать, сколько денег находится на таком-то счету. И так далее.
Так, складывая кусочки мозаики, социальные инженеры могут получить абсолютно засекреченную информацию. «Для того чтобы обойти средства безопасности, социальный инженер должен найти способ обмануть доверенного пользователя, раскрыть информацию или незаметно заставить неподозревающего человека дать ему доступ… Во всём мире не найдется таких технологий, которые могли бы защитить… Опытный социальный инженер может получить доступ к любой возможной информации, используя стратегию и тактику своего ремесла… Социальные инженеры могут носить множество шляп и множество лиц. Если вы думаете, что вы никогда с ними не сталкивались, возможно, вы ошибаетесь», — пишет Митник.
Именно о таких вот технологиях социальной инженерии, только более грубых и топорно «впариваемых», могут напомнить и перегруженные личными вопросами «анкеты», и неожиданные «опросы» общественного мнения, и, как ни странно, повадки криминального мира, в частности, известных «наводчиков».
Интересно, что люди интуитивно чувствуют подобные «крючки» и вопросы, вызывающие у них лишь неприятие и единственное желание ответить: «Какое вам дело?» Например, один из наших читателей просто ужаснулся, когда, изъявив желание открыть кредитную карту в уже упоминавшемся «Ситибанке», прочел в очень детализированной анкете вопрос: «Есть ли у вас среди родственников высокопоставленные чиновники и военные?» После этого, сделав напрашивающиеся выводы, этот человек отказался от заполнения анкеты.
Зададимся вопросом, как же противостоять сбору вашей персональной информации не уполномоченными на то организациями? Что делать?
Вообще, защита от подобных попыток получения информации состоит из двух частей: первая — необходимо знать, что такие попытки могут быть предприняты. Вторая — необходимо знать, как поступить в этом случае.
По словам Митника, манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа. 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать, это:
- авторитетность: людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если собеседник уверен, что спрашивающий имеет власть или право задавать этот вопрос. Например, не зная своих прав на защиту и нераскрытие персональной информации, люди соглашаются указывать в анкетах некоторых организаций даже цвет автомобиля своей жены.
- умение расположить к себе: люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами. Например, размеры вашего дохода намного легче сообщить по телефону толковому и вежливому интервьюеру с красивым женским голосом, нежели требовательному субъекту с неприятным мужским;
- взаимность: мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в этом случае может служить материальная вещь, совет или помощь. Один из самых эффективных путей повлиять на людей, чтобы получить благосклонность и информацию, — преподнести неявно обязывающий подарок — например, тот же купон на праздник;
- ответственность: люди имеют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержать слово или выполнить обязанность. Не обещайте в спешке, не подумав;
- социальная принадлежность: людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, «если так делают другие, я тоже должен действовать так». Без комментариев. По-русски этот принцип называется «стадо баранов».
- ограниченное количество «бесплатного сыра»: просьба сообщить часть информации в обмен на доступ к ограниченному числу призов и т.п.
- Прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной информации может угрожать персонально каждому из нас, нашей безопасности, работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно тому, чтобы не заботиться о своем PIN-коде или номере кредитной карты.
- В своей основе все атаки социнженеров опираются на обман. «Жертва» руководствуется верой в то, что атакующий имеет право на получение вашей информации. Почти все эти атаки срываются, если вы четко выясняете 2 вещи:
- надежно идентифицируете личность делающего запрос;
- устанавливаете, имеет ли этот человек право знать вашу персональную информацию.
Особенно об этом стоит напомнить людям, занимающим государственные посты, ведь их небрежность в предоставлении персональной информации может вызвать последствия, которые подпадают под положения закона РФ «О государственной тайне», а также статей 275 УК РФ «Государственная измена», и 276 УК РФ «Шпионаж».
С другой стороны, неправительственные организации недаром делают на своих материалах пометки о добровольности предоставления вами своей персональной информации, так как в противном случае они рискуют, как минимум, обвинениями по статьям 137 УК РФ «Нарушение неприкосновенности частной жизни», 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» и т.п…
Итак, мы видим, что проблема манипулирования персональной информацией граждан существует во всем мире, что ею могут заинтересоваться не только спецслужбы, но, по их заказу, и неправительственные организации, и знаем теперь некоторые методы нападения и защиты в этой области.
Поэтому представителям власти в РФ хочется напомнить старые, но верные слова: «Будьте бдительны», и пожелать всегда поступать в соответствии с совестью и законами Российской Федерации, а простым гражданам — быть внимательными и взвешивать все «за» и «против», взаимодействуя с иностранными кредитно-финансовыми структурами.
Помните, что «социальные инженеры» разного рода используют вашу доверчивость, ваше желание быть полезным, вашу симпатию и ваше человеческое легковерие, чтобы получить то, что они хотят, однако это может нанести ущерб не только вам, но и вашим близким, и даже вашей стране.
Кроме того, вышеизложенное — еще один аргумент в пользу патриотизма и ограничения доступа иностранного влияния на российский рынок, особенно такого, которое в силу специфики, может собирать информацию у значительного количества россиян — например, американские банки или маркетинговые структуры. На своем уровне вы ответственны за свою личную конфиденциальную информацию. Ваши индивидуальные особенности, увлечения и слабые точки — только ваше личное дело, а ваш психологический портрет не должен попасть в руки дяди Сэма.
В противном случае последствия могут зайти очень далеко — вплоть до смены политического курса страны. Вспомним, например, как США «сопровождали» выборы на Украине в конце позапрошлого года. Зная конфиденциальную информацию, они явно смогли повлиять на итоги выборов, угрожая санкциями не только украинским властям, но и отдельным лицам.
Так, 22 ноября официальный представитель Госдепартамента США заявил, что Соединенные Штаты будут вынуждены пересмотреть отношения с Украиной и принять меры против отдельных лиц, если будут доказаны факты «нарушений» на президентских выборах. Пресс-секретарь американского МИДа Адам Эрли заявил: «Соединенные Штаты глубоко обеспокоены выборами на Украине. Мы призываем украинские власти не допустить новых нарушений и мошенничества (в ходе подсчета голосов), сохранять приверженность демократии и правам человека, а также принять меры, чтобы исход выборов отражал волю украинского народа».
Заранее зная «волю» украинского народа, представитель Госдепа США, по сообщению Reuters, пояснил, что, если подтасовка итогов голосования будет доказана, США готовы в том числе заморозить счета лиц, «причастных к подтасовкам», и лишить их права на въезд в США. По мнению наблюдателей, удар, несомненно, достиг цели — на сторону Ющенко встали МИД, Ассоциация банков Украины и другие организации. Конечно, такое воздействие на внутреннюю политику иностранного государства со стороны США не было бы возможным без скрупулезного знания состояния финансов, да и вообще, подробного досье нужных «объектов влияния».
Комментариев нет:
Отправить комментарий