Болтун - находка для шпиона: как обчистить пользователей интернета

Как известно, личными данными, которые мы помещаем в блогах и социальных сетях, могут воспользоваться не только с благими намерениями. Самым неприятными последствиями сетевых «раскопок», разумеется, оказывается банальное ограбление. Кто-то вполне может определить наш пароль в Webmoney и опустошить «кошелек» либо даже снять деньги со счета в банке.

Как известно, личными данными, которые мы помещаем в блогах и социальных сетях, могут воспользоваться не только с благими намерениями. Несколько лет назад в России из вуза отчислили девушку, которая критиковала в ЖЖ своих преподавателей.

И это притом, что девушка и не думала присылать своим наставникам ссылку на блог. Кроме этого, наши странички на сайтах «В контакте» в «Одноклассники.ру» очень любят смотреть менеджеры по персоналу. Это иногда приводит к неприятным последствиям для молодых специалистов - например, излишняя оригинальность «аффтора» может помешать ему устроиться на работу. Однако самым неприятным последствием сетевых «раскопок», разумеется, оказывается банальное ограбление.

Показать, к каким последствиям может привести наше легкомыслие в сети, недавно взялся американский программист, разработчик программ, автор статей по компьютерной тематике и профессор университета Герберт Томпсон. Он без особого труда добрался до банковских счетов одной своей знакомой. При этом цель его была вовсе не ограбить девушку, а продемонстрировать, насколько важно блюсти информационную безопасность. О результатах своего эксперимента Томпсон рассказал на страницах журнала Scientific American.

Перед началом эксперимента Томпсон предложил подруге своей жены, Ким, под ее контролем добраться до ее банковских счетов. По условиям эксперимента Ким не должна была сообщать ему никакой информации, но, ради законности акции, следить за тем, как Герберт будет «докапываться до истины». По заявлению Томпсона, проведенный им эксперимент ни в коей мере не был случаем взлома или использования естественных уязвимостей почтовых ящиков или банковских программ.

Это было не столько использование компьютерных технологий, сколько чисто разведывательная работа, в результате которой он в конце концов по крупицам выяснил все, что хотел.

Первоначальная информация. В самом начале Герберт узнал знал имя и фамилию Ким, штат (не город), в котором она родилась. Еще он знал, какой банк она использует (хотя Герберт и без того знал много легких путей это выяснить), и ее логин - первая буква ее имени и фамилия. Если бы они не были знакомы, он мог бы узнать эту информацию с помощью так называемой социальной инженерии - способа «разговорить» собеседника при личной встрече или даже в сети. Теперь ему предстояло узнать пароль.

Шаг 1. Разведка. Используя имя Ким и сведения о месте ее работы, он c помощью Google нашел ее старое резюме. Из резюме он взял адрес электронной почты, которым Ким пользовалась еще в колледже. Кстати был и ее блог: из него он узнал информацию о бабушке и дедушке, коте, родном городе и так далее. Самым интересным здесь ему показался адрес электронной почты Google - G-mail.

Шаг 2. После этого он попытался законным образом восстановить якобы забытый пароль на банковском сайте Ким. Пароль оттуда сразу же отправили на еще не известный Томпсону почтовый ящик.

Шаг 3. Томпсон заподозрил, что этот ящик находится на G-mail и попытался в него проникнуть. Для этого он отправил на почту Google письмо от лица Kим и также сообщил, что «забыл» пароль. Google отправил пароль на старый почтовый адрес ее колледжа.

Шаг4. Теперь следовало выяснить пароль почты колледжа. Для этого пришлось ответить на вопросы по поводу домашнего адреса Ким, почтового индекса, штата, в котором она родилась. Все это Герберт узнал из резюме. Чтобы получить пароль, оставалось узнать дату рождения. Томпсон понял, что ему следует проявить «больше креативности».

Шаг 5. Тем не менее, задача оказалась на удивление легкой. День и месяц рождения Ким Томпсон узнал на сайте, принадлежавшем организации, в которой девушка работала.

Шаг 6. По дню рождения Томпсон нашел еще один блог Ким. Там было много интересных мелочей. Но он пока не знал главного - года рождения девушки.

Шаг 7. Конец игры.
Томпсон решился выбрать год наугад и ошибся. Однако это не помешало ему получить пароль! К тому же, сервер колледжа снабдил его точной информацией о его ошибке! По крайней мере, одна почта уже была в его распоряжении. Вторая, G-mail, требовала личных данных, которые он без проблем нашел в ее блоге (кличка кота, телефонный номер и т.п.) А после всего этого Герберт получил полный доступ к деньгам Ким.


Нет необходимости даже говорить о том, как была встревожена девушка. Она немедленно заменила все свои старые пароли, и теперь старается быть более внимательной к выкладыванию своей личной информации в интернете. Однако, как отмечает Томпсон, покуда она до сих пор посещает блоги, она должна запомнить одну важную вещь - если человек разболтает какие-то важные сведения о себе, дальнейшая защита от утечки информации оказывается очень сложной, если не невозможной. «Чем вы больше пишете в блоге о себе, - утверждает Томпсон, - чем больше сведений о вас оказывается заархивано, копировано и проанализировано». Как говорится, слово - не воробей, вылетит - не поймаешь.

Поскольку Ким все еще слабо разбирается в основах компьютерной безопасности, Томпсон, по его собственному признанию, решил преподать девушке еще один урок. Он поклялся, что в самое ближайшее время выведает и сообщит ей имя ее любимой первой учительницы.

Куратор Людмила Айвар
Людмила Áйвар — российский юрист, общественный деятель *
Последние материалы