Карл Шкафиц - <a href="/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="054a68607771452b">[email protected]</a> Руководство по компьютерной безопасности и защите информации для Больших Боссов
Типичный пример скама — так называемые нигерийские письма. Это довольно интересный вид преступного бизнеса, и он имеет прямое отношение к вопросам безопасности, поэтому на всякий случай поясню подробнее, что же это такое...
В какой-то момент тебе приходит письмо, написанное безукоризненным английским языком (говорят, кстати, что доблестные нигерийцы уже даже русский язык освоили, но я сам образцов нигерийских писем на русском не видел). В письме женщина королевских кровей (как вариант — бывший министр, член правительства, близкий родственник правящей семьи) просит тебя, как человека состоятельного, честного и благородного, помочь ей обрести счастливо заныканные от диктатора Ласерды деньги казненного короля Нигерии — Труффальдина пятнадцатого. Сумма небольшая — сорок миллионов долларов (двадцать, десять или четырнадцать). Тебя ей порекомендовал ваш общий знакомый — доктор философии Мустафа Кахим Абдарахман-заде.
Проблема в том, пишет женщина королевских кровей (или бывший министр, или троюродный дядя), что деньги разбросаны по различным счетам. Чтобы их собрать воедино и обналичить — нужен банковский счет надёжного человека. Тебе эта леди Maryam Abacha (или полковник Kizombe Kamara, или троюродный брат несчастного Труффальдина Kukatomba) безгранично доверяет. Она готова под твоё честное слово перевести эти сорок (двадцать, десять или четырнадцать) миллионов долларов на твой счёт с тем, чтобы ты ей потом выдал эти деньги, а за услуги взял себе — она женщина не жлобистая — десять процентов (двенадцать, четырнадцать). Десять процентов от двадцати миллионов долларов — это два миллиона долларов. Сумма, в общем, неплохая даже для состоятельного человека, не так ли? А всего-то требуется сообщить данные своего счета в банке... Счёт — он же не секретный, правильно? Она же не номер твоей кредитки требует...
Кроме того, если у тебя есть какие-то сомнения в её личности, леди Maryam Abacha предлагает встретиться на нейтральной территории — например, в Париже Him Жмеринке, — причем не сомневайся, леди действительно приедет, продемонстрирует тебе фамильные брильянты на астрономическую сумму (брильянты, кстати, настоящие, в этом прокалываться они не станут) и потрясёт твоё великодушное сердце живым рассказом о несчастьях, выпавших на долю их королевской семьи.
В чём разводка? на самом деле, дальше схема довольно банальная. После того как ты убедился в реальности леди Maryam Abacha (полковника Kizombe Kamara, юного баронета Khamou Upitango) начинается чистый бизнес. У вас с ней совместное предприятие по добыванию сорока миллионов. Эти деньги просто так на твой счет не упадут. Сначала нужно дать взятку нигерийскому правительству за то чтобы они выпустили эти деньги с правительственных счетов. (у них там сплошная коррупция, разъяснит тётка, так что никаких проблем.)
Затем необходимо будет дать взятку таможенникам, чтобы эти деньги пропустили за границу. После этого выяснится, что деньги «грязные», и прежде чем они упадут на счет кристально чистого человека — это о тебе — их нужно легализовать, то есть отмыть. Процедура требует использования особо эффективных моющих средств, работающих без утомительного замачивания, поэтому тебе нужно будет выложить тысяч десять, причем во вполне американских денежных единицах. Но десять тысяч — это же не деньги для получения двух миллионов, правильно? Любой так подумает, даже тупоголовый идиотский дебильный кретин...
В общем, дальше всё понятно. Сначала из тебя вытягивают деньги на оплату того, сего, пятого и десятого, а потом Maryam Abacha вместе с полковником Kizombe Kamara и юным баронетом исчезают н голубой дали. А их телефон отвечает только: «Аппарат абонента к чёрту выключен или находится вне зоны действия законов людских и божественных».
«Да кто же купится на подобную чушь?!!» - воскликнешь ты, но будешь неправ. Потому что на подобную чушь уже купилось бешеное количество народу, а переведённые суммы исчисляются.., барабанная дробь... десятью миллиардами долларов! Честное слово, не вру, это официальные данные.
Нигерийские ребята (кстати, они могут быть кенийские, зимбабвийские, а в последнее время особенно активизировались иракские — в связи с происходящими там событиями) — они не дураки. «Разводят» жертв достаточно тонко и по-умному. Одна супружеская пара, в надежде слупить пяток миллионов с очередной бедствующей родственницы королевской династии, перевела жуликам аж 400 тысяч долларов. Но абсолютный рекорд принадлежит тетке по имени Анна-Мария Поэт, менеджеру из Детройта, которая переводила деньги со счетов фирмы, где она работала, «чиновнику министерства горной промышленности Южной Африки Мабусо Нельсону». Господин чиновник обещал тетке 4,5 миллиона, и она, начав оплачивать всевозможные «взятки», «отмывки», «таможни» и прочее — перевела всего-навсего 2,1 миллиона долларов. Причём обнаружили это только тогда, когда один из выписанных не ею чеков фирмы вернулся обратно с формулировкой о том, что на счету предприятия нет средств. То-то удивилось руководство конторы, когда выяснило, что пару миллионов ухнули в «министерство горной промышленности». Мужики теперь, как я понимаю, на горы не смогут спокойно смотреть до конца жизни...
Впрочем, «нигерийские письма» - это, конечно, не единственный вид скама. Пользователям приходит масса писем от жуликов всех мастей, в которых могут предлагаться как классные русские невесты (впрочем, тебе это не актуально), так и «настоящие» Rolex за пятьдесят баксов, участие во всяких пирамидах, просьбы о деньгах «на операцию» с фотографией больного ребёнка, и так далее, и тому подобное.
Почему это влияет на безопасность? Так я же не случайно привел историю с Анной-Марией. Ты на подобную дешёвку, может, и не клюнешь, но если клюнет кто-нибудь из твоих работников и начнет воровать деньги со счетов фирмы, надеясь покрыть недостачу «наследством нигерийскоrо короля», — будет уже всё равно, кто именно клюнул на подобное письмо.
Как бороться? Способом, завещанным вашим дедушкой Лениным: учиться, учиться и учиться. А точнее — просвещать, просвещать и просвещать. Твоих работников. Всё подробно растолковывать или давать им читать соответствующую главу этого учебника. Чтобы они скам чуяли за версту...
НА СТРАЖЕ ПОЧТОВОГО ЯЩИКА
Давай теперь поговорим о том, что такое действительно защищённый почтовый ящик, а что такое письмо от Пети к Васе, доступное Маше. Электронной почтой пользуются двумя способами: через так называемый веб-интерфейс и с помощью так называемого почтового клиента. Веб-интерфейс — это когда для работы с почтой ты заходишь на сайт почтового сервиса (Mail.ru, Mail.Yandex.ru, GMail.com и Hotmail.com, например), вводишь имя ящика и пароль, после чего работаешь с почтой прямо там, на сайте. Почта при этом также хранится на сайте.
С одной стороны, твой почтовый ящик типа как защищён паролем. Но я не зря употребил выражение «типа как». Потому что это именно «типа как защищён». Обычная парольная защита почты напоминает турецкий дверной замок: хвалёные «двести тысяч степеней защиты» вскрываются с помощью пластинки жвачки и обычной отвёртки, а кроме того, ключи от одних таких замков нередко подходят к другим.
Является ли этот способ действительно безопасным? Нет, нет, ещё раз нет и сто тысяч раз нет! Это чистые письма от Пети к Васе, доступные Маше и ещё десятку миллионов всех желающих! Секьюрностью там не пахнет даже на гомеопатическом уровне! И вовсе не потому, что владельцы сервиса при необходимости могут получить доступ к твоей почте (хотя и это тоже). И не только потому, что соответствующие ребята ОТКУДА НАДО также мгновенно могут получить доступ к твоей почте. (Доподлинно это, скажем так, неизвестно, но ходили небезосновательные слухи о том, что всех провайдеров обязали выдать соответствующим специальным службам так называемый универсальный логинпароль, открывающий доступ к любому ящику. Разумеется, это всё должно производиться с санкции прокурора и всё такое, но вряд ли тебя утешит тот факт, что у них была санкция прокурора. И не обрадует тот факт, что никакой санкции не было.)
Основная прореха в безопасности в данном случае заключается в том, что вся твоя почта хранится на чужом сервере. Причем в данном случае неважно, используешь ли ты сервис бесплатных почтовых ящиков или оплаченную услугу какого-нибудь провайдера. Чужая душа — потёмки! Чужой сервер — чужой праздник жизни. Почта на чужом сервере может быть перлюстрирована, испорчена, изменена, уничтожена и подвергнута вивисекции. Короче говоря, чёрт знает что с ней может произойти. Ты при этом ситуацию никак не контролируешь. Когда тебе сообщат о том, что «простите, сэр, вся ваша почта, сэр, потеряна, сэр, наши, сэр, извинения, сэр» - уже поздно будет и пить «Сан Пелегрино», и подвешивать кого-нибудь из админов за интимные места над стадом голодных крокодилов. Бобик сдох, дорогой мой, почты нет! (Американцам в таких случаях нравится говорить: «Zed's dead, baby. Zed's dead».)