Полтора месяца назад молодая женщина по имени Зед (имя изменено) сидела на рабочем совещании, когда вдруг ей пришло сообщение по мессенджеру "Фейсбука" от одной дальней приятельницы.
"Привет, дорогая", - писала она и просила проголосовать за нее на одном из интернет-конкурсов для начинающих моделей.
Зед согласилась и проголосовала, но что-то пошло не так: адрес её интернет-ящика якобы перегрузил сеть и все голоса пропали, как сообщила приятельница, и ей срочно требовался логин, с которым Зед зарегистрировалась, чтобы восстановить все пропавшие голоса.
Зед засомневалась, но приятельница взмолилась: речь идет о моей карьере, дай мне свой логин и пароль - и я все починю. Решать надо было быстро, а позвонить во время совещания было невозможно, и Зед согласилась.
Только это была вовсе не ее знакомая, а кто-то другой - тот, кто взломал ее аккаунт и разговаривал от её имени.
Такая мошенническая схема называется "целевой фишинг".
Целевой фишинг и как от него обезопаситься?
"Фишинг использует поведенческую психологию [основанную на том, как мы принимаем решения] с тем, чтобы заставить жертву доверить мошеннику информацию с личными данными", - говорит Пол Бискофф из технологической компании Comparitech, который разбирался с историей, в которую попала Зед.
"Целевой фишинг менее распространен, но гораздо более опасен и нацелен на какого-то конкретного человека или небольшую группу лиц. Мошенник собирает личную информацию о потенциальной жертве, чтобы предстать более убедительным", - объясняет Бискофф.
Давать доступ к своим онлайн-аккаунтом нельзя никогда и никому. Кроме того, надежной защитой служит двухступенчатая верификация. Это означает, что пользователь, чтобы зайти в систему, должен помимо пароля ввести специальный код, присланный, например, на мобильный телефон.
Обычно такую верификацию можно установить в настройках безопасности своего аккаунта или при регистрации на том или ином сайте. Такой вариант защиты предлагают многие сайты, в том числе Gmail, Hotmail, Apple, Amazon, Yahoo, Facebook и Twitter.
История Зед
В течение буквально нескольких минут Зед оказалась отключена от всех своих аккаунтов, а также от системы резервного хранения Apple iCloud, где она хранила всю информацию о себе, включая фото своего паспорта, банковские данные и некоторые весьма откровенные фото.
Хакер заполучил все ее личные данные, поскольку они были привязаны к адресу ее электронной почты, который она сама и сообщила мошеннику вместе с паролем.
Хакер тут же установил дополнительный уровень защиты, двухступенчатую верификацию, что позволило ему получить дополнительные коды на свой телефон и поменять пароли ко всем аккаунтам.
Затем ей на мобильный позвонил мужчина. На экране высветился телефонный код Пакистана.
"Он начал разговор с того, что сказал, что не хочет никакой трагедии, слез; он хочет поговорить со мной по-деловому", - рассказывает девушка.
У него был молодой голос - может быть, это какой-то студент, подумала Зед.
Затем он обвинил ее в аморальности. Он видел ее фотографии, знал, что она курит, встречается с парнями и ведет активную сексуальную жизнь. Что подумают ее родители, спросил он - и страшно разозлился, услышав от нее, что они и так все прекрасно знают.
"Он заявил, что взломал аккаунты тысяч женщин, - говорит Зед.- Но сказал, что ему стало жалко лишь 10 или 12 из них, поскольку он не нашел ничего про них "плохого".
Но к Зед это не относилось: "Он сказал, что обрадовался, взломав мой аккаунт, что я это заслужила".
Он также пригрозил разместить ее фривольные фото на "Фейсбуке", где у нее больше 1000 друзей.
Секс-шоу вместо денег
"Я предложила ему деньги - спросила, могу ли я откупиться. Он сказал: "Не говори о деньгах", - и звучал при этом очень раздраженно", - продолжает Зед.
Вместо этого он хотел, чтобы она занялась с ним виртуальным сексом на камеру. Зед отказалась.
"Или ты сделаешь это только для меня - или для всего мира", - сказал он и выложил одну из фотографий на "Фейсбук".
Зед на тот момент уже предупредила о взломе своего парня и родителей, которые вместе мобилизовали друзей, готовых мгновенно сообщить о какой-либо активности на ее аккаунте.
В течение 15 минут после того, как фото появилось на ее личной странице, оно было заблокировано администрацией соцсети, однако Зед успела получить несколько взволнованных сообщений от своих знакомых.
"Один близкий друг, который мне как брат, прислал сообщение, причем фото видел не он сам, а один его знакомый. Лучше даже не думать о том, как много людей увидели эти фото", - говорит пострадавшая.
Последнее, что сказал ей хакер: "Всего тебе хорошего!"
"Мне показалось, что единственная его цель - это выступить в роли "полиции нравов" и заставить девушек делать то, что он хочет, - полагает Зед. - Он хотел [собрать] целую галерею откровенных фотографий женщин".
Зед не считает себя наивной или неграмотной по части компьютерных дел. Она умная, хорошо излагающая свои мысли девушка 20 с небольшим лет из Индии, работающая в СМИ на восточном побережье США.
"Я хорошо разбираюсь в технологиях и в интернете сижу практически всю свою жизнь, но до этого случая даже не представляла себе те возможности, которые можно получить [при помощи такого взлома]", - признается она.
Вернуть контроль над всеми аккаунтами оказалось непросто. На то, чтобы восстановить доступ к счету в Apple у Зед ушел месяц, поскольку компьютерщикам компании пришлось составить для нее подробный индивидуальный опросник, ответы на который нельзя было найти в ее прежнем аккаунте.
Были также восстановлены ее данные в Gmail и Facebook, однако она потеряла аккаунт в мессенджере Snapchat и свою электронную почту в Hotmail - своем основном почтовом адресе, которым она пользовалась более 13 лет.
Уравнение из трех составляющих
"Мне жаль эту молодую женщину - на такие мошеннические схемы очень легко попасться, - говорит эксперт по кибербезопасности, профессор Алан Вудвард из Университета графства Суррей.
"На мой взгляд, этот случай как раз показывает, что безопасность - это "уравнение", в которой задействованы люди, процессы и технологии. Можно быть очень продвинутым в одной или двух составляющих такого уравнения, но мошенники умело находят новые ходы, о которых мы, честно говоря, даже и не подумали бы", - продолжает эксперт.
"Я знаю, это, вроде бы, очевидная вещь, но вы никому не должны сообщать свой логин и пароль - вне зависимости от того, кто вас об этом просит. Стоит только дать этим хакерам крошечную зацепку - и они, к сожалению, воспользуются ею на все сто, чтобы учинить полный хаос в вашем интернет-хозяйстве", - говорит профессор.
Зед по-прежнему пользуется своим резервным хранилищем на удаленном сервисе iCloud, но уже не хранит там ничего личного, а кроме того, активизировала на всех аккаунтах двухступенчатую верификацию личности.
"Я по-прежнему считаю этот сервис удобным, но уже никому ни за что не выдам никакой личной информации", - говорит Зед, которая поделилась своей историей на новостном соцсетевом сайте Reddit, чтобы найти других женщин, пострадавших от того же самого мошенника.
"Я была шокирована тем, что совершенно ничего не обнаружила. Я надеялась, что мой рассказ что-то изменит и сподвигнет других поделиться своими историями. И еще, это была моя единственная возможность ему отомстить", - признается Зед.
Насколько ей известно, этого хакера так и не поймали.
"Кибермошенники бывают совершенно разные, - поясняет профессор Вудвард. - Не всегда ими движет корысть. Как мы стали наблюдать в последнее время, все чаще это месть или другой злой умысел".