Человеческую натуру не изменить, какие правила безопасности не придумывай. Жажда легких денег и порой откровенная ИБ-безграмотность пользователей помогает социальным инженерам успешно использовать новые «серые» схемы.
Сейчас СМИ активно пишут о множестве сайтов (например, fbcash.net, fbrenters.com, fbdollars.com и rentusyourfbook.com), которые предлагают пользователям Facebook «источник дохода в Интернете». Нужно всего лишь отдать свой профиль во временное пользование «третьей стороне», которая, скорее всего, будет использовать его в сомнительных целях. Например, через аккаунт рекламировать онлайн-казино, средства для улучшения потенции и т.п.
Схема напоминает сетевой маркетинг: стабильный доход до 500 долларов в месяц, денежное поощрение за втягивание в это сомнительное предприятие друзей и знакомых, а «золотым» арендодателям – бесплатные ноутбуки с предустановленным ПО для получения удаленного доступа к учетке в Facebook.
Желающих получить легкие деньги немало. По оценке ИБ-исследователя Джона Амиррезвани, который обратил внимание на проблему через BuzzFeed News, свои аккаунты в аренду сдают тысячи пользователей.
Руководитель учебного центра «СёрчИнформ» Алексей Дрозд:
– Мне кажется, подавляющее большинство людей, которые подписываются на это из-за жажды легких денег, не понимает серьезности такого шага. Отдавая доступ к Facebook, они верят, что мошенники больше ничего не возьмут.
Использование «бесплатного» ноутбука – вообще смерти подобно. Ваши данные останутся в безопасности только при условии, что вы не станете его включать, чтобы зайти на почту, в интернет-банкинг или что-то погуглить. Никто не дает гарантии, что ответственные «аккаунтосъемщики» не приберут к рукам все, до чего эти самые руки способны дотянуться. И как они будут использовать полученные сведения, сказать сложно, но явно для личной выгоды.
Для инициаторов этой кампании такая схема – отличный выход. Ведь они снимают с себя всю ответственность за рекламу на Facebook порнографии, наркотиков и других сомнительных товаров. Виноватым в распространении информации в случае чего назовут владельца аккаунта.
Facebook показывает успехи в борьбе с классическими мошенническими схемами по накрутке лайков, нагону трафика. Массовую регистрацию фейковых аккаунтов социальная сеть научилась отсекать. Поэтому в арендодатели берут на особых условиях: у пользователя должно быть достаточное количество друзей, а его аккаунту должно быть не меньше года. И эту армию «живых зомби» можно с успехом использовать, например, для накрутки просмотров на YouTube и других масштабных операций в Интернете.
Успех в этой и подобных схемах мошенникам гарантирует отношение общества к ценности конфиденциальных данных. Не так давно компания Logicals опросила 1000 британских подростков и выяснила, что 42% тинейджеров от 13 до 17 лет готовы продать широкий перечень личных данных всего за $20.
Данные по взрослым тоже не слишком обнадеживают. Опрос 2009 года (ещё 10 лет назад!) показал, что 37% британцев готовы украсть данные за вознаграждение в сумме до миллиона фунтов. Еще 2/3 респондентов не против заняться промышленным шпионажем, если им заплатят миллион фунтов и более, а 10% открыты к предложениям, если заказчик погасит за них ипотеку.
Аналогичный опрос в РФ за 2011 год показал, что «сливать» информацию конкурентам за 1,4 млн рублей согласны 20% опрошенных.