Андрей Масалович, член совета директоров и руководитель направления конкурентной разведки компании «ДиалогНаука» (Россия), рассказал, как современные технологии позволяют управлять мнением общества в соцсетях, как сегодня хакеры воруют аккаунты с самых защищенных ресурсов, и как этот набор знаний служит «светлой стороне».

Digital.Report: Кроме прочих ваших компетенций, вы являетесь методологом и преподавателем в области безопасности информационного пространства в самом широком смысле, включая применение методов социальной инженерии в соцсетях. Какой вопрос вы слышите чаще всего?

Андрей Масалович: Я называю себя «менеджером по связям с реальностью», а самый популярный вопрос в этом году – правда ли, что русские хакеры обеспечили победу Дональда Трампа на выборах?

И что вы отвечаете?

Андрей Масалович, член совета директоров и руководитель направления конкурентной разведки компании «ДиалогНаука» (Россия)

Андрей Масалович, член совета директоров и руководитель направления конкурентной разведки компании «ДиалогНаука» (Россия)

Вторая составляющая успеха Трампа базируется на технологии точного выбора целевой аудитории. Сегодня с помощью этого пула технологий анализируется окружение группировок экстремисткой и террористической направленности.

Третью часть успеха можно приписать конкретной группе внутри избирательного штаба Трампа, которая курсировала по стране и выявляла лидеров мнений и тематическую направленность, которую эти лидеры готовы воспринимать. Далее следовал информационный вброс в соцсети (чего только Трамп ни предлагал и ни обещал), который привлекал голоса группы. Глубокий анализ аудитории и резкое точечное воздействие помогают сократить бюджеты на создание информационного поля. Узкая тематическая информация впрыскивается ровно в те мозги, которые готовы ее воспринимать. Ученые подтвердили, что в феномене Трампа ключевую роль сыграли технологии массового воздействия в соцсетях.

Как работает эта технология?

Давайте заглянем «под капот». Я, как и многие, годами работал в интернете, ошибочно считая интернетом сообщество личностей. Относительно недавно мы сделали визуализатор интернет-активности, транслирующий картинку в реальном времени. Картина получилась совсем иной по сравнению с аналитикой, работающей с задержкой по времени.

Визуализация аудитории Twitter

Визуализация аудитории Twitter

Посмотрите на слайд. Окраска и размер отражают активность и популярность пользователей, которых можно разделить на несколько типов. Первый тип стандартен – обычный пользователь, у которого немного друзей и плотный органический круг общения. Иногда эти люди группируются, чтобы обсудить какую-то новость.

Вторая группа – высокие лучи над обычными пользователями – это политики, популярные артисты и всевозможные медийные персоны, которые не очень много говорят, но чья популярность раздута.

Вторая группа – высокие лучи над обычными пользователями – это политики, популярные артисты и всевозможные медийные персоны, которые не очень много говорят, но чья популярность раздута.

Близко к рядовым пользователям живут лидеры мнений, которых слушает аудитория, например секта свидетелей Навального. Я перечислил 3 группы, которые мы видели и раньше с помощью обычной аналитики.

Но теперь дополнительно мы увидели странные кластеры, которые живут по своим законам и чья реакция не похожа на реакцию обычных людей. Это боты, и для того чтобы они были эффективны, их должны быть сотни тысяч, если не миллионы. Иначе их действия будут невидны, их активность не будет иметь результата. Именно поэтому сегодня больше половины мирового интернет-трафика порождается ботами, а не людьми.

Так ли уж сильно влияют боты на мнение интернет-аудитории? Ведь они не могут пройти капчу, а, значит, в соцсетях их не может быть много.

Картина мира изменилась. Да, первоначально бот определялся как программа, чье поведение характеризуется простыми повторяющимися действиями в Сети. Сейчас это стало неправдой.

Боты известны более 20 лет. На заре Рунета было 220 тыс. пользователей, и 700 из них было отведено под боты. Долгое время считалось, что ботов легко выявить и фильтровать – они не могут ответить на каверзные вопросы, не могут обойти капчу. Не забывайте, что для соцсетей одна из самых важных задач – пропускать трафик живых людей и не пропускать трафик спама, рекламы. То есть они следят за возможностями ботов и постоянно развивают защитные возможности.

Но сегодня бот может обойти капчу, расскажу как. Предположим, бот зарегистрировался в соцсети и пытается общаться с пользователями. У последних возникает сомнение, живой ли это человек. И тут боту предлагается капча. Доказано, что бот не может распознать капчу, особенно если речь идет, к примеру, о выборе рисунков. А теперь представьте себе, что у нас есть 2 бота и 1 хакер.

Бот №1 должен проникнуть в сообщество соцсети, но ему мешает капча. Тогда подключаются хакер и бот №2. Хакер взламывает форум с нетрадиционным порно, получает капчу от бота №1 и отдает ее боту №2. Бот №2 находит живого участника форума, который прямо сейчас разглядывает веселые картинки, подставляет ему капчу и говорит: «Ваши действия кажутся подозрительными. Пожалуйста, подтвердите, что вы человек, а не робот». Человек в полной уверенности, что полез туда, куда не надо, проходит капчу. Бот №2 передает результат первому и таким образом бот №1 проходит в соцсеть. Поскольку на нелегальных порносайтах всегда есть живая аудитория, получаем бесплатную круглосуточную дежурную смену на нужном языке.

Что интересного у хакеров? Какие принципиально новые типы атак с помощью ботов вы отметили?

В 2016–2017 годах мы наблюдали три принципиально новых типа атак. Первую группу условно назовем «горизонтальный брут-форс». Допустим, требуется взломать почтовый сервис и получить пароли почтовых ящиков хорошо защищенного сервиса, gmail или mail.ru. Базовый вид атаки – когда берут логин и простым перебором подбирают пароль – называется брут-форс. Здесь он не годится, потому что перебор будет почти сразу заблокирован сервисом.

Но представьте себе, что у меня миллион ботов и есть список из миллиона логинов, взятых из спам-рассылки. Тогда миллион ботов одновременно обратится к серверу, задаст разные логины и один и тот же пароль, например, 123456. И программа решит, что одновременно авторизуется миллион человек, каждый из которых сделал 1 ошибку, и это допустимо. Из этого миллиона логинов, из моей практики, всегда найдется примерно 300–350 аккаунтов, у которых, действительно, пароль 123456. В следующую секунду боты организуют проверку «невскрытых» логинов по другому популярному паролю и так далее. Таким образом, через полчаса в руках у хакера будут тысячи взломанных аккаунтов, при этом сервис не идентифицирует атаку.

Второй интересный вид атаки мы наблюдали на Facebook. Как вы знаете, если нажать на кнопочку «напомнить пароль», то вам на почту придет письмо с кодом. Изучая такие коды, хакер пришел к выводу, что кодовая строка привязана к текущей секунде и в силу длины записи можно сгенерировать не более 1 млн кодов. Он взял 2 млн ботов и одновременно отправил их на штурм Facebook с подготовленными кодами. И за одну секунду получил 20 аккаунтов.

Третий вид атаки мы наблюдали применительно к столь дорогим нам банковским картам. Они у всех есть, почти все данные карт легко восстановить, секретом для хакеров остается только CVC/CVV. Код не передается, не фигурирует в открытых базах. Но в нем всего 3 цифры, то есть всего 1 тыс. численных наборов. Если я попробую подобрать код перебором, то на третьей попытке банк меня заблокирует. Но в мире более 400 интернет-магазинов, из них у 360 нет даже элементарных средств защиты. Хакер предпринимает более 1 тыс. попыток купить что-либо на $1 с помощью ботов и через несколько секунд получает ваш CVC/CVV.

Описанные приемы используются и при массированных атаках. Например, атака на сервера демократической партии, которая приписывается российским хакерам, была инициирована румынским хакером. Кстати, по результатам нашего лингвистического анализа, он наверняка является молдованином. Так вот, он использовал прокси-сервера. Прокси используют для анонимного доступа, однако в момент работы на прокси сохраняются ваши переменные данные, по которым можно вас отследить. Правда, сейчас в продаже есть прокси, не просто «искажающие» данные, а подменяющие данными другого аккаунта. Соответственно, хакер, про которого я рассказываю, выступал то как русский, то как китаец. Понятно, что такие возможности могут использоваться не только для мелких атак, но и при крупных правонарушениях.

Все это звучит очень печально. Как эти возможности используются на благо общества?

Конечно, мощь инструментов можно использовать и на «светлой» стороне. Например, 18 декабря 2014 года Россию взорвали СМС о том, что сбербанк вот-вот прекратит платежи по кредитным картам. Средний размер вклада тогда составлял 30 тыс. рублей, что в общем-то немного. Но проблема оказалась в том, что Сбербанк не проверил, как работает колл-центр под нагрузкой. Что происходило? Люди у нас спокойные и серьезные, никто не бежал в банк, все звонили. И ласковый женский голос отвечал: «Ваш звонок очень важен для нас, все операторы сейчас заняты, ориентировочное ожидание в очереди 2 недели». Уже после такого ответа человек понимал, что мир рушится, и бежал снимать свои 30 тыс. Когда таких набралось 10 млн человек и со счетов слетели первые 10 млрд, Сбербанк понял, что не такой уж он и крупный. За полдня были нарисованы тепловые карты активности, и оказалось, что есть несколько кластеров. И уже на следующий день волнение было погашено. Предполагаю, что банкоматы в авральном режиме обеспечивались наличностью, что помогло избежать паники.

Если выбрать 2 круга вокруг человека в соцсети (друзья и друзья друзей, всего примерно 50 тыс. аккаунтов), то можно создать подробную картинку – чем человек дышит, чем увлекается. Когда мы анализировали подростковые группы, и если бы умели заранее их раскрашивать (кто националист, кто экстремист, кто склонен к суициду), то получили бы раскрашенную картинку. Спокойную группу раскрашиваем желтым – за эту школу можно не волноваться. Группы, которые дружат с экстремистами (синие) и националистами (сиреневые), тесно между собой переплетаются. На основе таких картинок легко ставить первичный диагноз школе, региону, классу, ребенку. Можно следить за тем, как нарастают опасные настроения и предотвращать критическое развитие событий.

Об авторе

Журналист, редактор, автор многочисленных публикаций, освещающих события ИКТ-рынка. Работала в новостном агентстве ПРАЙМ-ТАСС, журнале «Финанс», издании CNews. Специализируется на подготовке аналитических и исследовательских материалов. Сейчас главный редактор информационно-аналитического портала Digital.Report.

Написать ответ

Send this to a friend

Перейти к верхней панели