Эффект плато. Как преодолеть застой и двигаться дальше
Шрифт:
Обычно такие номера кредитных карт покупают представители организованных преступных групп. А вот теперь пришло время для непростого вопроса – каким образом можно превратить украденный номер кредитной карты в деньги без риска быть пойманным? И вот тут-то мы и натыкаемся на настоящее узкое место для мошенничества в области кредитных карт – на американских домохозяек.
Процесс работает следующим образом – плохие парни публикуют в сети объявления о возможности работы (иногда даже вывешивают баннеры на сайтах, где дают свои объявления о вакансиях агентства и компании). Они обнадеживают обещаниями типа «Заработайте до 100 тысяч долларов, работая на дому в свободное время». Что ж, это кажется вполне привлекательным. Люди реагируют на предложение и становятся «сотрудниками».
В течение недели к их домам начинают подъезжать грузовики с большими телевизорами, игровыми системами, ноутбуками и другой дорогостоящей электроникой, заказанной в интернет-магазинах с помощью украденных номеров кредитных карт. Работа этих «сотрудников» довольно проста – упаковать поступившие товары в коробки
Такая схема мошенничества носит название «переупаковка», и довольно часто домохозяйки (называемые на преступном жаргоне «мулами») даже и не знают, что занимаются чем-то противозаконным – до тех пор пока через несколько месяцев агенты ФБР не начинают штурмовать их дома {93} .
93
Интернет полон историй о мошенничествах по методу переупаковки. Одну из них можно найти здесь: Eve Tahmincioglu, «Don’t Fall for Work-at-Home Scams», NBC News, по состоянию на 21 апреля 2008 года, www.msnbc.msn.com/id/24132244/ns/business-careers/t/dont-fall-work-at-home-scams.
Процесс монетизации украденного номера кредитной карты ограничен поиском достаточного количества «мулов», то есть временем, за которое преступники смогут подключить к работе ни о чем не подозревающих подмастерьев. Это и есть узкое место.
Основная доля усилий в цепочке поставок украденных номеров кредиток концентрируется на найме сотрудников. Это большой и серьезный бизнес. Киберпреступники обращаются к сайтам знакомств и объявлений или отправляются на форумы любителей тех или иных хобби – то есть в любые места, где они могут завязать нужные связи. Для того чтобы понять динамику развития отношений в этой области, мы бы хотели пригласить вас в странный мир CAPTCHA [29] .
29
CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart (Полностью автоматизированный тест Тьюринга для различения компьютеров и людей). Аббревиатура созвучна английскому слову capture, означающему, помимо прочего, «ввод или сбор данных». Прим. перев.
Возможно, само это название вам и незнакомо, но если вы пользуетесь интернетом, то наверняка их видели. CAPTCHA – написанные нарочито нечетким шрифтом слова, которые нужно впечатать в специальное поле на сайте перед тем, как купить билет на бейсбольный матч или открыть новый аккаунт электронной почты. Это своеобразный тест, позволяющий ответить на вопрос о том, кто общается с сайтом – человек или компьютер.
В современном виде CAPTCHA стал плодом размышлений Луиса фон Ана, специалиста по компьютерным технологиям из Университета Карнеги – Меллон {94} . CAPTCHA были интегрированы почти в каждый значимый сайт, в том числе Google, Yahoo и Ticketmaster. Возможно, вы удивляетесь – какой цели служат эти невероятно раздражающие, иногда совершенно неразборчивые слова. Порой человеку сложно их прочитать, однако для компьютера задача прочитать хорошие CAPTCHA оказывается просто не под силу.
94
Для того чтобы больше узнать об истории CAPTCHA и reCAPTCHA, рекомендуем начать со следующего источника: «reCAPTCHA: Telling Humans and Computers Apart Automatically», Google, по состоянию на 8 октября 2012 года, www.google.com/recaptcha/captcha. Луис фон Ан также выступал по этому вопросу на конференции TED, где поделился несколькими другими идеями по вопросу массового сотрудничества. Luis von Anh, «Massive-scale Online Collaboration», TED talk, 16:40, снято в апреле 2011 года, опубликовано в декабре 2011 года, www.ted.com/talks/luis_von_ahn_massive_scale_online_collaboration.html.
До появления CAPTCHA киберпреступники создавали автоматизированные инструменты, позволяющие за несколько секунд перебрать тысячи различных паролей для вашего сайта или другого закрытого источника. После появления CAPTCHA процесс застопорился. Созданные преступниками роботы доходили до раздела сайта, где им нужно было догадаться, какое слово зашифровано в поле, а затем сдавались.
CAPTCHA менял правила игры для сайтов, изнемогавших от засилья спама или роботов, перебиравших пароли. Но давайте еще раз посмотрим на ситуацию с точки зрения киберпреступника. Очевидно, что CAPTCHA стал слишком узким местом.
Организованные преступные группы, работающие в интернете, инвестировали много времени и сил в написание инструментов для рекламы своих предложений и взлома аккаунтов. Им совершенно не нравилось видеть, что все эти усилия были потрачены зря и что они теряют доходы (особенно обидным было то, что причиной этого послужило несколько букв, написанных почерком пьяного любителя американских горок). И здесь мы можем видеть, насколько творческими могут оказаться усилия хорошо мотивированной группы по преодолению узких мест.
Первые попытки преодолеть CAPTCHA были исключительно технологическими. Плохие парни создали целый ряд программных инструментов для специальных целей, связанных с оптическим распознаванием (OCR) и помогающих компьютерам читать символы CAPTCHA {95} .
Следующий подход ко взлому CAPTCHA состоял в том, чтобы платить людям в странах с низкими доходами за разгадку зашифрованных надписей {96} . За сотую долю цента нанимался человек, который внимательно смотрел, что именно написано на экране – Cat, Car или Let. Этот подход работал, однако оплата за каждую разгаданную надпись постепенно оказывалась слишком высокой. Представьте себе, что вы пытаетесь подобрать пароль к компьютеру другого человека. В некоторых случаях придется перебрать сотню тысяч различных комбинаций в поисках нужной вам. Даже если вы заплатите за эту работу десять долларов – не лучше ли купить за те же деньги десять украденных номеров кредиток?
95
И хотя мы не рекомендуем вам загружать какой-либо из этих инструментов, в приведенном ниже источнике вы можете ознакомиться с детальным описанием их работы: Elie Bursztein, Matthieu Martin, and John C. Mitchell, «Text-based CAPTCHA Strengths and Weaknesses», Proceedings of the ACM Conference on Computer and Communications Security, 2011.
96
Об этом свидетельствует множество источников. Один из них: Vikas Bajaj, «Spammers Pay Others to Answer Security Tests», The New York Times, April 25, 2010.
А затем наконец наступил прорыв. Мошенники смогли использовать в своих интересах самую мощную силу в интернете. Именно эта сила заставила браузеры обновиться и начать показывать пользователям картинки. Именно этот джаггернаут [30] позволил формату VHS одержать победу над Betamax. Это отрасль размером в миллиард долларов, породившая некоторые из самых прорывных достижений в технологии и производстве видео. Мы говорим о порнографии.
Банды киберпреступников начали создавать сайты с порнографией {97} . Сами сайты были бесплатными – не нужно было ни регистрироваться, ни становиться членами сообщества. Все, что требовалось, – ввести несколько CAPTCHA, для того чтобы увидеть следующее изображение или видео. Схема была простой и гениальной. CAPTCHA брались с тех самых сайтов, которые преступники жаждали взломать. Как только их робот наталкивался на узкое место, связанное с CAPTCHA, он брал картинку с непонятным словом и размещал ее на заставке своего порносайта. На некоторых из этих сайтов даже существовало подобие контроля качества – они брали одну и ту же картинку CAPTCHA и показывали ее пяти различным охотникам за порно. Ответ считался правильным только тогда, когда все пять людей давали один и тот же ответ. По некоторым расчетам, на пике борьбы между порно и CAPTCHA за каждую пару минут ничего не подозревавшие и отлично мотивированные пользователи порносайтов решали до нескольких тысяч CAPTCHA. Такое решение позволило преодолеть узкое место. Причем оно актуально и сейчас – вне зависимости от того, насколько сложную CAPTCHA вы сделали, всегда найдется достаточно мотивированный человек, желающий бесплатно разгадать ее содержимое.
30
Джаггернаут – термин, который используется для обозначения безжалостной и неумолимой силы. Изначально – одно из воплощений Вишну, бога, сметающего все на своем пути. Прим. перев.
97
Давайте не будем развивать эту тему, а посоветуем вам статью, отлично описывающую порносайты. Munir Kotadia, «Spammers Use Free Porn to Bypass Hotmail Protection», ZDNet, May 6, 2004, www.zdnet.com/spammers-use-free-porn-to-bypass-hotmail-protection-3039153933.
В этой битве добра со злом, появлением узких мест и их преодолением CAPTCHA продолжают развиваться и расширять границы человеческих способностей к вычислению. Ирония судьбы в том, что человек, ответственный за создание одного из мощнейших крупнейших узких мест в борьбе с киберпреступностью, Луис фон Ан, поменял круг своих интересов (возможно, руководствуясь чувством вины?) и занялся решением проблемы узкого места в совершенно иной области – оцифровкой старых книг.
Если вы еще не поняли, Луис фон Ан любит разгадывать головоломки. После того как CAPTCHA начал появляться практически повсеместно, он заметил, что и другие люди готовы заниматься этой малоосмысленной работой. Можно ли было найти их усилиям лучшее применение? Ежедневно заполняется свыше 200 миллионов CAPTCHA – иными словами, на разгадку этих головоломок ежедневно тратится свыше 150 тысяч человеко-часов {98} . Можно ли было объединить разгадку всех этих небольших головоломок в нечто единое, позволявшее достичь более масштабной цели? Именно из этого желания и родился проект reCAPTCHA.
98
Это довольно большой промежуток времени. Мы воспользовались статистикой с сайта reCAPTCHA: «reCAPTCHA: Digitizing Books One Word at a Time», Google, по состоянию на 8 октября 2012 года, www.google.com/recaptcha/learnmore.