Эффект плато. Как преодолеть застой и двигаться дальше - Боб Салливан

Зачастую плато возникают из-за того, что мы не знаем, когда и где возникнут узкие места. К примеру, неопытные менеджеры часто оказываются на плато, поскольку сами становятся узким местом. Они занимаются микроменеджментом, внимательно изучают каждое крошечное решение и заставляют других людей ждать, пока они не разберутся. Их работа тормозится их собственной потребностью в том, чтобы все рассмотреть, изучить и переварить. Вы наверняка знаете таких людей – «ходячих блокираторов».

Узкие места могут возникать в самых странных ситуациях. Только в 2009 году, по некоторым подсчетам, в США было украдено более 143 миллионов элементов персональных данных (номеров кредитных карт, карт социального страхования и т. д.){90}. Это большая проблема для потребителей, однако представьте себе, с каким проблемами сталкиваются при этом преступники.

Предложение украденных номеров кредитных карт резко возросло, и конкуренция между плохими парнями заставила упасть цены на каждый украденный номер. Они снизились до одного доллара (при этом помимо самого номера карты в комплект входит код CVV2 и индекс для адреса, на который отправляются счета){91}. Более «уважаемые» дилеры украденных номеров даже предлагают круглосуточную службу поддержки потребителей. Если номер кредитной карты не работает, они предоставляют на замену новый всего за несколько часов (и мы сейчас не шутим). Обратите внимание, насколько убедительными кажутся условия обслуживания этих, скажем так, предпринимателей{92}.

Попробуйте, прежде чем покупать (цитата из рекламного объявления в сети): «Если хотите проверить, купите один номер. Если с CVV все в порядке, можете купить у меня еще».

Скидки за объем покупки – зачем покупать один украденный номер, когда вы можете получить 30? Порадуйте себя: «Если вы захотите купить больше 30 номеров, я предложу вам отличную цену».

Отсутствие оплаты в кредит (что в данных условиях выглядит несколько несправедливым): «CVV будет отправлен вам после получения платежа».

И, наконец, приверженность качеству и ориентация на клиентов: «Мы меняем плохие CVV. Гарантия 24 часа. Все мои CVV проверены перед продажей. Не подходит – заменим!»

Обычно такие номера кредитных карт покупают представители организованных преступных групп. А вот теперь пришло время для непростого вопроса – каким образом можно превратить украденный номер кредитной карты в деньги без риска быть пойманным? И вот тут-то мы и натыкаемся на настоящее узкое место для мошенничества в области кредитных карт – на американских домохозяек.

Процесс работает следующим образом – плохие парни публикуют в сети объявления о возможности работы (иногда даже вывешивают баннеры на сайтах, где дают свои объявления о вакансиях агентства и компании). Они обнадеживают обещаниями типа «Заработайте до 100 тысяч долларов, работая на дому в свободное время». Что ж, это кажется вполне привлекательным. Люди реагируют на предложение и становятся «сотрудниками».

В течение недели к их домам начинают подъезжать грузовики с большими телевизорами, игровыми системами, ноутбуками и другой дорогостоящей электроникой, заказанной в интернет-магазинах с помощью украденных номеров кредитных карт. Работа этих «сотрудников» довольно проста – упаковать поступившие товары в коробки и отправить их по адресу склада, расположенного за пределами страны.

Такая схема мошенничества носит название «переупаковка», и довольно часто домохозяйки (называемые на преступном жаргоне «мулами») даже и не знают, что занимаются чем-то противозаконным – до тех пор пока через несколько месяцев агенты ФБР не начинают штурмовать их дома{93}.

Процесс монетизации украденного номера кредитной карты ограничен поиском достаточного количества «мулов», то есть временем, за которое преступники смогут подключить к работе ни о чем не подозревающих подмастерьев. Это и есть узкое место.

Основная доля усилий в цепочке поставок украденных номеров кредиток концентрируется на найме сотрудников. Это большой и серьезный бизнес. Киберпреступники обращаются к сайтам знакомств и объявлений или отправляются на форумы любителей тех или иных хобби – то есть в любые места, где они могут завязать нужные связи. Для того чтобы понять динамику развития отношений в этой области, мы бы хотели пригласить вас в странный мир CAPTCHA[29].

Возможно, само это название вам и незнакомо, но если вы пользуетесь интернетом, то наверняка их видели. CAPTCHA – написанные нарочито нечетким шрифтом слова, которые нужно впечатать в специальное поле на сайте перед тем, как купить билет на бейсбольный матч или открыть новый аккаунт электронной почты. Это своеобразный тест, позволяющий ответить на вопрос о том, кто общается с сайтом – человек или компьютер.

В современном виде CAPTCHA стал плодом размышлений Луиса фон Ана, специалиста по компьютерным технологиям из Университета Карнеги – Меллон{94}. CAPTCHA были интегрированы почти в каждый значимый сайт, в том числе Google, Yahoo и Ticketmaster. Возможно, вы удивляетесь – какой цели служат эти невероятно раздражающие, иногда совершенно неразборчивые слова. Порой человеку сложно их прочитать, однако для компьютера задача прочитать хорошие CAPTCHA оказывается просто не под силу.

До появления CAPTCHA киберпреступники создавали автоматизированные инструменты, позволяющие за несколько секунд перебрать тысячи различных паролей для вашего сайта или другого закрытого источника. После появления CAPTCHA процесс застопорился. Созданные преступниками роботы доходили до раздела сайта, где им нужно было догадаться, какое слово зашифровано в поле, а затем сдавались.

CAPTCHA менял правила игры для сайтов, изнемогавших от засилья спама или роботов, перебиравших пароли. Но давайте еще раз посмотрим на ситуацию с точки зрения киберпреступника. Очевидно, что CAPTCHA стал слишком узким местом.

Организованные преступные группы, работающие в интернете, инвестировали много времени и сил в написание инструментов для рекламы своих предложений и взлома аккаунтов. Им совершенно не нравилось видеть, что все эти усилия были потрачены зря и что они теряют доходы (особенно обидным было то, что причиной этого послужило несколько букв, написанных почерком пьяного любителя американских горок). И здесь мы можем видеть, насколько творческими могут оказаться усилия хорошо мотивированной группы по преодолению узких мест.

Первые попытки преодолеть CAPTCHA были исключительно технологическими. Плохие парни создали целый ряд программных инструментов для специальных целей, связанных с оптическим распознаванием (OCR) и помогающих компьютерам читать символы CAPTCHA{95}. В некоторых случаях эти инструменты давали хорошие результаты, что заставило авторов CAPTCHA делать буквы еще менее читаемыми.

Следующий подход ко взлому CAPTCHA состоял в том, чтобы платить людям в странах с низкими доходами за разгадку зашифрованных надписей{96}. За сотую долю цента нанимался человек, который внимательно смотрел, что именно написано на экране – Cat, Car или Let. Этот подход работал, однако оплата за каждую разгаданную надпись постепенно оказывалась слишком высокой. Представьте себе, что вы пытаетесь подобрать пароль к компьютеру другого человека. В некоторых случаях придется перебрать сотню тысяч различных комбинаций в поисках нужной вам. Даже если вы заплатите за эту работу десять долларов – не лучше ли купить за те же деньги десять украденных номеров кредиток?

А затем наконец наступил прорыв. Мошенники смогли использовать в своих интересах самую мощную силу в интернете. Именно эта сила заставила браузеры обновиться и начать показывать пользователям картинки. Именно этот джаггернаут[30] позволил формату VHS одержать победу над Betamax. Это отрасль размером в миллиард долларов, породившая некоторые из самых прорывных достижений в технологии и производстве видео. Мы говорим о порнографии.

Банды киберпреступников начали создавать сайты с порнографией{97}. Сами сайты были бесплатными – не нужно было ни регистрироваться, ни становиться членами сообщества. Все, что требовалось, – ввести несколько CAPTCHA, для того чтобы увидеть следующее изображение или видео. Схема была простой и гениальной. CAPTCHA брались с тех самых сайтов, которые преступники жаждали взломать. Как только их робот наталкивался на узкое место, связанное с CAPTCHA, он брал картинку с непонятным словом и размещал ее на заставке своего порносайта. На некоторых из этих сайтов даже существовало подобие контроля качества – они брали одну и ту же картинку CAPTCHA и показывали ее пяти различным охотникам за порно. Ответ считался правильным только тогда, когда все пять людей давали один и тот же ответ. По некоторым расчетам, на пике борьбы между порно и CAPTCHA за каждую пару минут ничего не подозревавшие и отлично мотивированные пользователи порносайтов решали до нескольких тысяч CAPTCHA. Такое решение позволило преодолеть узкое место. Причем оно актуально и сейчас – вне зависимости от того, насколько сложную CAPTCHA вы сделали, всегда найдется достаточно мотивированный человек, желающий бесплатно разгадать ее содержимое.