Чтение онлайн

Самое главное во всех этих процессах – концепция поиска постепенных решений, применяемых до тех пор, пока для вас не станет оправданным новый шаг, связанный с приобретением собственных ресурсов. Вы не можете позволить себе взять на работу нового сотрудника? Укрепите отношения с подрядчиком и поручите ему часть работы. Не можете заплатить всю сумму за тарифный план, дающий вам две тысячи минут? Купите семейный план и распределите расходы по нему между несколькими людьми. Выявление ступенчатых функций, их сглаживание и планирование действий в отношении тех, где сглаживание невозможно, вполне может помочь вашему бизнесу (и вашей жизни) течь подобно Ниагаре. Однако это происходит, лишь пока вы не сталкиваетесь с узким местом.

Узкое место – это часть системы, которая ломается первой и замедляет работу всех остальных компонентов. Неспособность выявить узкое место может привести к тому, что поток упрется в неожиданный затор и это приведет к замедлению или даже остановке работы всей системы. Примерно то же происходит, когда вы включаете в одну розетку слишком много электрических

приборов.

Зачастую плато возникают из-за того, что мы не знаем, когда и где возникнут узкие места. К примеру, неопытные менеджеры часто оказываются на плато, поскольку сами становятся узким местом. Они занимаются микроменеджментом, внимательно изучают каждое крошечное решение и заставляют других людей ждать, пока они не разберутся. Их работа тормозится их собственной потребностью в том, чтобы все рассмотреть, изучить и переварить. Вы наверняка знаете таких людей – «ходячих блокираторов».

Узкие места могут возникать в самых странных ситуациях. Только в 2009 году, по некоторым подсчетам, в США было украдено более 143 миллионов элементов персональных данных (номеров кредитных карт, карт социального страхования и т. д.) {90} . Это большая проблема для потребителей, однако представьте себе, с каким проблемами сталкиваются при этом преступники.

Предложение украденных номеров кредитных карт резко возросло, и конкуренция между плохими парнями заставила упасть цены на каждый украденный номер. Они снизились до одного доллара (при этом помимо самого номера карты в комплект входит код CVV2 и индекс для адреса, на который отправляются счета) {91} . Более «уважаемые» дилеры украденных номеров даже предлагают круглосуточную службу поддержки потребителей. Если номер кредитной карты не работает, они предоставляют на замену новый всего за несколько часов (и мы сейчас не шутим). Обратите внимание, насколько убедительными кажутся условия обслуживания этих, скажем так, предпринимателей {92} .

Попробуйте, прежде чем покупать (цитата из рекламного объявления в сети): «Если хотите проверить, купите один номер. Если с CVV все в порядке, можете купить у меня еще».

Скидки за объем покупки – зачем покупать один украденный номер, когда вы можете получить 30? Порадуйте себя: «Если вы захотите купить больше 30 номеров, я предложу вам отличную цену».

Отсутствие оплаты в кредит (что в данных условиях выглядит несколько несправедливым): «CVV будет отправлен вам после получения платежа».

И, наконец, приверженность качеству и ориентация на клиентов: «Мы меняем плохие CVV. Гарантия 24 часа. Все мои CVV проверены перед продажей. Не подходит – заменим!»

Обычно такие номера кредитных карт покупают представители организованных преступных групп. А вот теперь пришло время для непростого вопроса – каким образом можно превратить украденный номер кредитной карты в деньги без риска быть пойманным? И вот тут-то мы и натыкаемся на настоящее узкое место для мошенничества в области кредитных карт – на американских домохозяек.

Процесс работает следующим образом – плохие парни публикуют в сети объявления о возможности работы (иногда даже вывешивают баннеры на сайтах, где дают свои объявления о вакансиях агентства и компании). Они обнадеживают обещаниями типа «Заработайте до 100 тысяч долларов, работая на дому в свободное время». Что ж, это кажется вполне привлекательным. Люди реагируют на предложение и становятся «сотрудниками».

В течение недели к их домам начинают подъезжать грузовики с большими телевизорами, игровыми системами, ноутбуками и другой дорогостоящей электроникой, заказанной в интернет-магазинах с помощью украденных номеров кредитных карт. Работа этих «сотрудников» довольно проста – упаковать поступившие товары в коробки и отправить их по адресу склада, расположенного за пределами страны.

Такая схема мошенничества носит название «переупаковка», и довольно часто домохозяйки (называемые на преступном жаргоне «мулами») даже и не знают, что занимаются чем-то противозаконным – до тех пор пока через несколько месяцев агенты ФБР не начинают штурмовать их дома {93} .

Процесс монетизации украденного номера кредитной карты ограничен поиском достаточного количества «мулов», то есть

временем, за которое преступники смогут подключить к работе ни о чем не подозревающих подмастерьев. Это и есть узкое место.

Основная доля усилий в цепочке поставок украденных номеров кредиток концентрируется на найме сотрудников. Это большой и серьезный бизнес. Киберпреступники обращаются к сайтам знакомств и объявлений или отправляются на форумы любителей тех или иных хобби – то есть в любые места, где они могут завязать нужные связи. Для того чтобы понять динамику развития отношений в этой области, мы бы хотели пригласить вас в странный мир CAPTCHA [29] .

Возможно, само это название вам и незнакомо, но если вы пользуетесь интернетом, то наверняка их видели. CAPTCHA – написанные нарочито нечетким шрифтом слова, которые нужно впечатать в специальное поле на сайте перед тем, как купить билет на бейсбольный матч или открыть новый аккаунт электронной почты. Это своеобразный тест, позволяющий ответить на вопрос о том, кто общается с сайтом – человек или компьютер.

В современном виде CAPTCHA стал плодом размышлений Луиса фон Ана, специалиста по компьютерным технологиям из Университета Карнеги – Меллон {94} . CAPTCHA были интегрированы почти в каждый значимый сайт, в том числе Google, Yahoo и Ticketmaster. Возможно, вы удивляетесь – какой цели служат эти невероятно раздражающие, иногда совершенно неразборчивые слова. Порой человеку сложно их прочитать, однако для компьютера задача прочитать хорошие CAPTCHA оказывается просто не под силу.

До появления CAPTCHA киберпреступники создавали автоматизированные инструменты, позволяющие за несколько секунд перебрать тысячи различных паролей для вашего сайта или другого закрытого источника. После появления CAPTCHA процесс застопорился. Созданные преступниками роботы доходили до раздела сайта, где им нужно было догадаться, какое слово зашифровано в поле, а затем сдавались.

CAPTCHA менял правила игры для сайтов, изнемогавших от засилья спама или роботов, перебиравших пароли. Но давайте еще раз посмотрим на ситуацию с точки зрения киберпреступника. Очевидно, что CAPTCHA стал слишком узким местом.

Организованные преступные группы, работающие в интернете, инвестировали много времени и сил в написание инструментов для рекламы своих предложений и взлома аккаунтов. Им совершенно не нравилось видеть, что все эти усилия были потрачены зря и что они теряют доходы (особенно обидным было то, что причиной этого послужило несколько букв, написанных почерком пьяного любителя американских горок). И здесь мы можем видеть, насколько творческими могут оказаться усилия хорошо мотивированной группы по преодолению узких мест.

Первые попытки преодолеть CAPTCHA были исключительно технологическими. Плохие парни создали целый ряд программных инструментов для специальных целей, связанных с оптическим распознаванием (OCR) и помогающих компьютерам читать символы CAPTCHA {95} . В некоторых случаях эти инструменты давали хорошие результаты, что заставило авторов CAPTCHA делать буквы еще менее читаемыми.

Следующий подход ко взлому CAPTCHA состоял в том, чтобы платить людям в странах с низкими доходами за разгадку зашифрованных надписей {96} . За сотую долю цента нанимался человек, который внимательно смотрел, что именно написано на экране – Cat, Car или Let. Этот подход работал, однако оплата за каждую разгаданную надпись постепенно оказывалась слишком высокой. Представьте себе, что вы пытаетесь подобрать пароль к компьютеру другого человека. В некоторых случаях придется перебрать сотню тысяч различных комбинаций в поисках нужной вам. Даже если вы заплатите за эту работу десять долларов – не лучше ли купить за те же деньги десять украденных номеров кредиток?