То, что фонды высокого полета, с высокой репутацией, как правило, со временем возвращаются на землю, иллюстрирует явление, называемое «регрессией к среднему значению». Акции, продавцы, группы, команды, спортсмены и пр., показавшие наилучшие результаты в течение любого определенного периода времени, в среднем будут демонстрировать ухудшение в течение следующего периода. Это происходит потому, что высокие показатели могут быть результатом не только присущих им устойчивых качеств (менеджмент, талант, мастерство), но и относительно случайных факторов, которые не принесут им такой большой пользы, если вообще принесут, в будущем. Успех во многом зависит от того, чтобы оказаться в нужном месте в нужное время, поэтому все, что нам кажется знакомым, вероятно, не так хорошо по своей сути, ценно или достойно подражания, как мы можем думать. Оборотная сторона, конечно, заключается в том, что любые стоящие вещи в настоящее время непопулярны только из-за случайности, и при ближайшем рассмотрении среди них могут обнаружиться необработанные драгоценные камни.
Точно так же, как рейтинги могут быть ненадежными, источники, пользующиеся высоким доверием, могут вводить в заблуждение.
Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) является заслуживающим доверия источником подтверждения в сфере медицины – настолько известным, что многие люди не осознают, что существуют критические нюансы и различия в том, что на самом деле означает «одобрение FDA». Лекарства, включая вакцины, проходят несколько этапов тщательных клинических испытаний, которые оценивают, имеют ли они вредные побочные эффекты и приносят ли пользу с медицинской точки зрения по сравнению с лечением плацебо.
Но для программного обеспечения или устройств терапевтического назначения одобрение FDA может означать только то, что продукт не наносит большого вреда и потенциально может помочь. Таким образом, товар может получить одобрение FDA, даже если нет убедительных доказательств того, что он приносит реальную практическую пользу. Компьютеризированная игра для тренировки мозга, например, могла бы получить одобрение в качестве терапии, и ее производитель, естественно, указал бы «одобрено FDA» в рекламе. При этом клиенты и инвесторы могут ошибочно предположить, что игра прошла тот уровень проверки, который требуется для лекарств и вакцин, и что она показала достаточный уровень доказанной пользы [24].
ТОЧНО ТАК ЖЕ, КАК РЕЙТИНГИ МОГУТ БЫТЬ НЕНАДЕЖНЫМИ, ИСТОЧНИКИ, ПОЛЬЗУЮЩИЕСЯ ВЫСОКИМ ДОВЕРИЕМ, МОГУТВ ВОДИТЬ В ЗАБЛУЖДЕНИЕ.
ФИШИНГ
В нашу эпоху информационной перегрузки мошенникам проще, чем когда-либо, воспользоваться нашей зависимостью от знакомого. 19 марта 2016 года председатель президентской кампании Хиллари Клинтон Джон Подеста получил зловещее электронное письмо. Под красным баннером с надписью «Кто-то заполучил ваш пароль» была короткая заметка, начинающаяся словами «Привет, Джон», которая предупреждала его о том, что кто-то в Украине взломал его пароль от Google, и призывала его нажать на синее поле «Изменить пароль». Согласно информации агентства AP News, глава штаба Подесты переслал сообщение сотрудникам технической поддержки кампании, которые прислали правильную ссылку для сброса пароля и посоветовали Подесте включить двухфакторную аутентификацию (чтобы ему нужно было в дополнение к паролю вводить одноразовый код каждый раз, когда он будет входить в систему). Хотя электронное письмо «Привет, Джон» содержало некоторые признаки подлинности, оно пришло не от Google, а с домена myaccount.google.com-securitysettingpage.tk (tk в конце адреса означало, что оно отправлено с территории Новой Зеландии). Это была попытка фишинга, направленная на то, чтобы украсть пароль Подесты, заставив его ввести свой текущий пароль при попытке установить новый [25].
Использование в поддельном адресе сайта элементов реального – распространенная тактика, потому что многие люди не понимают, что он может быть с другого домена, если ссылка заканчивается неправильно. Мы также можем не распознать поддельный адрес, если не прочитаем все буквы и знаки препинания достаточно внимательно, чтобы заметить аномалии. Неясно, перешел ли Подеста по ссылке и сообщил ли хакерам свой пароль. Однако доступ к его электронным письмам был получен, и его переписка была размещена на WikiLeaks всего за несколько недель до выборов 2016 года. Утечка, которую большинство расследований связывают с российскими хакерами, перенаправила внимание со страданий Дональда Трампа на споры по поводу электронной почты Клинтон и ее использования частного сервера, и это могло повлиять на исход выборов в критически важных штатах.
Термин «фишинг» означает отправку сообщений, направленных на то, чтобы заставить людей предоставить личную информацию, такую как пароли и номера учетных записей. Как и в случае обычной рыбной ловли на крючок и леску, идея заключается в том, что достаточное количество людей в море пользователей клюнет на приманку. Истоки этой формы социального взлома можно проследить с первых дней широкого использования электронной почты в середине 1990-х годов. В ту эпоху хакеры использовали фишинг и другие технологии для кражи информации об учетной записи America Online. Случай с Подестой, вероятно, является примером «точечного фишинга», который относится к фишинговой атаке, направленной на конкретную цель [26].
Фишинг может быть наиболее распространенной формой мошенничества с помощью социальной инженерии отчасти потому, что относительно легко имитировать стиль и содержание целого класса полезных автоматических сообщений, которые мы получаем регулярно: запросы на сброс пароля, уведомления о доставке и подтверждения подписки. В 2022 году бывший сотрудник издательства Simon & Schuster был арестован за то, что выдавал себя за издателя или литературного агента, чтобы заставить ничего не подозревающих авторов и редакторов отправлять ему свои неопубликованные рукописи. Поскольку его запросы и сопровождающие их веб-ссылки выглядели так, как люди могли бы ожидать от агента или издателя (он заменил m на rn, чтобы получилось @penguinrandornhouse – почти точная копия адреса известного издательского дома), ведущие авторы и знаменитости, включая Маргарет Этвуд и Итана Хоука, попались на его удочку. Фишинговые атаки основаны на этом чувстве знакомости и нашей склонности быстро реагировать, чтобы разобраться с потоком сообщений. Мы не совершенны в обнаружении отклонений от того, что ожидаем увидеть, – мы не останавливаемся и не играем в «Найди 10 отличий» при прочтении каждого сообщения [27].
Фишинговые электронные письма – это первый шаг в сложной и дорогостоящей форме мошенничества, известной как компрометация деловой электронной почты. Аферисты используют украденные пароли сотрудников для сбора внутренней информации о том, как работает компания, пока у них не наберется достаточно материала, чтобы начать подделывать счета-фактуры и красть реальные деньги. И хотя тактика фишинга проста, она на удивление эффективна. Из 2,9 миллиона электронных писем, отправленных сотрудникам нескольких крупных медицинских