Оригинал статьи:
Josie Thaddeus-Johns. How and Why Galleries Are Getting Hacked // Artsy
https://www.artsy.net/article/artsy-editorial-galleries-hacked
В январе 2020 года нидерландский музей Rijksmuseum Twenthe (Enschede) находился на грани покупки картины 1824 года Джона Констебля у лондонского дилера Саймона Дикинсона. Однако в середине переговоров что-то пошло не так: хакерам удалось убедить музей перевести деньги на другой банковский счет.
Галерея Дикинсона — не единственная, пострадавшая от мошенничества такого рода. В 2017 году галерея Лауры Бартлетт была вынуждена закрыться из-за финансовых последствий аналогичной схемы. А ранее в этом году итальянская галерея T293 стала мишенью мошенников, которые обманом заставили немецкого коллекционера перевести более 30 тыс. долларов на их банковский счет вместо счета галереи. Что такого в мире искусства, что делает его такой заманчивой мишенью?
На самом деле, этот вид мошенничества широко распространен во всех отраслях, говорит Фионнуала Роджерс из Canvas Art Law: «Преступники нацелены на то, что они считают уязвимыми местами. Они всегда интересуются малым бизнесом, просто потому, что знают, что существующие там системы будут довольно простыми», — говорит Роджерс. Но, конечно, именно огромные суммы денег в этой сфере и каналы с низким уровнем безопасности, используемые для их передачи, делают мир искусства особенно привлекательным в качестве цели.
«В вашей сфере ценники так высоки, и так много делается на неформальной основе: электронная почта и обмен сообщениями в WhatsApp, — добавила Роджерс. — Это и открывает двери для различных видов мошенничества, некоторые из которых чрезвычайно трудно обнаружить». Она отметила, что галереи и коллекционеры обычно обмениваются счетами в формате PDF, и эти файлы очень редко защищены паролем. PDF-файлы могут быть перехвачены хакером, который затем может изменить банковские реквизиты на свои собственные. «Это действительно обычное дело», — сказала она. Этот тип мошенничества также создает проблемы, когда дело доходит до назначения виновника: «В одном случае банки ничего не стали предпринимать, сказав "Ну, ни одна из сторон не допустила ошибки"».
Хакерские атаки, используемые для нападения на мир искусства, называют по-разному, но вообще это похоже на "компрометацию деловой электронной почты", при которой учетная запись взламывается, а затем используется, чтобы выдать себя за человека, имеющего право запрашивать платеж, что и делается преступником как можно скорее. В недавнем заявлении ФБР назвало такой тип преступлений «аферой на 43 миллиарда долларов» — общая сумма, потерянная в результате 241 206 внутренних и международных инцидентов, о которых было сообщено агентству в период с июня 2016 года по декабрь 2021 года. «Некоторые из них выглядят действительно законными, — сказал П. Дж. Рохолл, соучредитель ресурса по борьбе с мошенничеством About-Fraud.com, — многие жертвы потом ужасно стыдятся, осознавая, что они не должны были так легко повестись».
В финансовом отношении подобные преступления могут иметь огромные последствия. Rijksmuseum Twenthe, например, потерял более 3 миллионов долларов и стал судиться с галереей Дикинсона. Но, возможно, именно из-за громких дел и возникает ощущение, что эту проблему необходимо решать, говорит Морин Брей, исполнительный директор Американской ассоциации арт-дилеров (ADAA): «Кибербезопасность является насущной проблемой для галерей, коллекционеров и художников». Между тем, отчет Hiscox Online Art Trade Report за 2021 год показал, что все растущее число галерей обеспокоены киберпреступностью: 48% заявили, что они «обеспокоены» или «очень обеспокоены» в 2021 году, по сравнению с 22% в 2019 году. Это связано с тем, насколько галеристы оценивают свою уязвимость, ведь COVID-19 привел к всплеску онлайн-транзакций в мире искусства.
Пока неясно, меняются ли привычки в сфере искусства, чтобы не отставать от безопасных методов, использующихся за пределами этого мирка. Индустрия искусства по-прежнему сильно отстает от других рынков предметов роскоши, где платежи обычно происходят на специализированных онлайн-платформах, обеспечивающих безопасность транзакций.
Майкл Уилкинс, старший директор по доверию и безопасности Turo, стартапа по совместному использованию автомобилей, объяснил, что высокая стоимость делает его компанию заметной мишенью для мошенников. На Turo все платежи должны производиться на системе онлайн-платформы, чтобы поддерживать протоколы безопасности. «Адреса электронной почты можно подделывать, — сказал он. — И поэтому, уходя с платформы, которая защищена различными процедурами и системами проверки, вы можете столкнуться с определенными схемами, которые существуют в мире. Если вы остаетесь на платформе, вы знаете, что работаете в надежной и безопасной среде».
Кевин Ли, вице-президент по цифровому доверию и безопасности в Sift, которая производит инструменты для предотвращения мошенничества, повторил это заявление. «Электронная почта — одно из худших мест для хранения личной информации, — сказал Ли. — Письма не анонимизированы и не зашифрованы каким-либо образом». Это основная причина, по которой многие отрасли перешли от транзакций по электронной почте к покупке и продаже на платформе электронной коммерции ( e-commerce platform). «Транзакции по электронной почте становятся все менее и менее распространенными во всей электронной торговле. Главным образом потому, что многие продавцы предпочитают переходит на формат "корзины для покупок", где вы можете оформить заказ и ввести данные своей кредитной карты». С точки зрения безопасности все это анонимно», — говорит Ли.
В свою очередь, ADAA предупреждает, что не только электронные письма, но и учетные записи галерей в социальных сетях все чаще становятся целью хакеров, что особенно важно, учитывая, что Instagram стал торговой платформой для некоторых галерей.
Во всех этих случаях есть несколько основных шагов, которые можно предпринять для предотвращения мошенничества. «ADAA призывает галереи проявлять бдительность в отношении внедрения двухфакторной аутентификации, проверки всех электронных писем от неизвестных отправителей и защиты учетных данных для входа», — дополняет Брей. Роджерс добавляет, что галереи могут потребовать от клиентов подтверждения новых банковских реквизитов в счетах по телефону, что является стандартом в более жестко регулируемых областях, например юриспруденция и недвижимость. «Юридическая фирма всегда будет это делать», — сказала она.
По мере того, как галереи переходят к продажам на блокчейне и NFT, в игру вступает новый набор факторов безопасности. «Если вы упаковываете произведение искусства, на его доставку по всему миру уйдут дни или недели. NFT довольно мгновенны с точки зрения передачи права собственности. Таким образом, скорость и стоимость некоторых из этих вещей могут быть довольно высокими, поэтому потери могут накапливаться довольно быстро», — сказал Ли.
Действительно, в последние несколько месяцев произошли громкие взломы NFT. Многие из которых осуществляются с помощью фишинговых атак, когда владельцы учетных записей обманом выдают пароли или защищенную информацию.
В конечном счете люди являются самой большой слабостью безопасности во всех системах. И мошенники полагаются на участие человека, чтобы проникнуть внутрь. «Общий тезис заключается в том, что гораздо экономичнее и лучше инвестировать средства в то, чтобы "взломать" человека, а не тратить массу времени, пытаясь проникнуть за брандмауэры, — сказал Рохолл. — Человеческий разум очень восприимчив»