книги хакеры / Искусство_обмана_Социальная_инженерия_в_мошеннических_схемах

понять, что этот водитель не оценит доброго поступка.

У меня в голове проносились гневные тирады по поводу того, как тот хам не достоин дышать воздухом и топтать землю. Позже, когда пробка рассосалась и впереди замаячили четыре свободные полосы, я только и думал о том, как вдавлю педаль газа в пол и обгоню этого грубияна — одним словом, покажу, кто хозяин этой дороги.

Сказано — сделано: я ударил по газам, и мой шестицилиндровый супернавороченный спорткар рванул вперед. Когда я поравнялся с машиной невежливого водителя, то не смог удержаться и заглянул к нему в окно. И тут я увидел, что у этого человека… нет одной руки. Мой гнев за долю секунды превратился в смирение. Я улыбнулся и помахал водителю.

Зачем я делюсь этой историей позора? Чтобы показать, какую ярость ощущает человек, которому кажется, будто другой не выполняет своих обязательств перед ним. Лишь когда я узнал, что у водителя была более чем уважительная причина не посылать мне благодарственных жестов, я понял, как ошибся в своих суждениях.

Вспомните об этом, когда в следующий раз будете разговаривать с кемнибудь. Скажем, вам зададут хороший вопрос — а вы проигнорируйте его, не отвечайте. Просто смотрите на человека как ни в чем не бывало. Вас наверняка спросят, все ли с вами в порядке — а вы скажите «Ага»… и все равно не отвечайте.

Обязательства имеют для нас огромное значение, особенно когда речь заходит о социальных нормах. Круг обязательств схематически изображен на илл. 6.2.

Как социальный инженер, вы должны учитывать ожидаемые реакции и обыгрывать их. Если же вы этого не сделаете, то снизите собственные шансы на установление раппорта, потому что объект задумается о причинах вашего «ненормального» поведения.

без пропуска.

И такой сценарий помогал мне не раз. Но однажды случилась осечка. Одна из сотрудниц компании, к моему удивлению, ответила: «В каком кармане? В этом?» — и потянулась за пропуском.

Я попытался выйти из ситуации, сделав ее еще более неловкой: «Вообще-то я не помню точно, в каком именно. Попробуйте оба». Я надеялся, что ее это остановит. Но нет! Она спокойно запустила руку мне в карман — и тут уже неловко стало мне!

Не найдя в одном кармане ничего, кроме ключей, она сказала: «Так, тут нет. Давайте другой!» Но и там лежали только нож и портмоне. Она внимательно посмотрела на меня и спросила: «Может, в бумажник положили?»

Я ответил: «Да, наверное», хотя, конечно же, знал, что и там она ничего не найдет. Женщина открыла бумажник и увидела младенческую фотографию моей дочки. «Какая милашка! Как ее зовут?» — тут же спросила она.

Мы еще 15 минут говорили о моей семье (и все это время она держала мой кошелек, нож и ключи, а я не выпускал из рук дурацкую тяжеленную коробку). Потом она разложила все мои вещи обратно по карманам и заботливо сказала: «Вам стоило бы сообщить о том, что потеряли пропуск, а то накликаете неприятности. Увидимся в офисе!» На этой благостной ноте мы и расстались. Между нами установился раппорт и дружеская связь, поэтому женщина почувствовала себя в некотором смысле обязанной мне доверять.

Так что, дорогой читатель, запомните: обязательство — мощный принцип социального взаимодействия, способный существенным образом облегчить жизнь социального инженера.

Третий принцип: уступки

Оксфордский словарь английского языка дает следующее определение глаголу «уступать»: «Признавать или соглашаться с истинностью чеголибо после противостояния или отрицания этого».

Само определение влияния предполагает, что, если человек считает идею своей, она наверняка будет казаться ему отличной. И именно уступки помогают внушить объекту воздействия мысль, что совершить нужное вам действие — это «его идея».

Уступки на практике

следующему сценарию.

Звонит телефон. В трубке — женский голос: Доброе утро, мистер Хэднеги. Меня зовут Керри, я представляю людей, неравнодушных к судьбе животных Монтроуза. Как поживает ваша собака?

Я [отвечая, я понимаю: этим вопросом она заставляет меня почувствовать, что проблема касается и меня; начинаю улыбаться и думаю: «Боже, как же остановиться»]: У нее все прекрасно. Хотя годы, конечно, идут.

Женщина: Очень рада слышать, что у нее все в порядке. И приятно разговаривать с человеком, который тоже неравнодушен к животным. Сегодня нам всем нужно объединить усилия, поэтому мы и просим вас о помощи. Как вы наверняка знаете, наша организация занимается спасением бездомных животных в нашем регионе. Мы хотим, чтобы для каждого животного нашелся дом и такой же любящий хозяин, как и у вашей собаки. Скажите, можете ли вы помочь нам в этом деле?

Я [уже чувствую приближение главного вопроса]: Ну, животных-то я действительно люблю. Как вы предлагаете вам помочь?

Женщина [говорит четко и решительно]: Нам необходима финансовая помощь, и многие неравнодушные люди помогают приюту, перечисляя $250 на нужды животных.

Я [чувствую себя сильным человеком, потому что могу просто взять и отказать]: $250?! Нет, извините, столько я пожертвовать не могу. Я бы с радостью, но такой суммы у меня сейчас просто нет.

Женщина: Понимаю. Сейчас в стране не самые легкие времена, и это действительно крупная сумма. Может быть, в таком случае вы хотели бы пожертвовать $25?

Ия, недолго думая, тут же потянулся за кредиткой. Понимаете, что произошло? Я трижды согласился (можно сказать, уступил):

·Подтвердил, что люблю животных.

·Выразил желание помочь.

·Сказал, что помог бы, но такой суммы у меня нет.

Икогда мне предложили альтернативный вариант, я уже не мог отказаться. А что бы произошло, назови представительница общества сразу $25? Скорее всего, объем перечисленных в итоге пожертвований был бы значительно меньше. Однако сразу завысив предполагаемую сумму, она обеспечила организации повышение суммы реально сделанных взносов.

пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы у вас и в будущем не было проблем. Это займет не больше минуты.

Объект: Ладно. Какая информация вам нужна?

Я: Ваше полное имя, идентификационный номер сотрудника и номер социального страхования.

Объект: Эммм… вообще-то такую информацию разглашать не рекомендуется. Напомните, пожалуйста, ваше имя. Я проверю.

Разумеется, продолжения у этого разговора не было. Подобный тупиковый сценарий повторялся снова и снова — казалось бы, эпический провал. Тогда я решил сделать паузу, чтобы спокойно поразмышлять о принципах влияния, а затем внес в легенду всего одно изменение. Приведенный ниже разговор продолжался сразу после того, как объект воздействия сообщал мне, что утром без проблем прошел КПП.

Объект: Проблем не было, пропуск сработал, я прошел на работу как обычно.

Я: Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы и в будущем у вас не было пробоем. Это займет не больше минуты.

Объект: Ладно. Какая информация вам нужна?

Я: Нужно проверить, правильно ли написано ваше имя. В базе записано С-Э-Л-Л-И, верно?

Объект: Нет, здесь ошибка. Мое имя пишется через «А», а не через «Э».

Я: О, значит, все-таки не зря я вам позвонил. Тогда продиктуйте, пожалуйста, по буквам, как пишется ваша фамилия.

После этого я спрашивал, в каком отделении объект воздействия работал, проверял электронный адрес — и к моменту, когда мы добирались до идентификационного номера сотрудника и номера социального страхования, человек, уже сделавший столько уступок, соглашался рассказать и это. После изменения легенды в среднем 84% звонков заканчивались успехом.

Социальному инженеру не стоит торопиться в процессе сбора информации. Пусть объект воздействия сообщит вам сначала менее значимые данные, а после этого у него появятся чувства, которые заставят его идти на уступки и подчиняться.

Четвертый принцип: дефицит

«На всей земле осталось всего 10 экземпляров!»

Почему такие слоганы помогают продавать? Субъективная ценность предмета, который кажется нам дефицитным или недоступным, быстро растет. Например, насколько ценен для нас один кекс из упаковки, где их целых 20? И как изменится его субъективная ценность, если окажется, что остальные 19 кексов уже съедены?

Дефицит на практике

Пока мы готовились к одной из конференций DEF CON, я придумал новые нюансы социально-инженерной игры «Захват флага». Детям нужно было решать загадки. Выигравший подходил к большой коробке в дальнем конце комнаты и просовывал в нее трубку. В коробке сидел «снайпер» с игрушечным автоматом и стрелял в остальных игроков через трубку мягкими пульками. Тот, в кого он попадал, должен был выйти из комнаты и начать заново.

ЗАНИМАТЕЛЬНЫЙ ФАКТ

Соревнование прошло на ура. А если вам захочется узнать, как вышло, что победила команда детей, уделав даже нас, взрослых, то вам придется спрашивать меня об этом лично.

В качестве оружия я выбрал игрушечный автомат модели Nerf CS6 Long Shot. Вскоре компания Nerf объявила о прекращении производства этой игрушки. А пришедшая на смену ей новая модель многим показалась хуже.

Дома у меня такая игрушка была, и вторая в хозяйстве вряд ли пригодилась бы, так что я решил продать ее на eBay за $99 — без наценки, по той же цене, что недавно купил. В первый день предложенная цена за нее достигла $199, потом 250, потом 299, потом 340. Под конец торгов она поднялась до $410! Еще раз: $410 за пластиковую игрушку, которая стреляет мягкими пульками на расстояние до 15 метров! (Конечно, у нее есть оптический прицел и четыре съемные насадки — но все же…)

Да за $410 можно купить настоящее оружие! Что же может заставить человека выложить столько денег за кусок пластика? Дефицит. Эта модель больше не выпускалась, а потому стала уникальной и ее ценность взлетела до небес.

Многие компании используют ограничение товаров, еды, лекарств, времени, драгоценностей — да чего угодно! — для повышения стоимости своего продукта в глазах покупателя. На илл. 6.4 изображен континуум дефицита.

источников о гендиректоре компании. Он рассказывал в соцсетях о том, как провел свой первый за три года отпуск: вместе с семьей отправился на Багамы. Директор опубликовал фотографии сборов, поездки в аэропорт, посадки, ожидания взлета в салоне самолета. Под одним из снимков красовалась подпись: «Наконец-то! Две недели в раю!».

Вооружившись этими знаниями, а также информацией о компании, которая осуществляла IT-поддержку его организации (ее мы получили благодаря исследованию содержания мусорных баков), я прошел через входные двери в здание и направился прямо к Джейн, вахтерше. Между нами состоялся примерно следующий диалог:

на ближайший месяц.

Джейн [задумалась, смотрит на меня]: Он ведь действительно жаловался, что компьютер в последнее время тормозит. Честно говоря, не хочется мне встречать его с новостями о том, что придется ждать еще так долго... Ладно, проходите.

Так я попал в офис гендиректора, где никто за моими дальнейшими действиями не следил. Безопасность компании была подорвана.

Вымышленный дефицит времени позволил мне создать необходимость действовать здесь и сейчас. Именно ощущение дефицита заставило Джейн думать, будто ее отказ сейчас спровоцирует возникновение еще большей проблемы в будущем. А в результате под угрозой оказалась секретная информация компании.

Социальные инженеры могут создавать у объектов воздействия страх перед нехваткой времени, информации, товаров — всего того, что вы придумаете в рамках легенды. Дефицитность вашего предложения придает ему ценность, и это позволяет влиять на решения, которые принимают объекты.

СОВЕТ ПРОФИ Меня часто спрашивают: «Скольких людей из-за вас уволили?»

Но я, будучи профессионалом, всегда подчеркиваю, что результаты моей работы должны использоваться для повышения осведомленности, а не для поисков кандидатов на увольнение. Исключение составляют случаи, когда в ходе операции вскрываются нарушения закона или сознательные попытки какого-то сотрудника навредить компании. Так что я с гордостью заявляю: людей, поверивших моим легендам, увольняют очень редко и в основном за дело.

Пятый принцип: авторитет

Мы склонны прислушиваться к мнению авторитетных людей. Например:

·Если врач в белом халате попросит вас снять штаны, вы, скорее всего, так и сделаете.

·Если родитель, учитель или начальник скажет: «Не трогайте это!», вы послушаетесь.

·Если старший по званию или командир прикажет: «Упал-отжался 20 раз!», вы уж точно сделаете, что сказано.

Всех этих людей объединяет лишь одно: вы признаёте их авторитет. Но по каким признакам он определяется? Зайдя в комнату, полную незнакомых людей, сможете ли вы понять, кто из них авторитетнее?

Посмотрите на два снимка Бена, изображенных на илл. 6.5 и 6.6. Как думаете, на каком из них Бен выглядит более авторитетным? Почему?

демонстрирует на илл. 6.6. На обеих фотографиях он одет и причесан одинаково, возраст его не меняется: это один и тот же человек. Но на илл. 6.6 у него правильная осанка, сложены руки, поднят подбородок, а на лице не заметно ни единого признака страха. Все позволяет сделать вывод, что перед нами уверенный в себе человек. А уверенность в себе автоматически заставляет нас ощущать авторитетность. На самом деле, когда я предлагаю своим ученикам перечислить самые показательные, на их взгляд, признаки авторитетности, они называют уверенность, громкий голос, грудь колесом, поднятый подбородок, опрятную одежду, прямолинейность и т.п.

Как чья-то авторитетность влияет на наше поведение? Мы начинаем доверять авторитетному человеку и не требуем доказательств того, что должны ему подчиняться.