книги хакеры / Искусство_обмана_Социальная_инженерия_в_мошеннических_схемах

Стэнли Милгрэм. Еще в 1963 году он изучал аргументы, которые приводили в собственное оправдание обвиняемые на Нюрнбергском процессе. Чаще всего преступные действия оправдывались причиной: «Я выполнял приказ». Проанализировав материалы судебного процесса, Милгрэм написал статью «Подчинение: Исследование

поведения» (https://www.birdvilleschools.net/cms/lib/TX01000797/Centricity/ Domain/1013/AP%20Psychology/milgram.pdf).

Стэнли Милгрэма интересовало, возможно ли исключительно силой авторитета принудить нормальных законопослушных граждан совершить потенциально вредное для других или даже смертельно опасное действие. Конечно, такие исследования всегда имеют ряд серьезных ограничений. Как вообще посчитать, сколько людей подчинились или не подчинились бы авторитетной фигуре, которая приказала им навредить другому человеку?

На предложение участвовать в исследованиях доктора Милгрэма откликнулись совершенно разные люди. Чтобы результаты эксперимента были действительно объективными, участникам сказали, что между ними в случайном порядке распределят роли учащихся и учителей, хотя на самом деле все испытуемые выполняли роль учителя.

Они наблюдали, как «учеников» привязывали к стулу и прикрепляли им на кожу электроды. Затем озвучивались инструкции: за неправильные ответы на задания они должны будут ударять «учеников» током. На самом деле никакого тока не было и «ученики» только изображали боль от ударов.

«Учителей» (испытуемых) подводили к пульту с рычажками, каждый из которых соответствовал силе тока от 15 до 450 вольт с шагом в 15 вольт. Чтобы эксперимент казался максимально реалистичным, им даже давали попробовать на себе, как ощущается удар силой в 45 вольт.

Затем мужчина в белом халате (авторитетная фигура) садился поблизости и наблюдал за тем, как «учитель» задает вопросы. После каждого неправильного ответа «ученик» должен был получать все более сильные удары током в качестве наказания.

Если «учитель» начинал противиться, понимая, как плохо «ученику» от ударов током, мужчина в халате говорил следующее:

·«Эксперимент должен продолжаться. Пожалуйста, не останавливайтесь».

·«Серьезного повреждения тканей не происходит. Пожалуйста, продолжайте».

Звучит не слишком убедительно, правда? Тем не менее, по результатам исследования, до ударов в 450 вольт дошли 65% испытуемых!

рабочие люди. Не садисты-социопаты. Однако, как пишет Стэнли Милгрэм, 26 из 40 (65%) испытуемых продолжали увеличивать силу тока до тех пор, пока авторитетное лицо просило их об этом.

На илл. 6.7 механизм влияния авторитета изображен схематически.

Авторитет в работе социального инженера

У меня всегда возникают сложности с использованием прямого авторитета в своих легендах. В первую очередь это связано с отсутствием необходимых знаний — а значит, я рискую попасться.

Тем не менее для оказания влияния на объект воздействия бывает достаточно мнимого авторитета либо трансляции чужого авторитета. Готовясь к выполнению одного из заданий, я нашел в Сети приглашение на встречу с финансовым руководством компании, которая была целью атаки. Такую информацию вполне реально использовать в работе. Мы провели сбор данных из открытых источников по всем участникам мероприятия и выявили женщину, которая явно пользовалась авторитетом в этом коллективе. Она не просто производила такое впечатление своим поведением в социальных сетях и на популярных сайтах с рейтингами сотрудников, но также получила в нескольких отзывах статус «человека, на которого нелегко работать».

Тогда я сделал вот что. В списке контактов своего смартфона я изменил имя напарника на имя этой женщины (назовем ее Салли Смит), а ему сказал: «Когда увидишь, что я спорю с охранником, пришли мне такое СМС: “Где ты бродишь?! Мы уже 15 минут ждем только тебя! Немедленно приходи!”».

Взяв в руки стопку бумаг и папок, я быстро и уверенно направился в здание, всем своим видом показывая, что не собираюсь задерживаться

на посту охраны. Я знал, что меня остановят, потому что к безопасности в этой компании относились очень серьезно. Дальше ситуация развивалась следующим образом.

Охранник окликнул меня:

— Извините, сэр! Куда вы идете?! Остановитесь!

Я быстро обернулся к нему и удивленно спросил:

— Что такое? Разве вы не видели? Я буквально две минуты назад выходил отсюда, чтобы забрать из машины бумаги. Я спешу на встречу с финансовым руководством на 14-м этаже и уже опаздываю!

— Извините, сэр, но я не видел, как вы выходили из здания. Пожалуйста, покажите пропуск, — попросил охранник слегка смущенным тоном.

Я тяжело вздохнул:

— Ладно. Но когда я буду объяснять, почему заставил всех ждать, то скажу, кто именно меня не пускал.

Я порылся в карманах, по понятным причинам не отыскал в них пропуск и сказал:

— Не знаю, где он. Наверное, я оставил его… И тут на мой телефон пришло СМС-сообщение.

Япрочитал его и показал охраннику. На экране красовалось грозное имя отправителя, Салли Смит, а под ним — сообщение: «Где ты бродишь?! Мы уже 15 минут ждем только тебя! Немедленно приходи!»

Ясказал:

— Вот сами позвоните ей и объясните, почему руководство должно сидеть и ждать эти документы. Или же мне позвонить ей и назвать имя охранника, который не давал мне пройти?!

Охранник прочитал СМС, посмотрел на меня и сконфуженно сказал:

—Простите, сэр, я правда не видел, как вы выходили из здания. Может, просто забудем это досадное недоразумение и я вас пропущу?

—Ладно, ладно — только не задерживайте меня еще дольше!

Чужой авторитет, который я всего лишь транслировал, заставил охранника совершить действие, которое точно было не в его интересах. Потому что авторитет — отличный мотиватор!

Шестой принцип: последовательность

Нам всем хочется казаться последовательными — чтобы наши слова не противоречили действиям. Это особенно заметно, когда мы начинаем отстаивать сказанное. Вспомните, как маленькие дети упорствуют в том, что, как вы знаете, правдой не является («Нет, это не я сломал лампу!»)? Ребенок ответил так на первый вопрос о том, кто виноват, и будет

неопровержимые доказательства обратного.

Почему же нам так важно быть последовательными? Все просто: последовательность считается признаком уверенности и силы, поэтому мы так нуждаемся в ней.

Последовательность в действии

Яживу в тихой сельской местности, но недавно здесь обнаружили нефтегазовое месторождение. По всей стране сейчас что-то выкапывают и выкачивают, вот и по нашей деревенской дороге стали то и дело проезжать грузовики с тяжелым оборудованием.

Яне раз видел, как водители этих многотонных машин несутся со скоростью 80–100 км/ч. Это не просто безответственно, но и опасно. Некоторые из моих соседей даже установили на видных местах самодельные дорожные знаки, напоминающие водителям о необходимости соблюдать скоростной режим там, где живут дети. Но если бы какой-то сосед позвонил и попросил установить такой знак на моем участке — и тот заслонил бы мне вид из окна на цветы или на мою клевую машину, — я бы отказался. Даже несмотря на то, что лихачам на дорогах я совсем не рад.

В 1966 году исследователи Джонатан Фридман и Скотт Фрейзер, изучавшие тему последовательности в поведении человека, написали статью под названием «Подчинение без давления: Техника “Нога в двери”» (Journal of Personality and Social Psychology, сентябрь

1966, https://www.researchgate.net/publication/17217362_Compliance_Witho ut_Pressure_The_Foot-in-the-Door_Technique). Они ходили по частным домам и просили хозяев установить на своих участках дорожные знаки, напоминающие водителям о необходимости соблюдать ПДД. Многим эти знаки испортили бы вид из окна. Отказали 83% хозяев.

Затем Фридман и Фрейзер слегка подкорректировали свое предложение

— и процент согласившихся на установку знака подскочил до 76%! Согласитесь: 76% — это существенная разница! Что же изменилось? Исследователи улучшили дизайн знаков? Предложили плату за их установку? Просили сдать землю под знак в аренду?

Нет и еще раз нет. Они изменили только размер знака. В ходе второго обхода домов владельцам сначала предлагали разместить на окне небольшую наклейку длиной меньше 10 см. А через несколько недель тех же людей просили установить большой и уродливый знак на видном месте — и 76% из них согласились.

Фридман и Фрейзер назвали этот подход «ногой в двери». Небольшая уступка со стороны объекта воздействия (размещение наклейки) на окне заставляла хозяев соглашаться и с последующей просьбой (установкой крупного знака).

много попросил, но, может, вы подскажете, с кем мы конкурируем? [Видите: она уже решилась мне помочь, дала личный e-mail и вступила в беседу. Но достаточно ли сильный между нами раппорт для того, чтобы озвучивать такую просьбу?]

Сотрудница: Ох, Пол… [вздыхает и медлит с ответом]: Я бы с удовольствием, но в нашей компании на этот счет есть жесткие правила. Рада была бы помочь вам, но не хочу неприятностей на свою голову.

Я: Ничего страшного, Бэт, я понимаю. Прошу просто потому, что действительно не в курсе, как обстоят дела на рынке. Может быть, поступим так: я перечислю названия конкурентов, а вы кашлянете, когда услышите нужное? «Отходы на 5+», «Отличные мусорки», «Управление мусором» [Бэт покашливает.]... О, Бэт, я надеюсь, вы не простудились!

Сотрудница [усмехается]: Да уж, кажется, подхватила какой-то вирус. Что ж, удачи вам!

Эта информация помогла мне подобрать необходимую униформу, проникнуть на охраняемую территорию, найти жесткие диски и USBфлешки. Если бы сохранившаяся на них информация попала в плохие руки, это могло подставить под удар всю компанию.

Пользуясь желанием другого человека быть последовательным в своих действиях и мыслях, социальный инженер может добиться от него удовлетворения своих запросов.

Седьмой принцип: симпатия

Людям симпатичны те, кто похож на них самих. Людям симпатичны те, кому они сами нравятся. Эти принципы могут показаться странными, но их нужно понять и запомнить.

В пятой главе мы говорили о племенном мышлении. Сейчас я предлагаю вспомнить о нем в контексте утверждения: «Людям симпатичны те, кто похож на них самих». Если мы похожи, значит, мы из одного племени: нам друг с другом комфортно, мы знаем, как действовать. Мы нравимся, нас принимают, нам доверяют.

А теперь разберем второе утверждение: «Людям симпатичны те, кому они сами нравятся». Вспомните исследования Пола Зака, посвященные влиянию на нас окситоцина, — я рассказывал о них в первой главе. Согласитесь, они идеально сочетаются. Если человек нравится вам, он ощущает с вашей стороны симпатию и доверие. Как же ему после этого не начать симпатизировать вам?

И прежде, чем вы воскликнете: «Неужто все так легко?!», я перечислю несколько важных нюансов:

Симпатия должны быть искренней. Нельзя сымитировать симпатию и надеяться, что все сработает. Даже если объект воздействия поверит

негативно повлияет на раппорт и доверие в будущем.

Комплименты не равны симпатии. Чтобы комплимент произвел желаемый эффект, он должен быть искренним и соответствовать уровню уже установленного раппорта.

Огромную роль играет невербалика. Если передаваемые вами невербальные сигналы тоже свидетельствуют об искренности (мы уже касались темы соответствия слов и языка тела в пятой главе), собеседнику будет проще вам довериться, почувствовать себя комфортно в вашем обществе и ощутить по отношению к вам симпатию.

Короче говоря, через все эти нюансы красной линией проходит идея о том, как важна искренняя, а не сыгранная симпатия. Мой друг Робин Дрейке добивается этого, представляя, что каждый его собеседник — герой реалити-шоу. Вам может не нравиться его образ жизни или поступки, но ведь они вам интересны и вы хотите узнать, что же будет дальше. Это и есть искренность, на основе которой можно выстраивать доверие и устанавливать раппорт. Так намного легче оказывать на человека влияние.

Чтобы усилить это чувство, вы можете сделать искренний комплимент, отзеркалить язык тела собеседника или использовать его лексику (только не превращайтесь в попугая!) — тогда в вашей компании ему будет комфортно. На илл 6.9 приведено схематичное изображение принципа влияния симпатии.

Симпатия в работе социального инженера

В ходе одной операции я собирался пробраться в здание, пристроившись на входе за кем-то из сотрудников. Я решил импровизировать, так что, когда я уже подходил к дверям, какого-то конкретного толкового плана у меня не было.