книги хакеры / Искусство_обмана_Социальная_инженерия_в_мошеннических_схемах

валидировал его знания. После этого он открыл дверь своим пропуском и придержал ее для меня, даже не задумавшись.

Чтобы не вызвать подозрения у охранника, я достал из кармана бумажник, приложил его к считывающему устройству и как ни в чем не бывало прошел за своим новым знакомым. Он еще 20 минут рассказывал про свою машину, пока мы, наконец, не оказались перед дверью в отдел по управлению персоналом, где и распрощались.

—Что ж, вам сюда, а мне в офис 4328. Если у вас возникнут вопросы, я с радостью отвечу, — сказал мужчина.

—Мне кажется, было бы проще попросить вас купить мне машину, так хорошо вы в них разбираетесь! Можно позвонить вам часа в три, когда закончится моя встреча?

—Да, пожалуйста. До связи!

И он скрылся за углом.

Мне нравилось то, что нравилось ему, а сам он понравился мне за его знания. Исключительно благодаря этому я прошел не только через пост охраны, но и спокойно передвигался по зданию, не привлекая к себе лишнего внимания.

Симпатия — мощный прием, способный открывать перед социальным инженером многие двери — в прямом и переносном смысле. Но, возможно, у вас возникнет та же проблема, что и у меня: мне было трудно научиться быть заинтересованным в человеке, чтобы симпатия выглядела подлинной.

СОВЕТ ПРОФИ Нельзя вести с объектом себя тепло и дружелюбно, а получив желаемое, сразу становиться холодным и равнодушным. Такие перепады не вызовут у объекта ничего, кроме негативных чувств.

Восьмой принцип: социальное доказательство

В 1969 году доктор наук Роберт О’Коннор провел исследование под названием «Модификация социальной изоляции через символическое моделирование» (Journal of Applied Behavior Analysis,

1969, https://www.ncbi.nlm.nih.gov/pmc/articles/PMC1311030/). В

исследовании участвовали ученики младших классов, которые страдали повышенной тревожностью и переживали социальную изоляцию в школе.

Детей разделили на две группы. Первой показывали видео, в котором не происходило никакого социального взаимодействия. Второй группе продемонстрировали 23-минутный ролик, в котором дети активно общались и получали от этого удовольствие. После просмотра видео

из второй группы наблюдались существенные улучшения. Более того, когда шесть недель спустя исследователь вернулся в школу для повторного наблюдения, дети из второй группы продолжали взаимодействовать с одноклассниками намного активнее.

Такая модификация потенциально устойчивой модели социальной изоляции произошла благодаря так называемому механизму социального доказательства. Фильм убедил детей из второй группы, что социальные взаимодействия для них безопасны и даже полезны.

Социальное доказательство в действии

В одном из выпусков прекрасного телешоу «Скрытая камера» (Candid Camera) проделали интересный эксперимент, который показывал, как сильно социальное доказательство влияет на самых разных людей. Тричетыре человека, якобы не знакомых друг с другом, заходили в лифт, а затем синхронно поворачивали назад. Пассажир, который не имел к ним отношения, автоматически следовал их примеру. Исключительно с помощью этого приема участниками розыгрыша удалось заставить одного молодого человека обернуться вокруг своей оси и снять шляпу!

Никто не хочет сильно отличаться от окружающих. Кто-то, возможно, возразит: я-то уникален и ни к какой группе не принадлежу. Возможно. Но и такие уникумы тоже представляют собой вполне определенную социальную группу.

Когда мы чувствуем себя потерянными, сбитыми с толку, когда мы не уверены, то обычно смотрим на других и ищем в их поведении подсказки, как нам стоит поступить, то есть ищем социальное доказательство.

Занимательная история

Однажды я показал вышеупомянутый выпуск «Скрытой камеры» на своей лекции в Вегасе. Пятеро моих студентов решили повторить этот эксперимент. Притворяясь незнакомцами, они сделали это трижды. И каждый раз люди, не знавшие, что в действительности происходит, следовали за группой.

Социальное доказательство в работе социального инженера

Мы часто не хотим совершать какое-либо действие первыми. Однако на практике я убедился, что использование социального доказательства существенно облегчает процесс принятия решения, которое сложно оценить однозначно.

очень приветливы». Сразу после этого я перешел к запросу. В большинстве случаев применение легкого социального давления мне помогало, потому что собеседникам казалось, будто они не первые выдают мне информацию. Я считаю социальное доказательство одним из самых мощных средств влияния в моем арсенале.

Влияние или манипуляции?

Когда мы с учениками обсуждаем принципы влияния, они часто говорят: «То, что вы описываете, очень похоже на манипуляцию. Разве не этим вы занимаетесь?» Влияние и манипуляция действительно похожи, поэтому их часто путают.

Хочу сразу оговориться: я излагаю в этой книге свою точку зрения по теме, но ни в коем случае не считаю ее единственно верной. И когда к нам на подкаст пришел Роберт Чалдини, выяснилось, что его точка зрения кардинально отличается от моей.

Я считаю влияние «умением заставлять других хотеть делать то, чего хотите от них вы». А манипуляцией называю «умение заставлять других делать то, чего хотите от них вы». Разница в том, что манипуляция не предполагает заботы о чувствах объекта воздействия. Наконец, влияние обычно предполагает какое-то позитивное воздействие, а манипуляция

— нет.

Манипуляция в действии

Проще всего проиллюстрировать отличия этих явлений с помощью истории, которой я, честно говоря, очень стыжусь и которая в то же время сильно повлияла на развитие моего бизнеса.

Решив стать профессиональным социальным инженером, я был уверен, что из игры всегда буду выходить победителем. Я считал, что любой не 100%-ный успех операции можно приравнивать к поражению. Из-за этого убеждения я не особенно задумывался о чувствах клиента, пока «побеждал».

Но однажды мне попался заказ, при выполнении которого я оказался безнадежно далек от успеха. Да что уж там, это был настоящий провал: мои объекты воздействия не реагировали на фишинговые письма и не кликали по моим ссылкам. Они сбрасывали мои вишинговые звонки. Заброшенные в офис флешки никто и не думал вставлять в компьютеры, как бы я их ни подписывал. Две попытки проникнуть на территорию с помощью классической схемы — с тяжелой коробкой — тоже не увенчались успехом.

Я был сбит с толку и расстроен настолько, что даже не похвалил эффективность системы безопасности клиента. Вместо этого решил

сотрудники компании, находилась за пределами здания, в которое мне не удалось попасть. Но в столовую-то вход был свободный.

Легенду выбрал следующую. Я — Фрэнк Т., руководитель нового проекта, запущенного отделом по управлению персоналом. Мне необходимо собрать информацию о том, насколько доступны сотрудникам услуги системы здравоохранения. А еще у меня есть секретарша Марша, измотанная жизнью мать-одиночка, — ее роль исполнила моя коллега. Придя в столовую, мы разыграли душераздирающую сцену. Марша подошла ко мне с опущенной головой и нерешительно отдала папку незаполненных бланков. Окинув их взглядом, я очень зло сказал: «Да что это за чушь! Ты же совершенно бесполезна…» Потом глубоко вздохнул и добавил: «Слушай, если ты не можешь справиться даже с такой банальной задачей, пожалуй, поищи другую работу, чтобы содержать себя и своего ребенка. А с МЕНЯ ХВАТИТ!»

Яраздраженно бросил стопку бумаг на стол и отошел в сторону. Марша опустилась на ближайший стул и заплакала.

Язаметил, как один мужчина направился прямиком ко мне, но, увидев слезы на лице Марши, повернулся к ней и спросил:

— У вас все в порядке?

Она подняла на него испуганные глаза и пролепетала:

—Да, конечно, простите. Я не хотела отвлекать вас от обеда. Но вы же знаете Фрэнка. Он так переживает.

—Фрэнк? Не знаю такого. Никто не имеет права так с вами разговаривать. Это просто неприемлемо! — возмутился мужчина и присел рядом с ней.

—Да нет, вы просто не понимаете. У него дома проблемы, а эти бланки нужно заполнить сегодня до вечера. А я просто о них забыла. Я думала, что заполню их за обедом, а он — видите: сорвался. Теперь он меня уволит.

—Но все равно его грубость непозволительна!

Но Марша перебила его:

—Да нет, это моя вина. Я должна была заполнить их еще на прошлой неделе. Теперь придется самой расхлебывать. Он на самом деле хороший человек и рисковал из-за меня.

—Сами вы виноваты или нет, ну-ка, дайте сюда ваши бланки!

Спаситель Марши пошел от стола к столу со словами: «Вообще-то заполнить эти бумаги нужно до конца дня, но постарайтесь сделать это до того, как приступите к обеду. А когда закончите — передайте вон той милой даме».

неправильные поступки просто потому, что не видят для себя другого варианта. Страх и злость мешают рассуждать рационально, и человек принимает эмоциональное решение. Так что когда профессиональный социальный инженер не дает человеку рассуждать логически, он лишает его возможности вынести из этого опыта что-то полезное. Узнав, что в ходе проверки кто-то манипулировал его страхами, объект воздействия откажется чему бы то ни было у вас учиться.

Что выбрать социальному инженеру: влияние или манипуляцию?

Профессиональный социальный инженер старается не просто выполнить задание, а чему-то научить при этом клиента. Следовательно, нужно отдавать предпочтение влиянию, а не манипуляциям.

Однако, прежде чем делать вывод о неуместности манипуляций в работе социального инженера, позвольте перечислить несколько ситуаций, в которых я все же использую манипуляции и не вижу в этом ничего плохого.

Мы довольно часто используем манипуляции в рамках деятельности фонда «Невинные жизни». Мы охотимся на «хищников», которые пытаются навредить детям и совершают ужасные преступления, а в борьбе с такими негодяями все средства хороши. Кроме того, я использую манипуляции, когда меня об этом просят сами клиенты. Обычно это происходит, когда ставки очень высоки: например, когда мой клиент — крупная финансовая компания, национальный гигант или организация, отвечающая за работу крупной инфраструктуры. В таких случаях проверки должны проводиться самым тщательным образом. Некоторые клиенты напрямую просят использовать манипуляцию, а не влияние, чтобы подвергнуть протоколы безопасности настоящему испытанию. Обычно такой запрос поступает после нескольких успешных проверок, когда клиент хочет перейти на новый уровень. Но даже при организации подобных тестов мы стараемся придумывать сценарии, которые в результате обучили бы клиентов чему-то полезному.

Например, одному клиенту необходимо было проверить работу лучших сотрудников телефонной поддержки. Вопрос стоял о защите информации стоимостью в миллионы долларов, и заказчику нужно было убедиться, что эти люди смогут противостоять самым жестким атакам.

Мы несколько раз попробовали применить к ним техники оказания влияния, но так и не выявили нарушений протокола безопасности. Тогда мы решили пойти еще дальше и придумали легенду, в которой приняли участие две представительницы моей СИ-команды.

Агент 1 позвонила в департамент и запросила информацию для заполнения платежной ведомости, используя при этом очень убедительную легенду.

нас только что уволили женщину, которая отвечала за заполнение платежных ведомостей, и сегодня эту задачу передали мне. А мне через неделю рожать, так что нужно закончить поскорее, прежде чем я уйду в декрет.

Представитель службы поддержки: О, поздравляю! Не переживайте, я вам помогу. Вам нужно только пройти верификацию, после чего мы перенастроим аккаунт, чтобы вы смогли в него войти.

СИ-агент 1: Отлично, спасибо. Ой!

Представитель службы поддержки: Сара, с вами все в порядке?

СИ-агент 1: Да, просто что-то странно кольнуло. Наверное, это просто стресс. Ничего, давайте все доделаем, и я, наконец, пойду домой. Что от меня требуется?

Представитель службы поддержки: Мне нужен номер аккаунта и PIN-код для идентификации.

СИ-агент 1: Сэр, но я же только что сказала: сотрудницу, отвечавшую за ведомости, уволили, так что PIN’а у меня нет. Она его поменяла, но теперь войти в аккаунт нужно мне.

Представитель службы поддержки: Простите Сара, но я не могу…

СИ-агент 1 [«начинает рожать» и бросает (но не выключает) трубку]: О господи, о господи, у меня воды отходят!

Представитель службы поддержки: Мэм, с вами все в порядке? Мэм?

СИ-агент 1 [кричит, будто бы обращаясь к коллеге]: Эй! Иди возьми трубку! [якобы обращаясь к другому коллеге]: А ты ВЫЗЫВАЙ СКОРУЮ!!!

СИ-агент 2: Алло, кто это?

Представитель службы поддержки: О боже. Это Стив из компании БВГ. Я помогал Саре войти в аккаунт с платежными ведомостями, но ей, кажется нужна помощь. Лучше побудьте с ней.

СИ-агент 1 [кричит неподалеку]: Если ты сейчас повесишь трубку, я тебя уволю. Нужно заполнить эти чертовы ведомости, или НИКТО НА СЛЕДУЮЩЕЙ НЕДЕЛЕ ЗАРПЛАТЫ НЕ ПОЛУЧИТ!

СИ-агент 2 [очень напряженно]: Ммм, Стив… Сара требует, чтобы я сначала решила проблему с доступом, в противном случае она отказывается ехать в больницу.

После этого Стив назвал номер аккаунта и всю необходимую нам информацию.

Изобретательно? Да. Манипуляция? Безусловно! Но компании было важно узнать, сумеют ли ее представители противостоять реальной атаке, организованной злоумышленниками, — это мы и проверили.

манипуляции в процессе работы, на этом не исчерпывается. Тем не менее мы обговорили самые важные вопросы, которые вам необходимо обдумать, если вы собираетесь стать или уже являетесь социальным инженером. Будете ли вы использовать манипуляции? Если да, то в каких случаях? И в какой мере?

Принципы влияния и манипуляции действуют на большинство людей, не являющихся психопатами. Тем не менее чем чаще используешь «темные» методы, тем выше шансы перейти на темную сторону. Ведь невозможно выйти чистым из грязи. Исходя из этих соображений, я обязательно провожу беседы с командой участников фонда «Невинные жизни»: мы говорим о том, что манипуляции лишь тактика, допустимая в конкретных условиях. Для меня важно, чтобы работа не делала нас хуже. Поэтому в штате фонда есть психолог, который заботится о сохранении здоровой среды в коллективе, а также помогает сбросить груз любого негатива.

Резюме

Если бы вам можно было вынести из этой главы только одну полезную мысль, мне хотелось бы, чтобы она была такой. Вы — человек (равно как и я). Влияние работает — тут все просто и понятно. Оно действует и на объекты воздействия, и на вас. Этот процесс невозможно остановить, как ни пытайся.

Грамотное использование влияния даст вам то, что вы хотите. Люди будут вести себя и взаимодействовать с вами так, как вам надо. А если вы научитесь одновременно использовать влияние и навыки установления раппорта, то будете просто непобедимы.

Люди хотят рассказывать о себе. Люди хотят доверять.

Люди хотят подружиться с вами и помогать вам. Этот механизм настолько мощный, что, если не использовать его с осторожностью, он может буквально затмить ваш взгляд на мир — а там и до злоупотреблений недалеко.

Поэтому постоянно напоминайте себе, с какой целью вы пришли в социальную инженерию. Я, например, повторяю себе следующее:

·Я занимаюсь этим, чтобы помогать клиентам сохранять безопасность.

·Я делаю это, потому что у меня хорошо получается.

·Я делаю это, чтобы люди могли узнавать о возможных опасностях.

·Я делаю это, чтобы обеспечивать жизнь своей семье и своим сотрудникам.