книги хакеры / Искусство_обмана_Социальная_инженерия_в_мошеннических_схемах

И чтобы проиллюстрировать специфику использования разных типов вопросов в СИ, расскажу вам еще одну историю из личного опыта. Я называю ее «Операция “Офисное пространство”».

Мне нужно было получить доступ на 16-й этаж офисного центра. Компания, помещения которой расположились на этом этаже, арендовала их у владельца здания. Я придумал легенду инспектора из головного офиса компании, который без предупреждения явился для проверки соблюдения требований техники безопасности (например, не заблокированы ли эвакуационные выходы).

Легенду я выбрал на основе открытых источников: недавно в прессу просочилась информация о том, что сотрудники жалуются на плохие условия работы. Руководство компании пообещало эти проблемы разрешить: были приняты новые правила, и менеджеры местных офисов получили надлежащие распоряжения.

Я сделал бейдж с логотипом компании, на котором жирным шрифтом надписал: «Инспектор по безопасности». Вооружившись планшетом, камерой и парочкой дополнительных инструментов, я уверенно зашел в вестибюль и направился к лифтам, минуя пост охраны.

Женщина, сидевшая за столом, тут же вскочила и окликнула меня:

— Извините, сэр, куда вы направляетесь?

Я на ходу ответил:

—На 16-й.

—Пожалуйста, остановитесь. Мене нужно вас зарегистрировать, иначе вы не сможете подняться: у вас нет пропуска для лифта.

—О, прошу меня извинить. Сейчас я все объясню. Как к вам обращаться, мадам?

—Алисия Смит, — указала женщина на свой бейдж.

—Приятно познакомиться, Алисия. Я работаю на компанию АБВ, офис которой находится на 16-м этаже. В связи с неприятными событиями, недавно произошедшими в одном из наших региональных отделений, меня назначили ответственным за проведение внеплановых проверок во всех наших подразделениях. Руководителей на местах, по понятным причинам, не предупреждали. Вы, наверное, слышали, что люди жаловались на условия в наших офисах?

Она пожала плечами и сказала:

—Слышала в новостях.

—То есть вы в курсе, какие у нас проблемы. Уверен, что ваш работодатель заботится о вас. Руководство компании организует такие

— Да, это понятно. Хорошо, что ваша компания серьезно отнеслась к ситуации. Сейчас я пропущу вас в лифт.

И мы вместе направились к служебным лифтам. Но вдруг я остановился:

—Алисия, но ведь чтобы спуститься, мне тоже понадобится пропуск. Или какая у вас система безопасности в лифтах?

—Действительно, какая же я глупая. У нас недавно установили новую систему, так что пропуск действительно понадобится. Сейчас выдам вам карточку посетителя. Подождите меня минуту.

Она сбегала к своему посту, выдала мне пропуск, не потребовав какихлибо подписей, и мы попрощались.

Когда я вышел на 16-м этаже, то оказался в коридорчике, по обеим сторонам которого были стеклянные двери. Справа через такую дверь я увидел стол секретарши: она с большим интересом разглядывала меня. Я направился к ней и, понимая, что сейчас женщина обязательно начнет задавать вопросы, решил ее опередить:

—Добрый день. Меня зовут Пол, я из головного офиса компании, — я показал ей бейдж, но быстро его спрятал, так как не был уверен, что он похож на реально используемые в компании. Затем достал ручку и, сделав вид, что сейчас буду что-то записывать, спросил: — Это офис

43211, верно?

—Все верно, Пол. А с какой целью вы пришли? Не вижу вашего имени в списке посетителей, — сказала секретарша смущенно.

—А меня там и не должно быть. Я провожу внеплановую проверку. В прошлом месяце в компании возникали проблемы с соблюдением техники безопасности и норм гигиены труда. Так вот, руководство запустило специальные инспекции, чтобы проверить, были ли улучшены условия труда сотрудников. Вы же получали соответствующее уведомление?

Она кивнула и сказала:

—Да. Я должна была его распечатать и раздать копию каждому сотруднику.

—Отлично. Значит, я могу поставить первый плюсик, — сказал я, перелистнул страницу и отметил одну из граф в таблице. — Очень радует, когда проверка начинается с чего-то хорошего. Мне хотелось бы упомянуть ваше имя в списке сотрудников, выполнивших новые требования. Как вас зовут?

—Бэт. Бэт Симмонс.

Закрытые вопросы позволяют получить короткие и конкретные ответы, состоящие всего из нескольких слов. Опытные специалисты часто используют такие вопросы для подтверждения собранной ранее информации. Кроме того, закрытые формулировки идеально подходят для оценки невербальных сигналов собеседника. Ведь наше тело автоматически отвечает на закрытый вопрос еще до того, как мы успеваем произнести ответ. Причем обычно невербалика не врет, даже когда вслух мы говорим неправду: например, мы пожимаем плечами или отрицательно качаем головой, а на словах соглашаемся.

Я часто использую закрытые вопросы в общении с детьми. Например, я могу сказать: «Я просил тебя лечь спать в 11. Действительно ли ты выключил компьютер в 11 и лег в постель?». Если, отвечая: «Наверное, да. Я не смотрел на время», сын мотает головой, становится понятно, что произошло на самом деле.

Закрытые вопросы также помогают уточнять или подтверждать конкретные факты. Причем, прежде чем переходить к конкретике, имеет смысл сначала задавать более общие вопросы. В частности, для начала беседы подходят вопросы, начинающиеся со слов «кто», «что», «где», «почему» и «как».

В «Операции “Офисное пространство”» я использовал закрытый вопрос, когда спросил секретаршу Бэт, получила ли она уведомление об изменениях в политике безопасности. Она не только кивнула, но и подтвердила свое согласие словами. Однако, когда я задал аналогичный вопрос о том, есть ли, на ее взгляд, проблемы с соблюдением этой политики в их офисе, Бэт согласилась, но при этом пожала плечами. Несоответствие между словами и действиями указало мне на то, что в своем последнем ответе она не уверена. Увидев ее замешательство, я мысленно отметил для себя несколько важных моментов.

Наводящие вопросы

Мне отправили ссылку на страницу, где было размещено видео с подписью: «Только самые наблюдательные и умные зрители смогут точно сосчитать, сколько раз люди в белых футболках перекидывают мяч».

Яподумал: «Я же социальный инженер, а мы самые наблюдательные представители рода человеческого. Проще простого!» И кликнул на ссылку.

Яспециально пялился в экран, не отворачиваясь и не моргая, — усердно

В процессе извлечения информации социальный инженер может использовать допущения в форме утверждений и вопросов. Применять такие вопросы стоит в случае, если определенные знания у вас есть, но нужно проверить их истинность.

Эту технику я использую также, когда хочу выяснить, говорят ли мне дети правду. Например:

Я: И когда ты был на вечеринке, Тэмми тоже пришла?

Мой ребенок: Сильно позже меня. Так что не переживай, пап.

Несколько фраз — и я уже знаю, что сын действительно был на вечеринке. Так что, если мне нужно будет получить еще какую-то информацию, можно исходить из этого.

Профессиональный социальный инженер может использовать вопросыдопущения на стадии знакомства с объектом. Этот прием позволяет обойти нежелательные темы и не дать объекту воздействия резко прекратить обсуждение определенного человека или предмета.

В ходе «Операции “Офисное пространство”» я использовал допущения при знакомстве и с Алисией, и с Бэт. Допущение заключалось в том, что я находился на своем месте и они должны были понимать, почему обязаны пустить меня на закрытую территорию. Я не вел себя надменно

ине злился — вместо этого сформировал у них ощущение того, что нахожусь там, где должен: ведь я сам точно знаю, с какой целью пришел

ичто обязан сделать.

Резюме

Своей многослойностью беседа похожа на лук. Один за другим вы снимаете слои, приближаясь к сердцевине, к сути.

Каждая техника извлечения информации важна для эффективного выстраивания диалога. Научитесь применять их — и станете мастером общения и социальной инженерии. Ваша цель — превращать извлечение любой информации в обычную, не вызывающую подозрений беседу. А для этого нужно снова и снова оттачивать описанные выше навыки. И что самое интересное, эффект не ограничится только вербальной коммуникацией: те же самые приемы отлично работают при ведении деловой переписки, в чатах, по телефону и т.д.

Как шеф-повар, решающий, какие инструменты и ингредиенты следует использовать для приготовления конкретного блюда, вы сможете добавить в общение несколько вовремя заданных вопросов, щепотку

Со временем извлечение информации в ходе беседы станет получаться у вас так же ловко, как у шеф-повара приготовление фирменного блюда. Это предпоследняя стрела в вашем колчане. Еще про одну, без которой не обойтись ни на одном задании, я расскажу в следующей главе.

Переходим к обсуждению невербальных сигналов и языка тела.

Мы несем ответственность за развитие своего эмоционального интеллекта. Этот непростой навык не заложен в нас природой, поэтому мы сами должны его освоить.

Пол Экман

Когда я готовил первое издание этой книги, мир невербальной коммуникации был для меня чем-то новым. Но уже тогда мы познакомились с доктором Полом Экманом, и он стал моим учителем. Его путешествие по миру невербалики началось в конце 1950-х, и последующие 60 лет он оставался ведущим исследователем в этой области.

Пол Экман помог мне не только улучшить эту книгу, но и существенно прокачать навыки общения. Благодаря нашему сотрудничеству, вышла моя вторая книга, «Разоблачение социальных инженеров: Человек в системе безопасности», в которой подробно разбираются мимика, язык тела, жесты рук и все остальные аспекты невербального общения. Я даже рассказал о том из них, какой невооруженным взглядом не заметишь: раскрыл тайны приручения миндалевидного тела.

Если вам доводилось читать мои тексты или слушать выпуски передач, в которых речь идет о докторе Экмане, вы, наверное, не удивитесь, что я реагирую на него как фанаты на музыканта на илл. 8.1.

Работая над этой главой, я ставил перед собой несколько целей. Вопервых, старался соответствовать высоким стандартам Пола Экмана и использовать только подтвержденные исследованиями данные. Вовторых, я не хотел дублировать свои ранние книги — это было бы неприятно тем, кто уже прочел одну из них или обе. Поэтому в этой книге мне хотелось бы обсудить невербальную коммуникацию в крайне важном для социального инженера аспекте — понимании того, что отличает комфортное состояние от дискомфортного.

·Взгляд должен быть мягким, ненапряженным.

·Кончики губ должны быть слегка опущены.

·Мускулы следует расслабить.

·Дыхание должно быть поверхностным.

Большая разница, согласитесь. Если моя легенда предполагает грусть, но язык моего тела будет выражать страх, как отреагирует объект воздействия? Полагаю, он вряд ли подумает буквально: «Этот человек рассказывает грустную историю, но все его поведение свидетельствует о том, что он испытывает страх. От такого несоответствия эмоциональному содержанию мне некомфортно». Однако у него наверняка автоматически сработает внутренний радар, предупреждающий о необходимости держать оборону, потому что с собеседником происходит что-то подозрительное. Если бы я демонстрировал страх, пытаясь вызвать грусть и сочувствие, я бы только отпугнул собеседника.

Необыкновенное исследование под названием «Химикосенсорные ключи конспецифичного стресса активируют у людей миндалевидное

тело» (www.ncbi.nlm.nih.gov/pmc/articles/PMC2713432) доказывает это…

эээ… интересным образом.

Исследователи собрали образцы пота у людей после выполнения физических упражнений. А затем — образцы пота у людей, которые только что прыгнули с парашютом в тандеме с высоты больше 3000 м. Затем эти образцы давали понюхать испытуемым, которых посадили в аппарат МРТ (да уж, звучит отвратительно).

Когда испытуемые нюхали образцы пота людей, совершивших прыжок с парашютом, в их мозгу активизировался центр страха (та самая миндалина). А когда они нюхали образцы людей, вспотевших из-за занятий спортом, этого не происходило. Получается, что страх в прямом смысле можно «учуять».

А раз окружающие способны «разнюхать» наш страх, как лучше подготовиться к взаимодействию с объектом? Я предлагаю два варианта:

·Научиться контролировать проявления страха, чтобы подавлять их и демонстрировать нужные эмоции.

·Если это невозможно, надо использовать легенду, согласующуюся с моими естественными эмоциями.