Искусство обмана - Кристофер Хэднеги
Шрифт:
Интервал:
Закладка:
Я раздраженно бросил стопку бумаг на стол и отошел в сторону. Марша опустилась на ближайший стул и заплакала.
Я заметил, как один мужчина направился прямиком ко мне, но, увидев слезы на лице Марши, повернулся к ней и спросил:
— У вас все в порядке?
Она подняла на него испуганные глаза и пролепетала:
— Да, конечно, простите. Я не хотела отвлекать вас от обеда. Но вы же знаете Фрэнка. Он так переживает.
— Фрэнк? Не знаю такого. Никто не имеет права так с вами разговаривать. Это просто неприемлемо! — возмутился мужчина и присел рядом с ней.
— Да нет, вы просто не понимаете. У него дома проблемы, а эти бланки нужно заполнить сегодня до вечера. А я просто о них забыла. Я думала, что заполню их за обедом, а он — видите: сорвался. Теперь он меня уволит.
— Но все равно его грубость непозволительна!
Но Марша перебила его:
— Да нет, это моя вина. Я должна была заполнить их еще на прошлой неделе. Теперь придется самой расхлебывать. Он на самом деле хороший человек и рисковал из-за меня.
— Сами вы виноваты или нет, ну-ка, дайте сюда ваши бланки!
Спаситель Марши пошел от стола к столу со словами: «Вообще-то заполнить эти бумаги нужно до конца дня, но постарайтесь сделать это до того, как приступите к обеду. А когда закончите — передайте вон той милой даме».
И он указывал на Маршу, которая улыбалась и благодарила его за доброту.
К моменту, когда был объявлен конец обеденного перерыва, у нас на руках были десятки бланков с личной информацией сотрудников: полные имена, даты рождения, сетевые ID, номера социального страхования, домашние и электронные адреса, номера телефонов и др.
Да, я «победил» — но какой ценой? Узнав, что ситуация была подстроена, какой вывод сделали сотрудники? В чем заключался урок для них? Не вести себя достойно, не сочувствовать ближнему? Согласитесь, это не очень-то поучительно.
Поскольку я прибегнул к манипуляции, то в этой компании за мной закрепилась репутация «чувака, который унижает секретаршу». Больше они меня к сотрудничеству не приглашали.
Манипуляция осуществляется по темным законам. Вот ее основные принципы:
• повышенная восприимчивость;
• контроль над средой;
• вынужденная переоценка;
• смещение власти;
• наказание;
• запугивание.
Даже по названиям этих принципов понятно, что речь идет о негативном явлении. Более того, есть одно исследование, которое только укрепляет меня в нежелании манипулировать.
В 1967 году исследователи из Пенсильванского университета Мартин Селигман и Стивен Майер изучили действия некоторых из вышеперечисленных принципов. Ученые проводили эксперименты на собаках: наблюдали за их реакцией на различные обстоятельства. Результаты они описывали в статье под названием «Приобретенная беспомощность» (Journal of Experimental Psychology, май 1967, http://homepages.gac.edu/~jwotton2/PSY225/seligman.pdf).
В ходе эксперимента собак сажали в клетки и подвергали ударам электрического тока. Одни животные находили выход: нажав рычаг на панели, можно было прекратить боль. Но другим такой возможности не давали, и эти собаки смирялись с невозможностью изменить ситуацию: они просто скулили от боли, лежа на полу, и даже не пытались сбежать. Они не сделали этого, и когда клетку открыли.
Об этом исследовании очень неприятно читать, но оно позволяет понять один из важнейших аспектов манипуляции. Часто объекты воздействия принимают то, чего боятся, что приносит им боль, и совершают неправильные поступки просто потому, что не видят для себя другого варианта. Страх и злость мешают рассуждать рационально, и человек принимает эмоциональное решение. Так что когда профессиональный социальный инженер не дает человеку рассуждать логически, он лишает его возможности вынести из этого опыта что-то полезное. Узнав, что в ходе проверки кто-то манипулировал его страхами, объект воздействия откажется чему бы то ни было у вас учиться.
Профессиональный социальный инженер старается не просто выполнить задание, а чему-то научить при этом клиента. Следовательно, нужно отдавать предпочтение влиянию, а не манипуляциям.
Однако, прежде чем делать вывод о неуместности манипуляций в работе социального инженера, позвольте перечислить несколько ситуаций, в которых я все же использую манипуляции и не вижу в этом ничего плохого.
Мы довольно часто используем манипуляции в рамках деятельности фонда «Невинные жизни». Мы охотимся на «хищников», которые пытаются навредить детям и совершают ужасные преступления, а в борьбе с такими негодяями все средства хороши. Кроме того, я использую манипуляции, когда меня об этом просят сами клиенты. Обычно это происходит, когда ставки очень высоки: например, когда мой клиент — крупная финансовая компания, национальный гигант или организация, отвечающая за работу крупной инфраструктуры. В таких случаях проверки должны проводиться самым тщательным образом. Некоторые клиенты напрямую просят использовать манипуляцию, а не влияние, чтобы подвергнуть протоколы безопасности настоящему испытанию. Обычно такой запрос поступает после нескольких успешных проверок, когда клиент хочет перейти на новый уровень. Но даже при организации подобных тестов мы стараемся придумывать сценарии, которые в результате обучили бы клиентов чему-то полезному.
Например, одному клиенту необходимо было проверить работу лучших сотрудников телефонной поддержки. Вопрос стоял о защите информации стоимостью в миллионы долларов, и заказчику нужно было убедиться, что эти люди смогут противостоять самым жестким атакам.
Мы несколько раз попробовали применить к ним техники оказания влияния, но так и не выявили нарушений протокола безопасности. Тогда мы решили пойти еще дальше и придумали легенду, в которой приняли участие две представительницы моей СИ-команды.
Агент 1 позвонила в департамент и запросила информацию для заполнения платежной ведомости, используя при этом очень убедительную легенду.
СИ-агент 1: Добрый день! Меня зовут Сара, я звоню от компании АБВ. У нас только что уволили женщину, которая отвечала за заполнение платежных ведомостей, и сегодня эту задачу передали мне. А мне через неделю рожать, так что нужно закончить поскорее, прежде чем я уйду в декрет.
Представитель службы поддержки: О, поздравляю! Не переживайте, я вам помогу. Вам нужно только пройти верификацию, после чего мы перенастроим аккаунт, чтобы вы смогли в него войти.
СИ-агент 1: Отлично, спасибо. Ой!
Представитель службы поддержки: Сара, с вами все в порядке?