Искусство обмана - Кристофер Хэднеги
Шрифт:
Интервал:
Закладка:
○ усиление фреймов;
○ распространение влияния фреймов;
○ трансформация фреймов.
Сейчас я предлагаю обсудить объединение фреймов с позиции социального инженера. Скажем, вы оказались у входа в здание компании и увидели охранника. Его фрейм — не пропускать на территорию посторонних. Ваш фрейм — проникнуть в здание.
Если социальный инженер просто подойдет к охраннику и скажет: «Добрый день, мне нужно проникнуть в здание, кое-что украсть и оставить после себя хаос» — он вряд ли добьется своего. Не сработает даже, если, являясь профессиональным пентестером, вы скажете: «Знаете, я профессионал в области безопасности и мне нужно проверить, насколько эффективны ваши системы защиты. Так что пропустите меня, пожалуйста, а я взломаю ваш сервер».
Как же объединить ваши с охранником фреймы? Может, вы вспомните подходящий пример из уже описанных в этой книге? На илл. 7.2 изображена подсказка.
Легенда является тем самым объединяющим звеном: вы меняете фрейм объекта воздействия таким образом, чтобы человеку было проще принять ваши слова и действия. Подробное продумывание легенды (все эти детали, связанные с тем, как вы будете выглядеть, что возьмете в руки и т. п.) облегчает фрейминг. Но и это еще не все.
В 2004 году Джордж Лакофф написал книгу «Не думай о слоне!» (Don’t Think of an Elephant! Chelsea Green Publishing), в которой описал самые важные для освоения искусства фрейминга правила. Я несколько адаптировал их к миру СИ.
Чтобы по-настоящему разобраться в сути этого правила, представим процесс работы нашего разума — визуализируем входящую информацию. Великие учителя и рассказчики прославились благодаря своему умению рисовать словами яркие образы. Вот пример того, как по-разному можно описать одно и то же событие.
История 1. Сидя на доске для серфинга, я увидел, как на меня надвигается большая волна. Я лег на доску и стал грести, что было сил, но волна накрыла меня. Оказавшись под водой, я думал о том, действительно ли та акула была огромной, или мне только показалось.
История 2. Я посмотрел на горизонт, из-за которого едва выглядывало солнце. Лучи еще не освещали воду, но уже грели мне лицо. На меня, словно товарный поезд, надвигалась волна. По толщине и скорости движения волны было понятно, насколько она мощная. Белая пена на гребне была похожа на несущегося за добычей разъяренного льва.
Я лег на доску и развернулся к берегу. Я греб, максимально напрягая каждую мышцу тела. От напряжения казалось, что руки мои впиваются не в воду, а в жидкий цемент.
Волна подхватила меня, и началась бешеная гонка. Как ни пытался я устоять на доске, но в конце концов упал. И волна обрушилась на меня, словно разгневанный учитель.
Она несколько раз перевернула меня, и я оказался под водой. Оставалось только представлять себе голодных акул, учуявших мой запах. Я пытался не паниковать, забыть про страх: только бы выбраться на поверхность. Когда мне это удалось, я мертвой хваткой уцепился за доску и как умалишенный начал выгребать к берегу.
Обе истории описывают одно и то же событие. Но какая из них помогает полнее представить происходящее? Читая какой текст вам казалось, что вы находитесь в море вместе со мной?
Ответ очевиден: вторая история намного выразительнее. Теперь вы понимаете, почему это правило имеет такое значение? Иногда слова, которые мы используем в своем повседневном словаре, пробуждают в сознании объектов воздействия образы, которые кажутся им оскорбительными. Как профессиональный социальный инженер, я понимаю, что буду намного успешнее в своем деле и получу больше повторных заказов, если научусь избегать такого эффекта.
Не стану приводить полный список потенциально оскорбительных слов и выражений, лучше назову несколько обобщенных советов о том, от чего стоит отказаться.
• Расистские намеки. Даже сказанные в шутку, они неприемлемы в работе социального инженера. Шутить на такие темы бестактно, и это совершенно не смешно.
• Оскорбления, связанные с полом или сексуальной ориентацией. Подобные выпады производят такое же впечатление, что и расизм: выставляют вас невеждой и разрушают раппорт.
• Обсценная лексика. Даже если объект воздействия позволяет себе использовать грубые выражения, я старюсь обходиться без них. В первую очередь — чтобы защитить уши тех, кто будет слушать наш диалог, изучая отчет. В таких ситуациях собеседник часто подстраивается под меня и тоже перестает ругаться.
• Обсуждение функций тела. Эта тема может вызвать сильное отвращение, а потому ее стоит избегать.
Подумайте о словах и выражениях, из которых состоит ваш личный словарь. Подумайте, какие из семи базовых эмоций они способны вызвать у объекта воздействия: злость, удивление, страх, отвращение, презрение, печаль или радость. Если реакция на ваши слова и выражения может быть негативной и повредит ходу операции, не используйте их — хотя бы из предосторожности.
СОВЕТ ПРОФИ
Мои коллеги занимаются так называемым «тестированием на проникновение». Что греха таить, само название подталкивает пошутить на околосексуальную тему. Тем не менее когда в очередной раз я слышу выражение: «Я поимел/изнасиловал их сервер», мне не до смеха. Только в США каждые 98 секунд кто-то становится жертвой изнасилования, так что я не вижу в таких шутках ничего смешного. На самом деле, если подобные шутки услышит человек, когда-либо подвергшийся сексуальному нападению, это может вернуть его в пережитую травму. Не используйте такие выражения для описания своей работы!
Как-то вечером я вышел на крыльцо и увидел в углу у лампы паутину. Ее хозяин заворачивал какое-то насекомое в кокон, чтобы позже поужинать им.
Что я вам только что описал? Наверняка вы представили примерно то, что изображено на илл. 7.3.
К чему это я? Вы обратили внимание на то, что мне не пришлось употреблять слово «паук», чтобы сообщить вам о нем. Достаточно было описать его, и ваш мозг тут же представил его образ.
С помощью легенды социальный инженер заставляет объект воздействия думать о работе, которую якобы пришел выполнить. А описание ситуации также позволяет получить доступ к подходящему эмоциональному фрейму, не используя угрожающих слов напрямую.
Однажды я отправил объекту воздействия фишинговый e-mail примерно такого содержания: