Искусство обмана - Кристофер Хэднеги
Шрифт:
Интервал:
Закладка:
4 января камера наблюдения зарегистрировала проезд вашего автомобиля на красный сигнал светофора № XCV431. Назначенный за это нарушение штраф до сих пор не был оплачен. Отказ от оплаты штрафа в означенный срок приведет к негативным последствиям.
Вы можете направить жалобу или подтвердить оплату штрафа на защищенном портале www.пожалуйста_кликните_чтобы_я_вас_хакнул.com.
(Вы, наверняка догадались, что адрес страницы был изменен в целях безопасности.) Обратите внимание: я не угрожал объекту воздействия арестом. Страшные суммы штрафов называть тоже не пришлось. Просто с помощью слов я создал определенный образ, который вызвал у человека интерес и страх. А затем дал ему надежду на лучший исход. (Да, получатель перешел по ссылке.)
Представьте себе такую ситуацию: один мой ученик получил задание — выведать у человека личную информацию (полное имя, дату рождения и пару фактов из жизни). И хотя ученик очень волновался, потому что я наблюдал за ходом беседы, разговор завязался быстро и буквально через минуту я услышал следующее:
Ученик: О, огромное спасибо за помощь. Я не знал, что подарить ей, а это отличная идея. [Ученик использовал приятную валидирующую формулировку в отношении идеи подарка жене, которую предложила собеседница.]
Объект: Никаких проблем. Знаете, мне… [Она собиралась сказать, что ей пора идти, но ученик не дал ей закончить.]
Ученик [протянул руку]: Меня зовут Том, Том Смит. [Он использовал приятное ритмическое построение фразы, чтобы подтолкнуть объект к раскрытию личной информации.]
Объект: Приятно познакомиться, Том. Я — Сара.
Ученик: Взаимно, Сара. А какая, говорите, у вас фамилия?
Объект: А вам-то зачем?
Ученик: Да так просто. Просто интересно. Слушайте, а что вы собираетесь устраивать на свой день рождения? Он же у вас в июле?
Объект: Ммм, Том, с вами было приятно пообщаться, но я не хотела бы об этом говорить. Извините.
Ученик: Никаких проблем, Сара. Я же не собираюсь использовать эту информацию для подбора паролей к вашим аккаунтам!
После этой фразы девушка буквально отпрянула от ученика, глянула на часы, сказала, что опаздывает, и быстро ушла.
Что он сделал не так? Мы называем это отрицанием фрейма — то есть высказыванием, в котором упоминается то, о чем объекту воздействия думать нежелательно. Получается, вы сами подталкиваете его к невыгодным для себя размышлениям.
Как полагаете, к каким мыслям социальному инженеру не стоит подталкивать объектов воздействия в процессе общения? Наверное, на мысли о том, что их аккаунты могут взломать?!
Если не хотите пугать людей, не говорите страшных вещей вроде:
• «Да я не буду использовать эту информацию, чтобы вас взламывать!»
• «Ну я же не пытаюсь проникнуть туда, где мне быть не положено».
• «Я бы никогда не отправил вам зараженный e-mail».
• «Я не мошенник!»
Все это — примеры отрицания фрейма, возникающие, когда мы упоминаем нечто, противоположное фрейму. Но вспомните илл. 7.2: фрейм объекта воздействия — сохранение безопасности. Поэтому лучше не играйте с огнем.
Ищите способы подкрепления фрейма с помощью легенды, одежды и других инструментов: это поможет объекту воздействия избавиться от лишних вопросов и сомнений.
Каждый раз, подталкивая человека задуматься о каком-либо фрейме, мы тем самым подкрепляем этот фрейм. Например, у родителей всегда есть выбор, какой фрейм укреплять — позитивный или негативный:
• «Ты такой глупый!»
• «Спорт — это не твое».
• «Можешь ты хоть что-то сделать правильно?»
• «Если захочешь, добьешься чего угодно».
• «Знаю, это сложно, но у тебя получится!»
Профессиональный социальный инженер может подкреплять фреймы не только словами, но и с помощью легенды.
Однажды, проводя вишинг, я выбрал легенду IT-специалиста из техподдержки: якобы он отвечает на жалобу о взломе пропускной системы, поступившей прошлым вечером. Нам нужно было получить полное имя, дату рождения, идентификационный номер сотрудника и некоторую другую информацию о человеке, ответившем на звонок. Диалог состоялся примерно следующий:
Объект: Добрый день, говорит Боб. Чем могу помочь?
СИ: Боб, это Пол из IT-отдела. Вчера вечером поступила жалоба на взлом пропускной системы, были отмечены 100 аккаунтов. Вам «повезло», вы в их числе. Скажите, возникли ли у вас сегодня проблемы при входе в здание?
Объект: Нет, все работало как обычно. Повторите, пожалуйста, кто спрашивает?
СИ: Пол, Пол Уильямс из IT. Я работаю с Тони Р. Это займет всего минуту. Вы наверняка знаете, что система пропусков связана с системой заполнения зарплатных ведомостей, так что решение этого вопроса лучше не откладывать.
Объект: Да уж. Так что мне нужно сделать?
СИ: Подтвердите ваше полное имя. Можете продиктовать вашу фамилию по буквам?
Объект: Мм, серьезно? Она же проще некуда: С-М-И-Т.
СИ: А вот и ошибка нашлась! В системе вместо Роберта Смита записан Роберт Джонс. Уж вы-то знаете, что бухгалтерия этому не обрадовалась бы. Наверное, когда злоумышленники запустили алгоритм, они изменил учетные данные в базе. [Я знал, что смысла в моих словах нет, но что-то мне подсказывало, что Боб из бухгалтерии не особенно разбирался в программировании.]
Объект: Действительно, не хотелось бы, чтобы мой чек получил кто-то другой. Давайте тогда проверим остальные данные?
Затем я выдал несколько заведомо ложных утверждений и положительное подкрепление сотрудничества. В результате объект назвал мне свое полное имя, дату рождения, идентификационный номер сотрудника и даже последние четыре цифры номера социального страхования. Мои слова и легенда подкрепляли фрейм, и объекту воздействия было проще его принять.
Пусть объект думает о вашем фрейме с самой первой фразы — тогда перейти к следующему шагу будет намного легче. К какому шагу? Конечно же, к извлечению информации.
Какое определение можно дать извлечение информации? Я определяю его, как «получение сведений, о которых вы не спрашивали». Извлечение информации со стороны выглядит, как обычный разговор. Но опытный извлекатель направляет беседу в нужное русло так, чтобы вы исподволь выкладывали необходимую ему информацию.