Искусство обмана - Кристофер Хэднеги
Шрифт:
Интервал:
Закладка:
— В моем банке можно использовать шесть цифр, так что у меня в качестве PIN’а дата рождения дочери: 031192.
Все это услышала официантка и включилась в разговор:
— А мой банк разрешает использовать буквы, их просто нужно ввести с клавиатуры. Мой сын свою первую собаку назвал Самсоном, я это имя и использую.
И вот он я: сижу посреди ресторана и собираю даты рождения, имена домашних животных и, что самое пугающее, PIN-коды от банковских карт совершенно не знакомых мне людей — исключительно благодаря тому, что озвучил заведомо ложное утверждение!
Этот опыт произвел на меня неизгладимое впечатление, я стал использовать чудо-прием везде, где только возможно. И конечно же, я рассказывал о нем своим ученикам. Один из них, кстати, сам стал для меня в этой теме настоящим учителем. Когда я пересказал историю его группе на занятии, он воскликнул:
— А у меня появилась интересная идея! — и обещал раскрыть подробности позже.
Когда ему нужно было под моим наблюдением выполнить задание на взаимодействие с объектом, он подошел к женщине, которая сидела в кафе и ела клубнику. Молодой человек не делал никаких вступлений, даже не думал о раппорте — он построил разговор следующим образом.
Ученик: О, вижу, вы любите клубнику! Значит, вы наверняка родились в феврале.
Объект: Э… Нет, вообще-то в июле.
Ученик: Хм… Но тогда, наверное, 4-го, прямо в праздник?
Объект: Да нет, 11-го. А что? [Она удивленно на него посмотрела.]
Ученик: Ничего. До свидания.
Когда он вернулся ко мне, я сказал: «Но второй-то раз такое точно не сработает». Но он снова и снова подходил к незнакомцам, забрасывал их такими же странными ложными утверждениями — и каждый раз люди сообщали ему всю необходимую информацию!
У этого метода есть один серьезный недостаток — между социальным инженером и объектом воздействия не формируется раппорт. То есть по результатам взаимодействия собеседник остается в недоумении: что это было? И уж точно он не будет чувствовать себя лучше, чем до встречи с социальным инженером.
Поэтому при использовании заведомо ложных утверждений я рекомендую быть осторожными и помнить о следующих вещах:
• Если делать ложные утверждения слишком часто, вы рискуете показаться невеждой и потерять доверие объекта.
• Не путайте ложные утверждения и отрицание фрейма. Если не хотите, чтобы объект воздействия задумался о «взломах аккаунтов», не используйте это словосочетание в своих высказываниях.
• Заведомо ложные утверждения работают намного лучше, если применять их уже после установления раппорта с объектом.
• Заведомо ложное утверждение должно быть похожим на правду. Если бы мой ученик в своем эксперименте подошел к женщине со словами: «О, вы едите клубнику! Значит вы, наверное, летаете на драконах», — понятное дело, их общение ни к чему бы не привело. Он бы только сбил ее с толку, но не стимулировал ее стремление исправить неверную информацию.
Я серьезно призываю вас попробовать этот прием на практике. Вы удивитесь тому, насколько он эффективен и сколько информации позволяет получить.
В большинстве случаев, если вы подойдете к незнакомому человеку и попытаетесь узнать его PIN, дату рождения или другую личную информацию, это не вызовет по отношению к вам ничего, кроме подозрений. Однако если вы научитесь внедрять в разговор заведомо ложные утверждения, разглашение этой информации в беседе с вами будет казаться человеку намного более естественным.
Ложные высказывания и взаимный обмен
Вскоре я и сам опробовал метод своего ученика в ходе операции, целью которой был сбор аналогичной информации. Сработало как по мановению волшебной палочки. Только вот, получив информацию о дне и месяце рождения женщины, я сказал:
— Ага, 12 августа. Забавно, моя сестра тоже в августе родилась.
Я отплатил женщине такой же информацией, какую она дала мне, так что в результате у нее сложилось впечатление равноценного обмена. Потом я добавил:
— А бабушка нам всегда говорила, что августовские дети — самые артистичные и творческие. У вас, случайно, нет музыкальных талантов?
Женщина усмехнулась и ответила:
— Я скорее математик по складу ума. Поэтому и работаю бухгалтером. Видимо, даже бабушки иногда ошибаются.
— Пожалуй. Но лучше ей об этом не говорить. А то моя бабушка итальянка, она за такое может и подзатыльник отвесить, — ответил я.
— Прекрасно себе представляю. Моя семья ирландского происхождения. Вот уж где точно не стеснялись заниматься рукоприкладством! — подхватила собеседница.
— Ого! Звучит… интересно. Хм, так у вас, должно быть, и фамилия ирландская?
Мне показалось, что это — отличный предлог для сбора еще большего количества личной информации.
— Да уж более ирландское имя сложно придумать. Мари О’Доннелл, — сказала она, намеренно подчеркивая ирландский выговор.
— Какой у вас классный акцент! Эх, жаль я со своими итальянскими корнями совсем связь потерял, помню только ругательства.
— Тоже может пригодиться.
Обратите внимание: вслед за заведомо ложным высказыванием я применил метод равноценного обмена, благодаря чему узнал полное имя женщины, дату ее рождения, профессию и другие подробности из ее жизни.
Не путайте осведомленность со всезнайством. Это совершенно разные вещи. Когда вы будете обсуждать с объектом воздействия разные вопросы, осведомленность откроет вам новые двери в процессе извлечения информации. Самое время рассказать историю еще одного моего провала, из-за которого сорвалась вся операция.
Мою компанию наняли для проверки безопасности системы доступа к серверу одного университета. В процессе предварительного изучения здания, в котором находилась серверная, мы обнаружили, что один профессор каждый день входил в него строго в 7 утра. Кроме него в такую рань в университете еще никого не было, так что это время показалось нам идеальным для попытки проникнуть в здание вслед за ним. На всех дверях стояли RFID-замки, но, поскольку мы специализируемся в первую очередь на социальной инженерии, то решили проникнуть к цели, используя влияние человеческого фактора.
Собрав из открытых источников данные о профессоре, мы узнали, что он написал статью по какой-то теме из квантовой физики, там было много незнакомых мне длинных слов. Благодаря своей безграничной мудрости и необузданному интеллекту (это сарказм, если что) я запомнил название статьи и запланировал личное знакомство с профессором на следующее утро.
И вот в 7:00 я увидел, как он быстро приближается к зданию. По моему сценарию, между нами должен был завязаться разговор о его статье, мы бы вместе прошли в здание, а потом каждый последовал своим путем (то есть я — прямиком серверную).