книги хакеры / Искусство_обмана_Социальная_инженерия_в_мошеннических_схемах

коммуникативного комфорта — все это не гарантирует успеха. Болезнь, стресс, физическая усталость и многие другие факторы могут повлиять на способность человека к эффективной коммуникации. Не верите?

Тогда вспомните своих детей (или детей ваших знакомых).

Дочка способна растопить мое сердце за секунду. Она обладает суперспособностью заставлять меня делать все что угодно. Но, когда я нахожусь в состоянии стресса или слишком измотан делами, я не так терпим и добр к ней, как обычно. В таких ситуациях я использую другой метод коммуникации — и точно так же под влиянием внешних обстоятельств меняется поведение любых других людей.

Тем не менее терпенье и труд, как известно, все перетрут. Поэтому, даже если у вас снова и снова не будет получаться подружиться с моделью DISC на практике, не прекращайте попыток. Когда у вас наконец все получится верно, вы убедитесь в том, что метод и правда действенный.

А вот вам еще одна история. После выхода первой книги меня пригласили на автограф-сессию. Я такого не ожидал и был очень удивлен, когда у моего стола собралась очередь читателей: они не просто заплатили за мою книгу, но и хотели узреть на ней мою подпись.

Я услышал от посетителей много добрых слов и в свой адрес, и по поводу книги. Один молодой человек целую минуту без остановки говорил, как книга изменила его жизнь: помогла ему в сложные времена и даже повлияла на выбор нового карьерного пути. Это так меня поразило, что я подумал: «Неужели это правда? Или это снова проделки Дэйва? С чего бы кому-то говорить так о моей книге?» Я слегка улыбнулся, поблагодарил парня и отдал ему подписанное издание. На его лице отразилось заметное разочарование. Но в очереди стояли другие посетители, так что я стал подписывать следующую книгу. Успели подойти еще четыре или пять человек, а юноша все стоял неподалеку, язык его тела явно говорил о том, что он раздосадован.

Наконец, еще один юноша протянул мне книгу на подпись со словами: «Хорошая работа, но я заметил у вас четыре серьезные ошибки, и еще столько же раз вы сослались на Wikipedia». Я улыбнулся ему и попросил посидеть рядом, пока все посетители не разойдутся — а там мы все обсудим.

Как только он сел за мой стол, первый парень бросился к нам. Теперь он был страшно разозлен и не стеснялся в выражениях. Он выпалил (используя ненормативную лексику, которую я тут цитировать не буду): «Я признался вам, что вы изменили мою жизни, что я ваш фанат — так вы меня просто отшили!!! А этот чувак говорит, что вы говно — и становится вашим лучшим другом???!?! Что за …?»

Я не нашелся, что ответить. Его злость меня ошарашила, хотя и была понятна. Я извинился и предложил ему тоже присесть и подождать,

окситоцина — веществ, которые я упоминал в первой главе). Так вы сможете установить доверие и раппорт, а это существенно облегчит ваш труд социального инженера.

Возможно, сейчас вы подумаете: «Да это же, по сути, рецепт превращения коммуникации в оружие».

И окажетесь не правы. На самом деле очень многие вещи, созданные в мирных целях, используются как оружие. И лучший тому пример — машины.

У меня есть любимая машина. Обожаю на ней ездить. Всегда хотел такую — и наконец стал ее счастливым обладателем. Но не думаю, что создателям этой модели Audi хотелось, чтобы их детищем управляли водители, скрывающиеся с места ДТП. Однако, согласно отчету Фонда безопасности дорожного движения Американской автомобильной ассоциации за 2016 год, в 11% случаев виновники стараются убежать от ответственности.

Машина — отличное средство передвижения, способное доставить вас из пункта А в пункт Б, и ее же можно превратить в смертельное оружие: все зависит от человека, который ее использует. С моделью DISC дела обстоят точно так же.

Когда я работаю в Social-Engineer, LLC и провожу свой пятидневный обучающий курс для социальных инженеров, то всегда руководствуюсь мантрой: «От встречи с вами собеседник должен почувствовать себя лучше».

Если помнить об этом, то знания, полученные благодаря этой книге, помогут вам не только защищаться от атак и находить мошенников, но и в принципе эффективнее решать встающие перед социальными инженерами задачи.

Определяя коммуникативный стиль человека, не ищите способов это знание эксплуатировать и манипулировать собеседником. Думайте о том, как изменить собственное поведение, как общаться с человеком на его уровне, чтобы взаимодействие с вами приносило ему удовольствие.

Попробуйте применить полученные из этой главы знания в общении с членами семьи и друзьями, прежде чем переходить непосредственно к социальной инженерии. И, когда вы убедитесь в том, что разобрались в теме моделирования коммуникации, пробуйте постепенно внедрять в общение запросы на действия, ожидаемые от собеседника. Одним словом, тренируйтесь.

А когда почувствуете, что у вас получается, — переходите к следующей теме, которая позволит вам подняться на кардинально новый уровень. Речь идет о легендировании.

Все, что вы можете вообразить, — реально.

Пабло Пикассо

Мне бы очень хотелось, чтобы, открывая эту страницу, читатели слышали саундтрек к фильму «Миссия невыполнима». К сожалению, такой технологии книгоиздатели еще не разработали. Поэтому я просто напоминаю вам о существовании мелодии, которая отлично подошла бы к этой главе.

Умение становиться кем угодно — или, выражаясь языком социальных инженеров, использование легендирования — это звучит соблазнительно и круто, даже сексуально. Давая определение легенде, некоторые люди не скупятся на негативно заряженные слова, такие как «ложь» и «обман». Однако я предпочитаю более нейтральную терминологию. На сайте своего проекта о социальной инженерии

(https://www.social-engineer.org/framework/influencing-others/pretexting/) я

предлагаю следующее определение:

Легендирование — это изображение себя в роли другого человека с целью получения приватной информации. Это непросто. Иногда удачная легенда требует разработки образа полноценной личности «с нуля» и его последующего воплощения для манипуляции объектом. С помощью этой техники социальные инженеры изображают людей, занимающих различные должности и принадлежащих ко всевозможным социальным уровням. Не всегда необходимо использовать легенду для решения возникающих перед социальным инженером задач. Однако за свою карьеру специалистам приходится создавать их неоднократно. В основе любой легенды лежит предварительное исследование.

Когда для выполнения задания мне нужно было проникнуть на семь принадлежавших заказчику складов, я решил изобразить инспектора пожарной безопасности. В другой раз, когда необходимо было пробраться в кабинет руководителя и в канцелярию компании, я выбрал легенду дезинфектора, специалиста по борьбе с тараканами. Чтобы проникнуть в здание третьей компании и получить доступ к центру мониторинга информационной безопасности и к центру управления корпоративной сетью, я притворился соискателем на вакантную должность, который пришел на собеседование. А уже в здании сменил эту роль на образ менеджера, приехавшего из другого штата. Кроме того, я успел побывать главой отдела управления персоналом, представителем телефонной компании — список можно продолжать еще очень и очень долго.

Не существует легенды, которая подошла бы для всех ситуаций: вот почему эта глава — одна из самых важных в моей книге. По большей части она посвящена обсуждению принципов легендирования и их практического применения в разных ситуациях: в телефонных

при личном общении. А проиллюстрирую я все это подробным рассказом об одной, как мне кажется, весьма показательной операции.

Вэтой главе мы обсудим следующие правила легендирования:

·продумывать цели;

·отличать реальность от выдумки;

·знать, когда остановиться;

·по максимуму использовать краткосрочную память;

·находить подтверждения своей легенде;

·воплощать легенду.

Легендирование часто оказывается самым интересным этапом работы, но в то же время и самым опасным. Если вы не будете работать по вышеперечисленным правилам, последствия могут быть катастрофическими. Ниже я поделюсь с вами историями собственных успехов и провалов, связанных с легендированием.

Если хотите профессионально заниматься социальной инженерией, эти знания должны стать для вас ключевыми. Ведь именно они определяют разницу между достижением цели и поражением.

Принципы легендирования

Прежде чем перейти к подробному разбору каждого из принципов, хочу рассказать вам о технике, которая помогла не одному новичку в мире социальной инженерии: я имею в виду систему Станиславского, или актерскую импровизацию.

В разных городах проводятся найти курсы по такой импровизации, на которые могут записаться все желающие. Многие из приемов, которые дают на этих курсах, описаны и в этой книге. Однако у офлайн-курсов имеется неоспоримое преимущество по сравнению с книгой: на занятиях есть возможность получить опыт.

Там вы научитесь выходить из зоны комфорта, вживаться в роль — и на практике поймете, что требуется для успешного планирования и воплощения легенды. Я понимаю, что не каждый читатель этой книги сумеет найти подходящие курсы. Но и тем, кому это не удастся, не стоит расстраиваться: ведь можно купить DVD с курсом актерского мастерства от Уты Хаген (https://www.amazon.com/Uta-Hagens-Acting-Class- DVDs/dp/B0001Z3IHG) или же найти этот курс на YouTube. Это видео — отличный источник знаний, с помощью которого вы лучше разберетесь во всех шагах создания легенды и способах вжиться в роль.

И все же, даже если вы попадете на хороший мастер-класс по актерскому мастерству или посмотрите полезное видео, вам не обойтись

по порядку.

Первый принцип: продумывать цели

Инспектор по пожарной безопасности, дезинфектор, менеджер по управлению персоналом — я упомянул лишь несколько легенд из тех, что воплощал за свою профессиональную жизнь. Для начала расскажу, как я выбираю наиболее подходящую для конкретной локации или объекта воздействия роль.

Все начинается со сбора данных из открытых источников: я нахожу все доступные в открытых источниках факты о человеке или компании — их историю, новости, информацию о хобби, антипатиях, событиях и пр. (все это мы уже подробно разобрали во второй главе). Эти данные и помогают мне выбрать наиболее подходящую легенду. Однако есть еще один важный аспект, который играет решающую роль в этом выборе, — моя цель. Понимание, чего я собираюсь достичь в ходе операции, важнее даже обладания полной картиной специфики бизнеса, в который я буду внедряться. Позвольте проиллюстрировать эту мысль историей, которую я называю «Эскапада на 18-м этаже».

Меня наняли для проверки того, возможно ли человеку «с улицы» попасть в охраняемое здание, которым владела и управляла компания

— производитель аудиоконтента. Но моим клиентом была не она, а фирма, арендовавшая 18-й этаж, — туда мне и нужно было попасть. Обычно посторонних людей в здание не пускали, лифты включались только по пропускам, а головной офис компании вообще находился в другом штате... Я принялся за дело.

На фазе сбора данных из открытых источников моей команде удалось собрать крайне мало фактов об именах и личностях сотрудников компании. Однако мы нашли имя регионального руководителя и некоторую информацию о его проектах. Кроме того, откопали документы на сервере, который компания явно не планировала делать публичным: инструкцию по технике безопасности, несколько внутренних писем, маркетинговые материалы по грядущим проектам и еще несколько случайных документов.

Какую легенду можно было бы выбрать, ориентируясь на эту информацию? Прежде чем читать дальше, попробуйте сами ответить на этот вопрос.

Может быть, вы выбрали роль мастера по ремонту лифтов? Это позволило бы попасть в здание, не вызывая подозрений у охраны. Или вы подумали о том, чтобы изобразить представителя головного офиса, без предупреждения приехавшего для проверки работы филиала? Или иной вариант?

определиться с выбором. Кроме проникновения на 18-й этаж в мою задачу входила видео- и фотосъемка входов и выходов здания, любых незапароленных компьютеров, открытых документов и проектов, которые нельзя было бы найти в публичном доступе.

То есть мне нужна была легенда, позволявшая не только приближаться к компьютерам и столам, но и носить в руках камеру — или, по крайней мере, возможность куда-то установить скрытую камеру.

В этом контексте образ специалиста по ремонту лифтов оказался бы ужасным решением. Да, он позволил бы проникнуть в здание, но к цели я бы так и не приблизился.

Легенда представителя головного офиса, возможно, позволила подняться на этаж и даже пройти в кабинеты, но все равно предполагала бы определенные ограничения. Ведь чтобы такая операция прошла успешно, мне нужно было знать, кто работает в филиале.

Внимательно изучив инструкцию по технике безопасности, которую мы нашли в интернете, я узнал, что в компании предъявлялись строгие требования к дверям, ведущим на лестницу. Их категорически нельзя было держать открытыми. Более того, со стороны лестницы на них даже не устанавливали ручки.

Благодаря этой информации я выбрал легенду работника службы безопасности. Будто бы в другом отделении компании возникла проблема и меня направили в этот офис удостовериться, соблюдаются ли правила безопасности здесь. По моему сценарию, персонал отделения о визите проверяющего не предупреждали, чтобы никто не мог подготовиться и скрыть нарушения. А для отчета о проверке я якобы должен был снимать весь процесс на камеру.

Теперь вы понимаете, как четкое понимание целей помогает совершенствовать легенду? Именно благодаря ему я сформулировал легенду, которая помогла мне достичь СИ-целей, не вызывая ни у кого подозрений. Грамотно, правда?

Итак, пришло время перейти ко второму принципу. Дальнейшее развитие событий «Эскапады на 18-м этаже» поможет нам в нем разобраться.

Второй принцип: отличать реальность от выдумки

Этот принцип связан с особенностями памяти: намного проще запоминается легенда, основанная на реальности. Причем это касается и вас самих, и объекта воздействия. То есть необходимо использовать собственный опыт и знания, которые у вас уже есть или которые вы легко можете получить. Сегодня я часто говорю, что среди всех видов отношений сложнее всего имитировать отношения между отцом и дочерью. Однако сам я этого не понимал до тех пор, пока у меня не появилась дочка. Мне кажется, то, как я о ней рассказываю и что