К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Искусство обмана: как научиться изощренно манипулировать людьми

Кадр из сериала «Обмани меня» / 20th Century Fox Television
Кадр из сериала «Обмани меня» / 20th Century Fox Television
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке о манипулировании поведением людей. Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, рассказывает, как распознавать манипуляции, а Forbes Life публикует отрывок из его книги «Искусство обмана», которая выйдет в издательстве «Альпина Паблишер»

Мы живем в век эмодзи, мемов, сообщений из 280 символов и постов в социальных сетях. Темпы развития технологий восхищают. Однако эти самые технологии и создали условия, в которых люди разучились наблюдать за собеседником. Поэтому мы и начали разбор темы сбора информации с методов, не предполагающих использование технологий.

Обложка книги
Обложка книги

Возможно, сейчас вы задаетесь вопросами:

— Что означает термин «навыки наблюдения»?

 

— Как эти навыки можно у себя развить?

— Что это даст?

 

Давайте обсудим каждый из них и посмотрим, что вам удастся заметить и понять.

Что включают в себя навыки наблюдения?

Ниже описаны несколько сценариев, отражающих применение навыков наблюдения в жизни.

Сценарий первый

 

Ваша задача — пробраться в канцелярию крупной медицинской клиники. Причем сделать это при свете дня. Взламывать замки, пробираться через заборы и влезать в окна нельзя. Нужно проверить, позволят ли вам сотрудники рецепции и охраны пройти в помещение с ограниченным доступом. Иными словами, надо проникнуть в клинику и попасть в те ее отделения, где позволено находиться только персоналу.

Вот какие данные вы можете собрать из открытых источников с помощью наблюдения:

Одежда. Этому простому фактору обычно уделяют мало внимания, а зря. Еще в первой главе я говорил, что социальным инженерам нужно подтолкнуть объект воздействия к принятию необдуманных решений. Поэтому если при попытке проникнуть в здание, куда все сотрудники приходят в повседневной одежде, вы нарядитесь в костюм-тройку, то обязательно привлечете к себе всеобщее внимание. Так что нужно понимать, как будут одеты окружающие, и выглядеть соответствующе.

Входы и выходы. Точки входа и выхода нужно найти заранее, до того как вы попадете на территорию объекта. Существует ли место для курения, через которое можно проникнуть в здание? Все ли входы охраняются одинаково? Когда охранники сдают смену, какие входы остаются без охраны или без должного внимания со стороны охраны?

Организация прохода. Как организован проход на территорию и в здание? Есть ли у сотрудников бейджи и пропуска? Какие? Где их принято закреплять? Надо ли знать некий код? Существует ли порядок, при котором сторонних посетителей сопровождает по территории до места назначения охранник? Выдают ли им особые пропуска? Наконец, есть ли на запланированной точке входа в здание турникеты, пост охраны или другие препятствия?

 

Охрана периметра. Узнайте, что обычно происходит снаружи здания. Установлены ли там камеры наблюдения? Обходят ли территорию охранники? Закрыты ли мусорные баки? Установлены ли системы сигнализации или датчики движения?

Сотрудники охраны. Как они работают: расслабленно сидят, уставившись в экран телефона или компьютера, или же охранники всегда начеку и внимательно следят за происходящим? Как вы думаете, им на работе скучно или интересно?

Организация пространства. Позволяет ли расположение пропускных систем подсмотреть пароль из-за плеча стоящего впереди человека? (Иными словами, можно ли подойти к сотрудникам компании настолько близко, чтобы рассмотреть, какой код они используют для входа?)

Конечно, есть еще огромное количество вещей, на которые надо обратить внимание, однако эти — основные.

 

Чтобы вы поняли, почему я выделяю именно их, расскажу одну реальную историю, в которой важнейшую роль сыграли одежда, входы и выходы, организация прохода на территорию и охрана периметра. Мы вместе с Мишель (впоследствии — моим техническим консультантом во время работы над этой книгой) должны были реализовать сценарий, который я описал в начале этого подраздела. Чтобы собрать необходимые данные из открытых источников, мы, конечно же, применяли технологические средства (о которых я подробнее расскажу позже). Но и нетехнической разведке уделили немало внимания.

В качестве предлога для вторжения мы выбрали легенду, согласно которой компанию по борьбе с паразитами якобы вызвали для уничтожения расплодившихся пауков. Свою «компанию» мы назвали Big Blue Pest Control и подобрали соответствующий реквизит: синюю униформу и бутылки с распылителем, которые наполнили «ядом» для пауков (на самом деле в баллонах был ярко-синий изотоник от Gatorade).

Для начала мы объехали периметр клиники, отметили все входы и выходы, расположение камер и места для курения. Обратили внимание, где собиралось больше и меньше людей. Мы отметили, как сотрудники носят бейджи и как одеваются. Затем выбрали подходящую, на наш взгляд, точку для проникновения и направились к двери. Нам нужно было собрать максимум информации о том, как именно организован проход на территорию.

Два охранника наблюдали за тем, как сотрудники прикладывали пропуска к металлическому автомату и проходили внутрь. Кроме того, справа была стойка охраны, за которой сидел ответственный за регистрацию посетителей сотрудник.

 

Мы решили пройти мимо охранников, слившись с толпой. Это не сработало: нас тут же остановили и спросили, чего мы хотим. Я прочел на бейдже ближайшего охранника его имя и сказал: «Здравствуйте, Эндрю. Нас попросили рассказать об услугах нашей компании по срочному уничтожению пауков...» Охранник прервал меня на полуслове: «Хорошо, зарегистрируйтесь на стойке».

Я было обрадовался, что дело сделано, но тут сотрудник за стойкой попросил назвать наши имена. Я выдумал что-то на ходу, но он порылся в своих бумагах и сказал: «К сожалению, вас нет в списке посетителей. Вход посторонних лиц без пропуска запрещен».

Мы пытались объяснять, просили о помощи и даже пробовали давить на него. Не сработало. Пришлось сворачиваться. Мы вышли через главный вход и решили еще разок обойти здание и заодно обсудить дальнейший план действий. И тут я заметил, как несколько человек вышли покурить. Я попросил Мишель подождать и подошел к курильщикам, при этом держал себя так, слово занят важным делом: осматриваю территорию и делаю пометки в блокноте.

Затем мы медленно продолжили обход, пока не заметили группу людей, направлявшихся к другой двери, — и увязались за ними. За дверью начинался коридор, но оказалось, что он вел к тому же пропускному пункту, где нас только что развернули. Тут я увидел справа от себя лифт — но без кнопки вызова. «Черт побери, видимо, им управляют с поста охраны», — только и успел подумать я, как двери лифта распахнулись. Я тут же шагнул внутрь, надеясь, что Мишель это заметит и последует за мной.

 

К счастью, она в подобных ситуациях чувствует себя как рыба в воде, не теряется и не волнуется. В лифте уже ехала группа людей. Громко, чтобы все это услышали, Мишель принялась канючить, обращаясь ко мне, как к начальнику: «А мы скоро закончим? Я просто умираю с голоду, а вы говорили, что никакого обеда не будет, пока все не доделаем».

Одна из попутчиц строго взглянула на меня и сказала: — Дали бы человеку поесть!
На что я ответил:

— Я бы с удовольствием, но нам осталось проверить еще один этаж. И чем раньше мы это сделаем, тем быстрее пойдем на обед.

Женщина вздохнула и спросила:
— Так на какой вам этаж?
— Нам в канцелярию, — уверенно ответил я.
Женщина достала свой пропуск, провела им по индикатору, после чего нажала какую-то комбинацию кнопок на экране и сказала:

 

— Сейчас мы вас там и высадим.

Уф! Нам повезло: благодаря невероятной наблюдательности Мишель и моему умению быстро реагировать мы не только не попались охране, но еще получили в невольные помощники сотрудницу и прошли по ее пропуску на охраняемый этаж (кстати говоря, Мишель не сильно лукавила, ведь она всегда голодная).

Мы вышли из лифта на этаже, где располагалась канцелярия, и уткнулись в закрытую дверь с табличкой, гласившей: «Если вам нужна помощь, позвоните». Что ж, мы позвонили.

Нам ответила женщина:
— Чем могу помочь?
Мы повторили свою историю о презентации, на что она сказала:
— Хорошо, я только позвоню на охрану и получу от них добро.
Если бы она это сделала, нас, конечно же, вышвырнули бы вон, поэтому я сказал:
— Звоните, если хотите. Но вообще-то нас Эндрю сюда послал.
— А, Эндрю? Тогда проходите.
Женщина открыла дверь и добавила:
— Только письма не трогайте, пожалуйста.

 

Мы спокойно перелопатили все помещение: сдвигали потолочную плитку и стопки писем, ковырялись в проводах.

Как видите, случившееся во многом было завязано на наблюдательности и умении сортировать найденную информацию (причем это было только самое начало операции).

Я понятия не имел, пригодится ли мне имя Эндрю. Мишель не могла заранее знать, что в лифте нам попадется сердобольная сотрудница. И никто из нас не предполагал встретить группу курильщиков, которым будет совершенно все равно, что мы вошли в здание вслед за ними. Однако благодаря наблюдательности все эти мелочи обеспечили нам необходимые для успеха операции условия.

Сценарий второй

 

Как вам такая задача: провести адресный фишинг топовой юристки из крупной американской юридической корпорации? Условие: для подготовки операции можно использовать только информацию из открытых источников.

Мы разберем эту историю подробнее в разделе, посвященном сбору информации с использованием технологий. Тем не менее сейчас мне хочется поделиться историей своего провала в задании, а также важными уроками, которые я из этого провала извлек.

Выполняя задачу, мы выяснили, что юристка среди прочего вела некоторые дела в штате Массачусетс. Именно там незадолго до описанных событий изменилось налоговое законодательство. Я подумал, что эта новость наверняка привлечет ее внимание и заставит открыть приложенный к письму файл.

Я начал составлять письмо об изменениях законов штата и подробнейшим образом планировать все этапы операции. Письмо было написано профессионально, в нем не прослеживалось даже намека на какую-либо угрозу, зато был огромный соблазн открыть зараженный файл. Дело в том, что в письме был сформулирован реалистичный срок для прочтения и формулировки ответа, к тому же оно было подробным ровно в той степени, чтобы получателю захотелось нажать на ссылку, обещавшую продолжение.

 

Увы, через считаные минуты после отправки письма наш план раскусили и операция провалилась. Вы догадались, где была допущена ошибка?

Массачусетс юридически является не штатом, а содружеством. Юристка, по долгу службы обращавшая внимание на детали, получила письмо об изменениях в налоговом законодательстве штата Массачусетс и сказала себе: «Хм, ведь они должны знать, что это никакой не штат!» Затем она присмотрелась к адресу отправителя и ссылке на документ — это вызвало у нее достаточно подозрений, чтобы пожаловаться на спам. Афера не удалась.

Мы же со своей стороны не обратили внимания на эту «мелочь», и отсутствие наблюдательности в данном случае обошлось нам дорого.

Вывод? Наблюдательность нужно сохранять всегда, несущественных деталей не бывает. Рассуждайте как человек, на которого вы пытаетесь оказать влияние. Старайтесь понять, чего он ждет, и оправдывайте его ожидания. А иначе дьявол, скрытый в деталях, вас же и погубит.

 

Как освоить эти навыки?

Эту тему сложно уместить в короткую книжную главу. У каждого человека есть индивидуальный набор врожденных и приобретенных способностей, которые могут как усложнять, так и облегчать процесс освоения навыков. И поскольку мы с вами не знакомы лично, единственное, что я могу сделать, — это рассказать о собственном методе.

Его можно сравнить с игрой в «Захват флага». Попадая в новое здание (например, в стоматологическую клинику), я говорю себе: «Мне нужно будет запомнить двух первых человек, которых я увижу: цвет их одежды, что они делают».

Кроме того, я сам для себя выставляю ограничивающие условия:

— Эти люди не должны быть представителями обслуживающего персонала за стойкой.

 

— Нельзя забывать об основной задаче или отклоняться от нее.

— Никаких записей!

Итак, находясь в здании, я наблюдаю и стараюсь сохранить в памяти максимум подробностей до тех пор, пока не выхожу на улицу. Получается что-то вроде:

Пожилая женщина сидела слева в голубой кофте и читала журнал Woman’s Day.

 

Мальчик в полосатой футболке раскладывал на полу кубики.

Я делаю в уме такие заметки и изо всех сил стараюсь их запомнить. Для этого я использую разные мнемонические приемы: например, несколько раз повторяю информацию, пытаясь впечатать ее в память.

Как только я осваиваю навык составления таких ментальных заметок без дополнительных усилий, я усложняю задачу. В конце концов мои «флаги» выглядят примерно так:

— Какого пола были люди.
— Что на них надето.
— Чем они занимались, когда я их увидел.                                                                                                                                                                 —Предполагаемый коммуникативный профиль каждого                                                                                                                                            — Что сообщал язык их тела.

 

На основе этих данных формулирую в уме некую историю о том, почему они оказались в том месте, где я их застал. С помощью этой истории я и запоминаю необходимую информацию.

Честно говоря, этот метод давал шикарные результаты. Даже с моей ужасной памятью я умудрялся вспомнить офис, в который заходил три-четыре года назад и где встретил двух женщин в черных юбках и белых рубашках на пуговицах, что-то читавших со своих iPad. Одной из них была явно не по душе ее соседка (ну или же ей просто нужно было куда-то уйти). Я пришел к такому выводу, потому что, хотя женщины и сидели рядом, тело той, что слева, было направлено в противоположную сторону.

Еще за стойкой стоял мужчина в форме охранника: помню его черный костюм, белую рубашку, черный галстук. На правом запястье он носил золотые часы, из чего я сделал вывод, что он левша. Его волосы были аккуратно уложены, борода подстрижена. Он внимательно следил за мной и за всеми, кто находился в холле, и делал в блокноте пометки от руки.

У стойки на стуле сидел молодой мужчина с газетой в руках. Но мне показалось, что он только притворялся читающим, а сам смотрел в одно место и края газеты при этом тряслись. Я придумал историю о том, что он пришел на собеседование, конечно же, нервничал и безуспешно пытался отвлечься чтением.

 

Сейчас, когда я пишу эти строки, то представляю это помещение абсолютно четко, словно нахожусь в нем. Маленькие наблюдения способны сослужить вам, как социальному инженеру, огромную службу. Кроме того, я рекомендую отслеживать ваши слабые стороны и развивать их, начиная с малого. Проникнитесь этой мыслью: без практики в нашем деле никуда. Слишком часто мне встречаются люди, которые хотят достичь всего и сразу. Однако для формирования любого навыка требуется время.

Неудачи могут научить нас даже большему, чем успехи, — если позволить себе учиться, конечно. Именно поэтому я должен отдельно поговорить про ожидания.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+