Искусство обмана: как научиться изощренно манипулировать людьми
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке о манипулировании поведением людей. Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, рассказывает, как распознавать манипуляции, а Forbes Life публикует отрывок из его книги «Искусство обмана», которая выйдет в издательстве «Альпина Паблишер».
Мы живем в век эмодзи, мемов, сообщений из 280 символов и постов в социальных сетях. Темпы развития технологий восхищают. Однако эти самые технологии и создали условия, в которых люди разучились наблюдать за собеседником. Поэтому мы и начали разбор темы сбора информации с методов, не предполагающих использование технологий.
Возможно, сейчас вы задаетесь вопросами:
— Что означает термин «навыки наблюдения»?
— Как эти навыки можно у себя развить?
— Что это даст?
Давайте обсудим каждый из них и посмотрим, что вам удастся заметить и понять.
Что включают в себя навыки наблюдения?
Ниже описаны несколько сценариев, отражающих применение навыков наблюдения в жизни.
Сценарий первый
Ваша задача — пробраться в канцелярию крупной медицинской клиники. Причем сделать это при свете дня. Взламывать замки, пробираться через заборы и влезать в окна нельзя. Нужно проверить, позволят ли вам сотрудники рецепции и охраны пройти в помещение с ограниченным доступом. Иными словами, надо проникнуть в клинику и попасть в те ее отделения, где позволено находиться только персоналу.
Вот какие данные вы можете собрать из открытых источников с помощью наблюдения:
Одежда. Этому простому фактору обычно уделяют мало внимания, а зря. Еще в первой главе я говорил, что социальным инженерам нужно подтолкнуть объект воздействия к принятию необдуманных решений. Поэтому если при попытке проникнуть в здание, куда все сотрудники приходят в повседневной одежде, вы нарядитесь в костюм-тройку, то обязательно привлечете к себе всеобщее внимание. Так что нужно понимать, как будут одеты окружающие, и выглядеть соответствующе.
Входы и выходы. Точки входа и выхода нужно найти заранее, до того как вы попадете на территорию объекта. Существует ли место для курения, через которое можно проникнуть в здание? Все ли входы охраняются одинаково? Когда охранники сдают смену, какие входы остаются без охраны или без должного внимания со стороны охраны?
Организация прохода. Как организован проход на территорию и в здание? Есть ли у сотрудников бейджи и пропуска? Какие? Где их принято закреплять? Надо ли знать некий код? Существует ли порядок, при котором сторонних посетителей сопровождает по территории до места назначения охранник? Выдают ли им особые пропуска? Наконец, есть ли на запланированной точке входа в здание турникеты, пост охраны или другие препятствия?
Охрана периметра. Узнайте, что обычно происходит снаружи здания. Установлены ли там камеры наблюдения? Обходят ли территорию охранники? Закрыты ли мусорные баки? Установлены ли системы сигнализации или датчики движения?
Сотрудники охраны. Как они работают: расслабленно сидят, уставившись в экран телефона или компьютера, или же охранники всегда начеку и внимательно следят за происходящим? Как вы думаете, им на работе скучно или интересно?
Организация пространства. Позволяет ли расположение пропускных систем подсмотреть пароль из-за плеча стоящего впереди человека? (Иными словами, можно ли подойти к сотрудникам компании настолько близко, чтобы рассмотреть, какой код они используют для входа?)
Конечно, есть еще огромное количество вещей, на которые надо обратить внимание, однако эти — основные.
Чтобы вы поняли, почему я выделяю именно их, расскажу одну реальную историю, в которой важнейшую роль сыграли одежда, входы и выходы, организация прохода на территорию и охрана периметра. Мы вместе с Мишель (впоследствии — моим техническим консультантом во время работы над этой книгой) должны были реализовать сценарий, который я описал в начале этого подраздела. Чтобы собрать необходимые данные из открытых источников, мы, конечно же, применяли технологические средства (о которых я подробнее расскажу позже). Но и нетехнической разведке уделили немало внимания.
В качестве предлога для вторжения мы выбрали легенду, согласно которой компанию по борьбе с паразитами якобы вызвали для уничтожения расплодившихся пауков. Свою «компанию» мы назвали Big Blue Pest Control и подобрали соответствующий реквизит: синюю униформу и бутылки с распылителем, которые наполнили «ядом» для пауков (на самом деле в баллонах был ярко-синий изотоник от Gatorade).