Социальная инженерия и социальные хакеры

Кроме интервью полезно выполнить и ряд сопутствующих мероприятий. Обязательно постойте в курилках, потолкайтесь у главного выхода. Однажды мы выехали к клиенту, на одно предприятие, а я забыл пропуск, и пару часов мне пришлось поскучать в ожидании коллеги у главного вестибюля предприятия. Так за эти пару часов я, сам того не желая, немало узнал о деятельности предприятия и о тех проблемах, которые у него на данный момент есть.

Теперь несколько небольших комментариев к этому подразделу.

О важности вживания в роль или об актерском мастерстве социальных хакеров

Кем бы не представлялся социальный хакер, какую бы роль он не играл, играть он ее должен убедительно. А для этого он должен "вжиться" в тот персонаж, который играет. Все успешные социальные хакеры – прекрасные актеры. Вживаясь в роль, они контролируют, в том числе, и свои невербальные реакции.

Примечание

О невербальных реакциях см. в приложении 1.

Простой пример. Допустим, вы мужчина, и переоделись в женщину, и хотите, чтобы все поверили, что вы – женщина. Вы сами понимаете, что просто переодеться, это мало. Потому что для того, чтобы окружающие поверили, что вы именно тот персонаж, роль которого вы играете, вы должны жить этой ролью. В нашем случае – вы должны вести себя как женщина. Даже если на вас будет работать десяток самых лучших гримеров, которые все сделают так, что "комар носа не подточит". А вы всю их работу угробите, закурив сигарету на типично мужской манер. И так далее. Если вы играете бомжа-алкоголика, значит, как только вы войдете в магазин, от вас должны все шарахаться, кричать на вас, к вам должны подскакивать охранники и под белы ручки выводить из магазина, при этом презрительно морщась.

Если человек хороший актер, то он может считать себя на 50% состоявшимся социальным хакером. Если же он еще и разбирается в психологии, то можно считать, что как социальный хакер он состоялся на 100%, потому что "охмурит" почти любого. Дело здесь в том, что очень много людей смотрят только на внешнюю атрибутику и не смотрят на суть. Это одно из основных правил социальной инженерии. Правило, которое давно поняли все, кто так или иначе связан с манипулированием людским сознанием: социальные хакеры, продюсеры, пиарщики всех мастей и рангов и т. д. Примеры действенности этого правила можно приводить сколько угодно, стоит посмотреть хотя бы результаты прошедших выборов.

Примечание

Это же правило прекрасно работает и при проведении переговоров, о которых мы подробно будем говорить в приложении 1.

Для того чтобы это правило проиллюстрировать, подробнее рассмотрим следующий пример. Предположим, что один из авторов этой книги придет читать лекцию. При этом войдет он в аудиторию неуверенной походкой, лекцию будет читать заикающимся голосом, в общем будет этаким сосредоточением робости перед слушателями. Но при этом он расскажет, что он лауреат того, сего, пятого и десятого, руководитель там-то, а еще консультант вот здесь и здесь, а также выложит перед собой все написанные научные работы и книги, коих немало. И вот если после лекции слушателям задать несколько вопросов, среди которых "Насколько, как вы считаете, автор разбирается в жизни", подавляющее большинство ответит, что по жизни он "полный дурак". Таким образом, все обратят внимание только на внешние проявления (в данном случае неуверенность), о том же, что премии и награды просто так не выдаются, книжки тоже не сами из-под пера вылетают, консультантам не за красивые глаза деньги платят, да и вообще, чтобы всего этого добиться, надо хотя бы немного "кумекать по-житейски", никто внимания, как правило, не обращает.

Примечание

С точки зрения трансактного анализа, о котором чуть позже, это объясняется тем, что в данном случае автор выступил в роли Дитя, а слушателям отвел роль Родителей. Естественно, поскольку люди местами просто помешаны на собственной значимости, Родители они мудрые и много понимающие в жизни (конечно, сточки зрения их субъективного мнения, – как в реальности, можно только догадываться). Ну а какой Родитель скажет, что Дитя разбирается в жизни? Правильно, никакой. Вообще позиция, когда вы находитесь в роли Дитя, а другим отводите роль Родителей, работая при этом в рамках трансакции Дитя – Родитель, – самая удобная для любых манипуляций.

Теперь допустим, что тот же автор перед теми же слушателями будет читать лекцию три дня спустя. Но при этом он уже будет говорить уверенно, четко, слушателей бояться не будет, а наоборот будет вести себя с ними даже слегка надменно, и так далее. И после лекции у слушателей снова спросят насчет понимания автором жизни. И вот теперь большинство ответит, что со времени прошлой лекции автор достаточно "поумнел по жизни". Таким образом, опять почти все обратят внимание только на внешнюю атрибутику, а то, что "поумнеть по жизни" за три дня мало кому удавалось, и лектор остался точно таким же, каким он и был в прошлый раз, никому и в голову не придет.

Если же социальный хакер, кроме актерского мастерства, владеет еще и психологией, то ему, как мы уже говорили, "все возрасты покорны". Потому что он очень хорошо осведомлен еще о двух других людских слабостях, играя на которых можно многого добиться.

Следующее правило социальных хакеров гласит, что "Большинство людей отрицательно зависимы от своего чувства собственной значимости". А это значит, что эта отрицательная зависимость может быть неплохой мишенью для атаки. Зависимость от чувства собственной значимости вообще сама по себе ничего плохого не означает. Наоборот: любому из нас хочется как-то и чем-то выделиться, то есть хочется чувствовать свою значимость. Вопрос в том, что выделяться можно по-разному и относиться к тому, что как-то нужно выделиться тоже можно по-разному. Отрицательная зависимость наблюдается тогда, когда человеку хочется выделиться любой ценой и делать это как можно чаще. Любой хакер, к примеру, это человек с отрицательной зависимостью от чувства собственной значимости.

Примечание

С точки зрения трансактного анализа отрицательную зависимость от чувства собственной значимости можно объяснить тем, что у такого человека слабая Взрослая компонента. Кстати, если у человека анализа слабый Взрослый (или в терминологии Фрейда слабое СуперЭго), то такому человеку достаточно лишь чуть-чуть польстить, и "он ваш". Как говорится, "что и не знал, расскажет, и что не мог, сделает".

Люди, у которых, наблюдается этот, скажем так, недостаток, очень уязвимы для действий социальных хакеров. Им действительно, очень часто достаточно только чуть-чуть польстить, чтобы они сделали для вас все, что вы захотите. Другой недостаток таких людей в том, что они очень завистливы. А зависть, по меткому выражению А. Розенбаума, это такое чувство, которое "из очень хороших людей делает очень больших скотов и подчас за очень короткое время". Зависть – это корень всех интриг. Играя на зависти одного сотрудника предприятия к другому, можно сделать очень многое. В организации распознать сотрудника, склонного к отрицательной зависимости от чувства собственной значимости, можно несложно. Иногда для этого ему достаточно сделать лишь справедливое замечание по его работе. Нормальный человек, если замечание действительно справедливо и сделано в нормальном тоне, подумает, как сделать так, чтобы такого больше не повторялось. Тот же, кто слишком много о себе возомнил, будет реагировать примерно так. Во-первых, сначала он набычится. После этого демонстративно с вами не согласится: любую наукообразную чушь начнет плести, лишь бы продемонстрировать свое несогласие. А потом либо открыто обидится, и всем своим видом будет демонстрировать, как вы его оскорбили в лучших чувствах, либо эту обиду затаит. А теперь представим, к такому "оскорбленному сотруднику" подойдет менеджер конкурирующей организации, которая спит и видит, чтобы увести у вас парочку сотрудников вместе с клиентской базой. Подойдет такой менеджер, немного "за жизнь" поговорит, польстит, а потом и скажет:

– Вижу, что вас здесь не очень-то ценят. А знаете что? Если хотите – пойдемте к нам? А? Зарплата лучше, условия лучше, коллектив лучше, и самое главное, клиентов вы будете искать не бесплатно, как здесь, а за отдельные деньги: 10% от сделки с каждого приведенного клиента (клиентская база то нужна, больше чем сам сотрудник, поэтому нужно его заинтересовать, чтобы он перетащил всех клиентов).

И очень многие пойдут.

Третье правило социальной инженерии гласит, что "Многие люди хотят, чтобы все хорошее, что только с ними в жизни может произойти, произошло как можно быстрее и желательно с минимальными усилиями с их стороны". Пример действия этого правила – тысячи обманутых вкладчиков того же пресловутого МММ, которые поверили, что вложив 100 рублей (отделавшись минимальными затратами) можно через год (и быстро, главное) получить миллион. Другой всем известный пример, это когда большинство людей голосуют за обещания кандидатов, в которых они на разный манер говорят одно и то же: "как только они придут, то все сразу будет хорошо".

Четвертое правило говорит о том, что "многие люди существа исключительно жадные до денег". Или говоря по-другому, некоторые утрачивают чувство реальности после того, как перед их носом помахать купюрой. А если не купюрой, а чемоданчиком с купюрами, то чувство реальности утрачивается всерьез и надолго. Игра на этой слабости – один из основных приемов в социальной инженерии. Применяется в разных вариациях: от банального подкупа до "писем счастья", в которых сказано, что "если перечислите на этот счет два доллара, то через месяц получите двадцать".

Социальная инженерия – это за редким исключением почти всегда игра на людских пороках и слабостях. К редким исключениям можно отнести, к примеру, излишнюю доверчивость. Хотя и здесь как сказать.

О важности продумывания мелочей

Успешный социальный хакер всегда продумывает все до мелочей. К примеру, если он пошел брать интервью, то у него будет заготовлена визитка, где будет написано, что он корреспондент такой-то газеты. Если вы позвоните по указанному номеру телефона, то тоже ничего странного не обнаружите, потому что трубку снимет девушка и обаятельным голосом произнесет:

– Редакция газеты "Мир города". Светлана Куприянова. Здравствуйте.

Договориться же о том, чтобы кто-то посидел на телефоне в течение пары часов – дело недолгое. Точно так же как договориться не только с девушкой, но и с мужчиной, который в случае чего скажет, что он главный редактор и попросит у интервьюируемого прощения за то, что "вот так вот, без предупреждения, прислали корреспондента, вы уж извините, номер горит, а информация о вашем предприятии как раз очень нужна, потому что ваше предприятие одно из значимых в нашем городе, но если конечно вы против, то Петр Семенович тут же уйдет и не будет вас беспокоить, но я очень вас прошу уделить ему времени, конечно, сколько сможете, я все понимаю, учитывая вашу занятость, как это трудно…". И ошалев от такой льстивой скороговорки генерального директора, вы соглашаетесь уделить время для интервью.

Несколько правил ведения "интервью"

• Обязательно польстите собеседнику, показав, что вы осведомлены о его значимости в компании. Делать это лучше или вначале, прямо во время вступления к интервью, или ближе к середине разговора.

• Обязательно прорабатывайте все мелкие детали и постарайтесь узнать как можно больше информации об интервьюируемом и его деятельности еще до интервью. Люди раскрываются только перед теми, в ком они видят заинтересованного их персоной собеседника. Кроме этого, если вы "в теме", то у вас будет амплуа осведомленного человека, а по отношению к осведомленному человеку и процент доверия больше (мол, свой), и "внутренние тормоза" ослабевают (осведомленному и сболтнуть что-то лишнее не страшно, так как он наверняка и сам все это знает, а то что спрашивает – ну ему по плану его интервью там про это спрашивать положено. Однако не забывайте и говорить заведомо неверные вещи. Это тоже очень хороший прием, так как многим людям присуще желание показать свою значимость, и, как только вы покажете свою некомпетентность, они тут же станут вас поправлять.

• Наберитесь терпения. Скрытый допрос требует терпения. Никогда не торопите события. Если ваш собеседник поймет, что вам надо от него нечто большее, чем просто интервью, он просто замкнется и начнет говорить о погоде. Из этой же серии совет о том, что на собеседника ни в коем случае не стоит "давить", насильно подводя его к нужному вопросу.

• Внимательно слушайте собеседника. В течение всего времени интервью. Ни в коем случае нельзя делать так, чтобы показать свою заинтересованность каким-то конкретным вопросом. Потому что вас должны интересовать все вопросы, и тот вопрос, который вам действительно интересен, должен быть просто "одним из" в той череде вопросов, которые вы задаете. Желательно даже спланировать беседу так, чтобы интересующий вас вопрос задали не вы, а о нем стал говорить сам собеседник. Таким образом, вы должны так спланировать беседу, чтобы плавно подвести собеседника к интересующему вас вопросу.

• Не оканчивайте интервью, сразу после того, как все узнали.

После этого перейдите на нейтральные темы, и таким способом завершите разговор. Это важно не только из-за того, чтобы собеседник не заподозрил неладное, а еще и для соблюдения "закона края", согласно которому наилучшим образом запоминаются те моменты разговора, которые происходят в его начале и конце. А то, что в середине, соответственно, запоминается намного хуже. Вообще правилом хорошего тона в "вытягивании" информации является построение скрытого допроса так, чтобы собеседник вообще не узнал, что сболтнул что-то лишнее. Для этого надо соблюдать два простых правила, которые в 70% случаев приведут к нужному результату:

– маскируйте значимые для вас вопросы чередой незначимых;

– задавайте нужные вопросы в середине беседы, для того чтобы по закону края интервьюируемый забыл их первыми.

• Оставляйте благоприятное впечатление об интервью у своего собеседника. Это важно, в первую очередь, для того, чтобы ваш собеседник имел желание продолжить общение в будущем.

Примечание

О правилах ведения переговоров и о психологических законах, которые лежат в их основе, мы будем подробно говорить в приложении 1.

Простые правила, позволяющие избежать данный вид атак

Существует два очень простых правила, которые позволяют избежать данного вида атак.

• Правило первое. Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности. К сожалению, нередко это правило не соблюдается, и часто бывает так, что любой сотрудник знает не меньше генерального директора. Что, конечно же, не просто неверно, а очень опасно.

Большинство людей не умеют хранить секреты

Если вы руководитель какого угодно масштаба и ранга, запомните одно из самых важных правил, выполнение которого на много процентов обезопасит вас от многих социоинженерных атак. Правило такое: подавляющее большинство людей не могут хранить даже свои сокровенные секреты, не говоря уже о чужих. Если вы наедине поделитесь какой-либо информацией с сотней лучших сотрудников, предупредив каждого, что информация сугубо секретна, можете быть уверены, что 90 человек ее непременно "сольют на сторону". По самым разным причинам. Кто-то по глупости житейской, кто-то жене за вечерним чаем, кто-то "по пьяни", кого-то будет переполнять чувство собственной значимости, потому что "сам генеральный доверился и рассказал" и об этом, конечно же, нужно рассказать друзьям, которым никто никогда такой важной информации не доверял… Причин тут много. И они не главное – важен результат: большинство не могут хранить секреты. И, конечно, одно из качеств хорошего руководителя, – это умение разбираться в людях, которое полезно хотя бы для того, чтобы из этой сотки выделить те пять-десять человек, которым действительно не страшно довериться.

• Правило второе. Применяемое в том случае, если у кого-то из сотрудников возникнет желание с кем-то поделиться той информацией, которую ему положено знать по должности. В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной. Именно так – "ответственность вплоть до уголовной", так как все другие виды наказания (взыскания, штрафы и пр.) легко обходимы. Подумаешь, штраф какой-то. Его же не сотрудник будет платить, а та организация, которая, скажем, заказала ему вашу клиентскую базу данных, потому что к сумме счета за свои "услуги" ваш "сотрудник" просто добавит сумму штрафа.

Примечание

И еще. Небольшое добавление ко второму правилу. Вы можете себя не ограничивать в средствах запугивания своих сотрудников на предмет того, что с ними будет после того, как они что-то своруют в вашей организации. Потому что некоторых работников удержать от дурных поступков может только страх. Так как страх за свое дальнейшее будущее для многих это именно то единственное чувство, которое сильнее страсти к деньгам.

Воровство клиентских баз данных

Продолжим начатый в главе 1 разговор о воровстве клиентских баз данных. Несмотря на то, что достоянием гласности являются только единичные факты воровства клиентских баз данных, количество даже известных широкой публике случаев за последнее время значительно выросло. Для нас наиболее интересно то, что большинство хищений информации связано с использованием методов социальной инженерии.