Искусство обмана - Кристофер Хэднеги

4 января камера наблюдения зарегистрировала проезд вашего автомобиля на красный сигнал светофора № XCV431. Назначенный за это нарушение штраф до сих пор не был оплачен. Отказ от оплаты штрафа в означенный срок приведет к негативным последствиям.

Вы можете направить жалобу или подтвердить оплату штрафа на защищенном портале www.пожалуйста_кликните_чтобы_я_вас_хакнул.com.

(Вы, наверняка догадались, что адрес страницы был изменен в целях безопасности.) Обратите внимание: я не угрожал объекту воздействия арестом. Страшные суммы штрафов называть тоже не пришлось. Просто с помощью слов я создал определенный образ, который вызвал у человека интерес и страх. А затем дал ему надежду на лучший исход. (Да, получатель перешел по ссылке.)

Представьте себе такую ситуацию: один мой ученик получил задание — выведать у человека личную информацию (полное имя, дату рождения и пару фактов из жизни). И хотя ученик очень волновался, потому что я наблюдал за ходом беседы, разговор завязался быстро и буквально через минуту я услышал следующее:

Ученик: О, огромное спасибо за помощь. Я не знал, что подарить ей, а это отличная идея. [Ученик использовал приятную валидирующую формулировку в отношении идеи подарка жене, которую предложила собеседница.]

Объект: Никаких проблем. Знаете, мне… [Она собиралась сказать, что ей пора идти, но ученик не дал ей закончить.]

Ученик [протянул руку]: Меня зовут Том, Том Смит. [Он использовал приятное ритмическое построение фразы, чтобы подтолкнуть объект к раскрытию личной информации.]

Объект: Приятно познакомиться, Том. Я — Сара.

Ученик: Взаимно, Сара. А какая, говорите, у вас фамилия?

Объект: А вам-то зачем?

Ученик: Да так просто. Просто интересно. Слушайте, а что вы собираетесь устраивать на свой день рождения? Он же у вас в июле?

Объект: Ммм, Том, с вами было приятно пообщаться, но я не хотела бы об этом говорить. Извините.

Ученик: Никаких проблем, Сара. Я же не собираюсь использовать эту информацию для подбора паролей к вашим аккаунтам!

После этой фразы девушка буквально отпрянула от ученика, глянула на часы, сказала, что опаздывает, и быстро ушла.

Что он сделал не так? Мы называем это отрицанием фрейма — то есть высказыванием, в котором упоминается то, о чем объекту воздействия думать нежелательно. Получается, вы сами подталкиваете его к невыгодным для себя размышлениям.

Как полагаете, к каким мыслям социальному инженеру не стоит подталкивать объектов воздействия в процессе общения? Наверное, на мысли о том, что их аккаунты могут взломать?!

Если не хотите пугать людей, не говорите страшных вещей вроде:

• «Да я не буду использовать эту информацию, чтобы вас взламывать!»

• «Ну я же не пытаюсь проникнуть туда, где мне быть не положено».

• «Я бы никогда не отправил вам зараженный e-mail».

• «Я не мошенник!»

Все это — примеры отрицания фрейма, возникающие, когда мы упоминаем нечто, противоположное фрейму. Но вспомните илл. 7.2: фрейм объекта воздействия — сохранение безопасности. Поэтому лучше не играйте с огнем.

Ищите способы подкрепления фрейма с помощью легенды, одежды и других инструментов: это поможет объекту воздействия избавиться от лишних вопросов и сомнений.

Каждый раз, подталкивая человека задуматься о каком-либо фрейме, мы тем самым подкрепляем этот фрейм. Например, у родителей всегда есть выбор, какой фрейм укреплять — позитивный или негативный:

• «Ты такой глупый!»

• «Спорт — это не твое».

• «Можешь ты хоть что-то сделать правильно?»

• «Если захочешь, добьешься чего угодно».

• «Знаю, это сложно, но у тебя получится!»

Профессиональный социальный инженер может подкреплять фреймы не только словами, но и с помощью легенды.

Однажды, проводя вишинг, я выбрал легенду IT-специалиста из техподдержки: якобы он отвечает на жалобу о взломе пропускной системы, поступившей прошлым вечером. Нам нужно было получить полное имя, дату рождения, идентификационный номер сотрудника и некоторую другую информацию о человеке, ответившем на звонок. Диалог состоялся примерно следующий:

Объект: Добрый день, говорит Боб. Чем могу помочь?

СИ: Боб, это Пол из IT-отдела. Вчера вечером поступила жалоба на взлом пропускной системы, были отмечены 100 аккаунтов. Вам «повезло», вы в их числе. Скажите, возникли ли у вас сегодня проблемы при входе в здание?

Объект: Нет, все работало как обычно. Повторите, пожалуйста, кто спрашивает?

СИ: Пол, Пол Уильямс из IT. Я работаю с Тони Р. Это займет всего минуту. Вы наверняка знаете, что система пропусков связана с системой заполнения зарплатных ведомостей, так что решение этого вопроса лучше не откладывать.

Объект: Да уж. Так что мне нужно сделать?

СИ: Подтвердите ваше полное имя. Можете продиктовать вашу фамилию по буквам?

Объект: Мм, серьезно? Она же проще некуда: С-М-И-Т.

СИ: А вот и ошибка нашлась! В системе вместо Роберта Смита записан Роберт Джонс. Уж вы-то знаете, что бухгалтерия этому не обрадовалась бы. Наверное, когда злоумышленники запустили алгоритм, они изменил учетные данные в базе. [Я знал, что смысла в моих словах нет, но что-то мне подсказывало, что Боб из бухгалтерии не особенно разбирался в программировании.]

Объект: Действительно, не хотелось бы, чтобы мой чек получил кто-то другой. Давайте тогда проверим остальные данные?

Затем я выдал несколько заведомо ложных утверждений и положительное подкрепление сотрудничества. В результате объект назвал мне свое полное имя, дату рождения, идентификационный номер сотрудника и даже последние четыре цифры номера социального страхования. Мои слова и легенда подкрепляли фрейм, и объекту воздействия было проще его принять.

Пусть объект думает о вашем фрейме с самой первой фразы — тогда перейти к следующему шагу будет намного легче. К какому шагу? Конечно же, к извлечению информации.

Какое определение можно дать извлечение информации? Я определяю его, как «получение сведений, о которых вы не спрашивали». Извлечение информации со стороны выглядит, как обычный разговор. Но опытный извлекатель направляет беседу в нужное русло так, чтобы вы исподволь выкладывали необходимую ему информацию.