Что выбрать социальному инженеру: влияние или манипуляцию?

П

рофессиональный социальный инженер старается не просто выполнить задание, а чему-то научить при этом клиента. Следовательно, нужно отдавать предпочтение влиянию, а не манипуляциям.

Однако, прежде чем делать вывод о неуместности манипуляций в работе социального инженера, позвольте перечислить несколько ситуаций, в которых я все же использую манипуляции и не вижу в этом ничего плохого.

Мы довольно часто используем манипуляции в рамках деятельности фонда «Невинные жизни». Мы охотимся на «хищников», которые пытаются навредить детям и совершают ужасные преступления, а в борьбе с такими негодяями все средства хороши. Кроме того, я использую манипуляции, когда меня об этом просят сами клиенты. Обычно это происходит, когда ставки очень высоки: например, когда мой клиент — крупная финансовая компания, национальный гигант или организация, отвечающая за работу крупной инфраструктуры. В таких случаях проверки должны проводиться самым тщательным образом. Некоторые клиенты напрямую просят использовать манипуляцию, а не влияние, чтобы подвергнуть протоколы безопасности настоящему испытанию. Обычно такой запрос поступает после нескольких успешных проверок, когда клиент хочет перейти на новый уровень. Но даже при организации подобных тестов мы стараемся придумывать сценарии, которые в результате обучили бы клиентов чему-то полезному.

Например, одному клиенту необходимо было проверить работу лучших сотрудников телефонной поддержки. Вопрос стоял о защите информации стоимостью в миллионы долларов, и заказчику нужно было убедиться, что эти люди смогут противостоять самым жестким атакам.

Мы несколько раз попробовали применить к ним техники оказания влияния, но так и не выявили нарушений протокола безопасности. Тогда мы решили пойти еще дальше и придумали легенду, в которой приняли участие две представительницы моей СИ-команды.

Агент 1 позвонила в департамент и запросила информацию для заполнения платежной ведомости, используя при этом очень убедительную легенду.

 

СИ-агент 1: Добрый день! Меня зовут Сара, я звоню от компании АБВ. У нас только что уволили женщину, которая отвечала за заполнение платежных ведомостей, и сегодня эту задачу передали мне. А мне через неделю рожать, так что нужно закончить поскорее, прежде чем я уйду в декрет.

Представитель службы поддержки: О, поздравляю! Не переживайте, я вам помогу. Вам нужно только пройти верификацию, после чего мы перенастроим аккаунт, чтобы вы смогли в него войти.

СИ-агент 1: Отлично, спасибо. Ой!

Представитель службы поддержки: Сара, с вами все в порядке?

СИ-агент 1: Да, просто что-то странно кольнуло. Наверное, это просто стресс. Ничего, давайте все доделаем, и я, наконец, пойду домой. Что от меня требуется?

Представитель службы поддержки: Мне нужен номер аккаунта и PIN-код для идентификации.

СИ-агент 1: Сэр, но я же только что сказала: сотрудницу, отвечавшую за ведомости, уволили, так что PIN’а у меня нет. Она его поменяла, но теперь войти в аккаунт нужно мне.

Представитель службы поддержки: Простите Сара, но я не могу…

СИ-агент 1 [ «начинает рожать» и бросает (но не выключает) трубку]: О господи, о господи, у меня воды отходят!

Представитель службы поддержки: Мэм, с вами все в порядке? Мэм?

СИ-агент 1 [кричит, будто бы обращаясь к коллеге]: Эй! Иди возьми трубку! [якобы обращаясь к другому коллеге]: А ты ВЫЗЫВАЙ СКОРУЮ!!!

СИ-агент 2: Алло, кто это?

Представитель службы поддержки: О боже. Это Стив из компании БВГ. Я помогал Саре войти в аккаунт с платежными ведомостями, но ей, кажется нужна помощь. Лучше побудьте с ней.

СИ-агент 1 [кричит неподалеку]: Если ты сейчас повесишь трубку, я тебя уволю. Нужно заполнить эти чертовы ведомости, или НИКТО НА СЛЕДУЮЩЕЙ НЕДЕЛЕ ЗАРПЛАТЫ НЕ ПОЛУЧИТ!

СИ-агент 2 [очень напряженно]: Ммм, Стив… Сара требует, чтобы я сначала решила проблему с доступом, в противном случае она отказывается ехать в больницу.

 

После этого Стив назвал номер аккаунта и всю необходимую нам информацию.

Изобретательно? Да. Манипуляция? Безусловно! Но компании было важно узнать, сумеют ли ее представители противостоять реальной атаке, организованной злоумышленниками, — это мы и проверили.

Конечно, список ситуаций, в которых вас могут попросить использовать манипуляции в процессе работы, на этом не исчерпывается. Тем не менее мы обговорили самые важные вопросы, которые вам необходимо обдумать, если вы собираетесь стать или уже являетесь социальным инженером. Будете ли вы использовать манипуляции? Если да, то в каких случаях? И в какой мере?

Принципы влияния и манипуляции действуют на большинство людей, не являющихся психопатами. Тем не менее чем чаще используешь «темные» методы, тем выше шансы перейти на темную сторону. Ведь невозможно выйти чистым из грязи. Исходя из этих соображений, я обязательно провожу беседы с командой участников фонда «Невинные жизни»: мы говорим о том, что манипуляции лишь тактика, допустимая в конкретных условиях. Для меня важно, чтобы работа не делала нас хуже. Поэтому в штате фонда есть психолог, который заботится о сохранении здоровой среды в коллективе, а также помогает сбросить груз любого негатива.

Резюме

Е

сли бы вам можно было вынести из этой главы только одну полезную мысль, мне хотелось бы, чтобы она была такой. Вы — человек (равно как и я). Влияние работает — тут все просто и понятно. Оно действует и на объекты воздействия, и на вас. Этот процесс невозможно остановить, как ни пытайся.

Грамотное использование влияния даст вам то, что вы хотите. Люди будут вести себя и взаимодействовать с вами так, как вам надо. А если вы научитесь одновременно использовать влияние и навыки установления раппорта, то будете просто непобедимы.

Люди хотят рассказывать о себе. Люди хотят доверять. Люди хотят подружиться с вами и помогать вам. Этот механизм настолько мощный, что, если не использовать его с осторожностью, он может буквально затмить ваш взгляд на мир — а там и до злоупотреблений недалеко.

Поэтому постоянно напоминайте себе, с какой целью вы пришли в социальную инженерию. Я, например, повторяю себе следующее:

• Я занимаюсь этим, чтобы помогать клиентам сохранять безопасность.

• Я делаю это, потому что у меня хорошо получается.

• Я делаю это, чтобы люди могли узнавать о возможных опасностях.

• Я делаю это, чтобы обеспечивать жизнь своей семье и своим сотрудникам.

 

Профессиональный социальный инженер обязан сохранять ответственное отношение к своей работе. Именно мера его ответственности определяет, какие решения он будет принимать во благо клиентов, сотрудников и в собственных интересах.

Принципы влияния и манипуляции, которые мы обсудили в этой главе, ежедневно используются в маркетинге, рекламе, продажах, деятельности благотворительных организаций и т. п. Почему же не показать клиентам, какими опасными они могут стать в руках опытных мошенников и злоумышленников?

Не пожалейте времени, перечитайте эту главу несколько раз. Разбирайте каждый принцип по отдельности. Отрабатывайте его применение на коллегах и членах семьи — естественно, в пределах разумного. И постепенно он станет частью вашего коммуникационного арсенала, еще одной стрелой в колчане, которая поможет метко поражать ваши социально-инженерные цели.

Таких стрел у меня для вас заготовлено еще много. Например, в следующей главе мы обсудим навыки, которые я уже упоминал в предыдущих главах. Давайте же, наконец, поговорим о фрейминге и извлечении информации.

Оттачивая мастерство

Искусство и наука объединяются в методе.

Граф Эдвард Джордж Булвер-Литтон

М

не хотелось бы поговорить о социальной инженерии как об искусстве — этого аспекта я придерживался в первом издании моей книги. Такая точка зрения поможет прояснить особое значение данной главы. После того как вы смоделируете план коммуникации, продумаете легенду, освоите мастерство установления раппорта и использования техник влияния, вы должны будете применить все это на практике. Вот где наука фрейминга и извлечения информации встречаются с искусством!

Граф Эдвард Джордж Булвер-Литтон, британский политик и писатель XVIII века, писал, что именно в методе обнаруживаются точки пересечения искусства и науки. В этой главе мы обсудим, как профессиональному социальному инженеру научиться искусно извлекать информацию и с научной точностью проводить фрейминг.

Когда я только начинал работать поваром, мой начальник вручил мне мешок сельдерея и сказал: «Сделай мне соломку». Но я был новичком и понятия не имел, что ему надо. Несколько секунд спустя (хотя мне, конечно, показалась, что прошла целая вечность) он спросил: «Не понимаешь, чего я от тебя хочу?».

Я кивнул, а он вскрыл пакет, и буквально через минуту перед нами лежал сельдерей, нарезанный, как на илл. 7.1.

 

 

 

— Ага, нарезанный полосочками, — сказал я с выражением, словно был самым умным человеком на свете.

Я начал медленно и аккуратно нарезать оставшийся сельдерей, а шеф-повар наблюдал. Потом он сказал:

— Отлично справился. А теперь мне нужно, чтобы ты точно так же нарезал еще два пакета.

Я почувствовал уверенность в себе и попытался резать с такой же скоростью, как и он. Но, поскольку я забочусь о психологическом состоянии читателей, пожалуй, не стану помещать в эту книгу фотографию сельдерея с куском моего оттяпанного пальца.

Вы, вероятно, задаетесь вопросом, какое отношение эта история имеет к теме главы. Да самое прямое. Приготовление пищи — это искусство, в основе которого лежит наука по использованию инструментов (например, умение управляться с ножом). Шеф должен понимать, как сделать блюдо вкусным, — это его искусство. Но без науки приготовления еды (и защиты собственных пальцев) тоже далеко не уйдешь. А если искусство и наука сольются в единое целое — у вас появится шанс приготовить идеально сбалансированный кулинарный шедевр.

 

ЗАМЕТКА

За годы работы на кухне я резал себе пальцы бесчисленное количество раз, так что теперь мои руки похожи на творение доктора Франкенштейна. И тем не менее части моего тела в составе блюда никогда никому не подавались. Просто подумал, что это стоит уточнить.

 

Эта глава должна показать вам, как слияние искусства с наукой фрейминга и извлечения информации способно вывести навыки, о которых говорится в первых шести главах книги, на уровень мастерства. Если научитесь правильно применять описанные в этой главе знания, то станете просто шефом мишленовского ресторана в мире социальной инженерии.