Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Что включают в себя навыки наблюдения?Содержание книги
Поиск на нашем сайте
иже описаны несколько сценариев, отражающих применение навыков наблюдения в жизни. Сценарий первый Ваша задача — пробраться в канцелярию крупной медицинской клиники. Причем сделать это при свете дня. Взламывать замки, пробираться через заборы и влезать в окна нельзя. Нужно проверить, позволят ли вам сотрудники рецепции и охраны пройти в помещение с ограниченным доступом. Иными словами, надо проникнуть в клинику и попасть в те ее отделения, где позволено находиться только персоналу. Вот какие данные вы можете собрать из открытых источников с помощью наблюдения: • Одежда. Этому простому фактору обычно уделяют мало внимания, а зря. Еще в первой главе я говорил, что социальным инженерам нужно подтолкнуть объект воздействия к принятию необдуманных решений. Поэтому если при попытке проникнуть в здание, куда все сотрудники приходят в повседневной одежде, вы нарядитесь в костюм-тройку, то обязательно привлечете к себе всеобщее внимание. Так что нужно понимать, как будут одеты окружающие, и выглядеть соответствующе. • Входы и выходы. Точки входа и выхода нужно найти заранее, до того как вы попадете на территорию объекта. Существует ли место для курения, через которое можно проникнуть в здание? Все ли входы охраняются одинаково? Когда охранники сдают смену, какие входы остаются без охраны или без должного внимания со стороны охраны? • Организация прохода. Как организован проход на территорию и в здание? Есть ли у сотрудников бейджи и пропуска? Какие? Где их принято закреплять? Надо ли знать некий код? Существует ли порядок, при котором сторонних посетителей сопровождает по территории до места назначения охранник? Выдают ли им особые пропуска? Наконец, есть ли на запланированной точке входа в здание турникеты, пост охраны или другие препятствия? • Охрана периметра. Узнайте, что обычно происходит снаружи здания. Установлены ли там камеры наблюдения? Обходят ли территорию охранники? Закрыты ли мусорные баки? Установлены ли системы сигнализации или датчики движения? • Сотрудники охраны. Как они работают: расслабленно сидят, уставившись в экран телефона или компьютера, или же охранники всегда начеку и внимательно следят за происходящим? Как вы думаете, им на работе скучно или интересно? • Организация пространства. Позволяет ли расположение пропускных систем подсмотреть пароль из-за плеча стоящего впереди человека? (Иными словами, можно ли подойти к сотрудникам компании настолько близко, чтобы рассмотреть, какой код они используют для входа?)
Конечно, есть еще огромное количество вещей, на которые надо обратить внимание, однако эти — основные. Чтобы вы поняли, почему я выделяю именно их, расскажу одну реальную историю, в которой важнейшую роль сыграли одежда, входы и выходы, организация прохода на территорию и охрана периметра. Мы вместе с Мишель (впоследствии — моим техническим консультантом во время работы над этой книгой) должны были реализовать сценарий, который я описал в начале этого подраздела. Чтобы собрать необходимые данные из открытых источников, мы, конечно же, применяли технологические средства (о которых я подробнее расскажу позже). Но и нетехнической разведке уделили немало внимания. В качестве предлога для вторжения мы выбрали легенду, согласно которой компанию по борьбе с паразитами якобы вызвали для уничтожения расплодившихся пауков. Свою «компанию» мы назвали Big Blue Pest Control и подобрали соответствующий реквизит: синюю униформу и бутылки с распылителем, которые наполнили «ядом» для пауков (на самом деле в баллонах был ярко-синий изотоник от Gatorade).
ЗАБАВНЫЙ ФАКТ Cиний изотоник в бутылках вместо яда для насекомых — отличный способ пронести с собой на операцию освежающий напиток, который поможет утолить вызванную волнением жажду и не вспотеть. Но есть у такого решения и свои минусы: если кто-то увидит, как вы откручиваете с баллона распылитель и глотаете налитый в него яд, то как минимум вызовете у этого человека подозрение.
Для начала мы объехали периметр клиники, отметили все входы и выходы, расположение камер и места для курения. Обратили внимание, где собиралось больше и меньше людей. Мы отметили, как сотрудники носят бейджи и как одеваются. Затем выбрали подходящую, на наш взгляд, точку для проникновения и направились к двери. Нам нужно было собрать максимум информации о том, как именно организован проход на территорию. Два охранника наблюдали за тем, как сотрудники прикладывали пропуска к металлическому автомату и проходили внутрь. Кроме того, справа была стойка охраны, за которой сидел ответственный за регистрацию посетителей сотрудник. Мы решили пройти мимо охранников, слившись с толпой. Это не сработало: нас тут же остановили и спросили, чего мы хотим. Я прочел на бейдже ближайшего охранника его имя и сказал: «Здравствуйте, Эндрю. Нас попросили рассказать об услугах нашей компании по срочному уничтожению пауков…» Охранник прервал меня на полуслове: «Хорошо, зарегистрируйтесь на стойке». Я было обрадовался, что дело сделано, но тут сотрудник за стойкой попросил назвать наши имена. Я выдумал что-то на ходу, но он порылся в своих бумагах и сказал: «К сожалению, вас нет в списке посетителей. Вход посторонних лиц без пропуска запрещен». Мы пытались объяснять, просили о помощи и даже пробовали давить на него. Не сработало. Пришлось сворачиваться. Мы вышли через главный вход и решили еще разок обойти здание и заодно обсудить дальнейший план действий. И тут я заметил, как несколько человек вышли покурить. Я попросил Мишель подождать и подошел к курильщикам, при этом держал себя так, слово занят важным делом: осматриваю территорию и делаю пометки в блокноте. Затем мы медленно продолжили обход, пока не заметили группу людей, направлявшихся к другой двери, — и увязались за ними. За дверью начинался коридор, но оказалось, что он вел к тому же пропускному пункту, где нас только что развернули. Тут я увидел справа от себя лифт — но без кнопки вызова. «Черт побери, видимо, им управляют с поста охраны», — только и успел подумать я, как двери лифта распахнулись. Я тут же шагнул внутрь, надеясь, что Мишель это заметит и последует за мной. К счастью, она в подобных ситуациях чувствует себя как рыба в воде, не теряется и не волнуется. В лифте уже ехала группа людей. Громко, чтобы все это услышали, Мишель принялась канючить, обращаясь ко мне, как к начальнику: «А мы скоро закончим? Я просто умираю с голоду, а вы говорили, что никакого обеда не будет, пока все не доделаем». Одна из попутчиц строго взглянула на меня и сказала: — Дали бы человеку поесть! На что я ответил: — Я бы с удовольствием, но нам осталось проверить еще один этаж. И чем раньше мы это сделаем, тем быстрее пойдем на обед. Женщина вздохнула и спросила: — Так на какой вам этаж? — Нам в канцелярию, — уверенно ответил я. Женщина достала свой пропуск, провела им по индикатору, после чего нажала какую-то комбинацию кнопок на экране и сказала: — Сейчас мы вас там и высадим. Уф! Нам повезло: благодаря невероятной наблюдательности Мишель и моему умению быстро реагировать мы не только не попались охране, но еще получили в невольные помощники сотрудницу и прошли по ее пропуску на охраняемый этаж (кстати говоря, Мишель не сильно лукавила, ведь она всегда голодная). Мы вышли из лифта на этаже, где располагалась канцелярия, и уткнулись в закрытую дверь с табличкой, гласившей: «Если вам нужна помощь, позвоните». Что ж, мы позвонили. Нам ответила женщина: — Чем могу помочь? Мы повторили свою историю о презентации, на что она сказала: — Хорошо, я только позвоню на охрану и получу от них добро. Если бы она это сделала, нас, конечно же, вышвырнули бы вон, поэтому я сказал: — Звоните, если хотите. Но вообще-то нас Эндрю сюда послал. — А, Эндрю? Тогда проходите. Женщина открыла дверь и добавила: — Только письма не трогайте, пожалуйста. Мы спокойно перелопатили все помещение: сдвигали потолочную плитку и стопки писем, ковырялись в проводах. Как видите, случившееся во многом было завязано на наблюдательности и умении сортировать найденную информацию (причем это было только самое начало операции). Я понятия не имел, пригодится ли мне имя Эндрю. Мишель не могла заранее знать, что в лифте нам попадется сердобольная сотрудница. И никто из нас не предполагал встретить группу курильщиков, которым будет совершенно все равно, что мы вошли в здание вслед за ними. Однако благодаря наблюдательности все эти мелочи обеспечили нам необходимые для успеха операции условия. Сценарий второй Как вам такая задача: провести адресный фишинг топовой юристки из крупной американской юридической корпорации? Условие: для подготовки операции можно использовать только информацию из открытых источников. Мы разберем эту историю подробнее в разделе, посвященном сбору информации с использованием технологий. Тем не менее сейчас мне хочется поделиться историей своего провала в задании, а также важными уроками, которые я из этого провала извлек. Выполняя задачу, мы выяснили, что юристка среди прочего вела некоторые дела в штате Массачусетс. Именно там незадолго до описанных событий изменилось налоговое законодательство. Я подумал, что эта новость наверняка привлечет ее внимание и заставит открыть приложенный к письму файл. Я начал составлять письмо об изменениях законов штата и подробнейшим образом планировать все этапы операции. Письмо было написано профессионально, в нем не прослеживалось даже намека на какую-либо угрозу, зато был огромный соблазн открыть зараженный файл. Дело в том, что в письме был сформулирован реалистичный срок для прочтения и формулировки ответа, к тому же оно было подробным ровно в той степени, чтобы получателю захотелось нажать на ссылку, обещавшую продолжение. Увы, через считаные минуты после отправки письма наш план раскусили и операция провалилась. Вы догадались, где была допущена ошибка? Массачусетс юридически является не штатом, а содружеством. Юристка, по долгу службы обращавшая внимание на детали, получила письмо об изменениях в налоговом законодательстве штата Массачусетс и сказала себе: «Хм, ведь они должны знать, что это никакой не штат!» Затем она присмотрелась к адресу отправителя и ссылке на документ — это вызвало у нее достаточно подозрений, чтобы пожаловаться на спам. Афера не удалась. Мы же со своей стороны не обратили внимания на эту «мелочь», и отсутствие наблюдательности в данном случае обошлось нам дорого. Вывод? Наблюдательность нужно сохранять всегда, несущественных деталей не бывает. Рассуждайте как человек, на которого вы пытаетесь оказать влияние. Старайтесь понять, чего он ждет, и оправдывайте его ожидания. А иначе дьявол, скрытый в деталях, вас же и погубит. Как освоить эти навыки?
ту тему сложно уместить в короткую книжную главу. У каждого человека есть индивидуальный набор врожденных и приобретенных способностей, которые могут как усложнять, так и облегчать процесс освоения навыков. И поскольку мы с вами не знакомы лично, единственное, что я могу сделать, — это рассказать о собственном методе. Его можно сравнить с игрой в «Захват флага». Попадая в новое здание (например, в стоматологическую клинику), я говорю себе: «Мне нужно будет запомнить двух первых человек, которых я увижу: цвет их одежды, что они делают». Кроме того, я сам для себя выставляю ограничивающие условия: • Эти люди не должны быть представителями обслуживающего персонала за стойкой. • Нельзя забывать об основной задаче или отклоняться от нее. • Никаких записей!
Итак, находясь в здании, я наблюдаю и стараюсь сохранить в памяти максимум подробностей до тех пор, пока не выхожу на улицу. Получается что-то вроде: • Пожилая женщина сидела слева в голубой кофте и читала журнал Woman’s Day. • Мальчик в полосатой футболке раскладывал на полу кубики.
Я делаю в уме такие заметки и изо всех сил стараюсь их запомнить. Для этого я использую разные мнемонические приемы: например, несколько раз повторяю информацию, пытаясь впечатать ее в память. Как только я осваиваю навык составления таких ментальных заметок без дополнительных усилий, я усложняю задачу. В конце концов мои «флаги» выглядят примерно так: • Какого пола были люди. • Что на них надето. • Чем они занимались, когда я их увидел. • Предполагаемый коммуникативный профиль каждого (подробнее мы поговорим об этом в третьей главе). • Что сообщал язык их тела. • На основе этих данных формулирую в уме некую историю о том, почему они оказались в том месте, где я их застал. С помощью этой истории я и запоминаю необходимую информацию.
Честно говоря, этот метод давал шикарные результаты. Даже с моей ужасной памятью я умудрялся вспомнить офис, в который заходил три-четыре года назад и где встретил двух женщин в черных юбках и белых рубашках на пуговицах, что-то читавших со своих iPad. Одной из них была явно не по душе ее соседка (ну или же ей просто нужно было куда-то уйти). Я пришел к такому выводу, потому что, хотя женщины и сидели рядом, тело той, что слева, было направлено в противоположную сторону. Еще за стойкой стоял мужчина в форме охранника: помню его черный костюм, белую рубашку, черный галстук. На правом запястье он носил золотые часы, из чего я сделал вывод, что он левша. Его волосы были аккуратно уложены, борода подстрижена. Он внимательно следил за мной и за всеми, кто находился в холле, и делал в блокноте пометки от руки. У стойки на стуле сидел молодой мужчина с газетой в руках. Но мне показалось, что он только притворялся читающим, а сам смотрел в одно место и края газеты при этом тряслись. Я придумал историю о том, что он пришел на собеседование, конечно же, нервничал и безуспешно пытался отвлечься чтением. Сейчас, когда я пишу эти строки, то представляю это помещение абсолютно четко, словно нахожусь в нем. Маленькие наблюдения способны сослужить вам, как социальному инженеру, огромную службу. Кроме того, я рекомендую отслеживать ваши слабые стороны и развивать их, начиная с малого. Проникнитесь этой мыслью: без практики в нашем деле никуда. Слишком часто мне встречаются люди, которые хотят достичь всего и сразу. Однако для формирования любого навыка требуется время. Неудачи могут научить нас даже большему, чем успехи, — если позволить себе учиться, конечно. Именно поэтому я должен отдельно поговорить про ожидания. Каких ожидать результатов?
книге «Разоблачение социальных инженеров», которую мы написали вместе с доктором наук Полом Экманом, я сосредоточился исключительно на невербальных сигналах: языке тела и мимике. Когда я только учился замечать, различать и интерпретировать их, то казался себе супергероем, способным читать мысли. Я смотрел собеседнику в лицо и видел эмоции, которые тот старался скрыть. Затем сопоставлял их с языком тела и другими действиями, так что в результате практически предсказывал его реакцию на различные вопросы и ситуации. И что самое удивительное: мои предсказания оказывались верными больше чем в половине случаев. Но потом начались проблемы. Да, почти в 75 % ситуаций я оказывался прав — но это ведь значит, что в оставшихся 25 % я ошибался. Кроме того, из-за этого ощущения всемогущества я переоценивал свои истинные способности в роли социального инженера. Мне казалось, что я вижу и понимаю больше, чем видел и понимал на самом деле. Работа с Экманом стала для меня своеобразным уроком смирения: Пол постоянно находил в моих интерпретациях ошибки и исправлял их. Однажды он сказал: «Крис, даже если ты знаешь, что человек ощущает, ты не всегда можешь верно понять, почему это с ним происходит». И, прежде чем мы перейдем к обсуждению ожиданий, я хочу, чтобы вы запомнили: даже если вы застали человека за каким-то действием, это не означает, что вы автоматически поймете причины его поступка. Так как же найти связь между этими «что» и «почему»? Есть несколько способов: с помощью вопросов, сбора дополнительной информации и дальнейшего наблюдения. Однажды во время занятия я рассказывал историю из своей СИ-практики и вдруг заметил на лице одного из слушателей откровенно злое выражение. Язык его тела показывал, что он закрылся: сложил руки на груди, откинулся на спинку стула и вытянул ноги. Я подумал, что мои слова вызывали у него недоверие, и начал уделять ему больше внимания, но это не спасло положения: мужчина только больше отстранялся, а через несколько минут вдруг резко встал и вышел из аудитории. Я недоумевал: в чем проблема? Ведь я все делал правильно, почему он злится на меня? Во время перерыва я направился в туалет, погруженный в размышления об этой ситуации, и вдруг тот самый молодой человек подошел ко мне и сказал: «Извините, что мне пришлось выйти во время вашего выступления. Мне пришло сообщение от начальника о том, что на работе проблемы. Я пытался ему объяснить, что нахожусь на учебе, но он настоял, чтобы я взял трубку и ответил на его дурацкие вопросы. Подскажите, пожалуйста, как мне нагнать упущенное?» Я не удержался и рассмеялся, а потом объяснил свою реакцию: рассказал, как интерпретировал увиденное. А в это самое время у меня в голове звучал голос доктора Экмана: «Крис, ну что я вам говорил?» Данная ситуация послужила мне отличным уроком по выявлению причинно-следственных связей. Это правило относится и к наблюдению, и к сбору информации в открытых источниках. Не стоит думать, будто примеры, которые я привожу в этой книге, все сплошь иллюстрируют человеческую глупость. Я склоняюсь к тому, что люди просто недостаточно информированы о потенциальных опасностях, но никак не глупы. Взгляните на илл. 2.2, сделайте в уме необходимые заметки. Рассуждайте как социальный инженер: что эта машина может сообщить вам о своем водителе? На илл. 2.3 один из элементов снимка увеличен для наглядности. Справа приклеен символ поддержки больных раком груди. Слева — наклейка фонда помощи детям, оказавшимся в опасных для жизни ситуациях, Kids Wish Network. И еще одна говорящая наклейка, «10–20-пожизненно». Я не понимал ее смысла, но ответ быстро нашелся в интернете: это слоган движения за более строгие судебные приговоры людям, совершившим преступление с использованием огнестрельного оружия.
Что все эти наклейки говорят о водителе? Этот человек поддерживает благотворительные организации, деятельность которых считает важной. Возможно, член его семьи болел раком или столкнулся с детскими болезнями. Кроме того, водитель явно неравнодушен к вопросам контроля за огнестрельным оружием. Может, он сам был жертвой преступления с его использованием или лично знал людей, попавших в такую ситуацию. Как думаете, готовы ли вы завести с водителем беседу теперь, когда собрали всю эту информацию? Я призываю вас быть осторожнее с выводами. Обычно мои ученики отвечают: «Я заговорю с ним о том, почему наши законы в отношении огнестрельного оружия несовершенны» — или еще что-то в этом роде. Но для начала просто поставьте себя на место этого водителя и подумайте: возможно ли просто в ходе случайной беседы заставить вас изменить свою точку зрения? Вряд ли. Помните и о вашей цели: сделать так, чтобы собеседник при общении с вами действовал, не думая. Для этого говорить нужно о том, что интересно ему, а не вам. Подробнее мы коснемся этой темы в седьмой главе, посвященной извлечению информации.
Что вы видите? Какие выводы можете сделать как социальный инженер? Старайтесь обратить внимание на мельчайшие детали: • Видно, что это за рабочая среда (офис). • Понятно, какая операционная система установлена на компьютере. • Видно, какой у человека планшет. • Можно также сделать вывод, что он увлекается определенным сериалом. • Видите, какой браузер и почтовый ящик использует этот человек? • Какие еще признаки могут что-то сообщить о нем? • Какие еще детали вы заметили?
Это всего лишь поверхностные заметки, опытному СИ-специалисту подобная фотография даст намного больше информации. Как думаете, можно ли на ее основе провести профайлинг, достаточный для составления пары фишинговых e-mail, которые вызвали бы у хозяина стола эмоциональную реакцию? Впрочем, фотографии и даже личного общения не всегда бывает достаточно. В таких случаях на помощь социальному инженеру приходят технологии.
|
|||||||
Последнее изменение этой страницы: 2021-11-27; просмотров: 79; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.15.6.140 (0.014 с.) |