Кевин Митник - Искусство вторжения

Второй метод состоит в том, что жертву предупреждают о событии, которое (о чем не подозревает атакуемый) атакующий сам и создает. Например, в истории «Отказ сети», рассказанной в Главе 5 книги «Искусство обмана», где атакующий объясняет, что сетевое соединение может выйти из строя. Затем обманщик делает что-нибудь, что прерывает сетевое соединение жертвы, заставляя ее поверить в его искренность.

Эта тактика предсказания часто используется в сочетании с третьим методом, когда атакующий «доказывает» жертве, что ему можно доверять, устраняя возникшую проблему. Так и произошло в «Отказе сети», когда атакующий сначала предупредил, что сеть может выйти из строя, затем сделал так, что сетевое соединение прервалось, как он и предсказывал, а потом восстановил соединение, утверждая, что он «устранил проблему», вызвав у жертвы чувство доверия и благодарности.

ЖЕРТВУ ЗАСТАВЛЯЮТ ИГРАТЬ ОПРЕДЕЛЕННУЮ Р О Л Ь

Социальный инженер часто вынуждает свою мишень играть непривычную роль, например, принуждая ее к подчинению своим агрессивным поведением или взывая к жалости.

Пример :Урли в своем разговоре с Ленорой встал в позицию человека, нуждающегося в помощи (только что расставшегося со своей девушкой, переехавшего в другой город и ищущего работу), чтобы поставить ее в роль помощника.

Чаще всего социальные инженеры стремятся, чтобы их мишень играла роль помощника. После того, как человек взял на себя эту роль, ему очень трудно из нее выйти.

Наиболее хитрый и опытный социальный инженер попытается придумать для жертвы такую роль, в которой та чувствовала бы себя комфортно. Затем он будет вести переговоры так, чтобы использовать жертву в этой роли — Урли сделал именно это с Ленорой и Ме-ган, когда почувствовал, что они с радостью будут помощниками. Люди с удовольствием берут на себя роли с положительным наполнением, которые позволяют им ощущать себя хорошими людьми.

СБИВАНИЕ С МЫСЛИ

Социальные психологи выделяют в процессе восприятия информации человеком два возможных типа — систематический и случайный.

Пример :когда менеджеру пришлось в процессе работы разбираться в непростой ситуации со своей супругой, Урли использовал его эмоциональное состояние и именно в этот момент сделал запрос, который дал ему доступ к бейджам компании.

Доктор Сагарин объясняет: «Если вы думаете в систематическом режиме, то каждый сделанный запрос обдумываете спокойно и не спеша. Когда процесс идет случайным образом, вам приходится принимать решения быстро. Например, к нам может поступить запрос, на который придется отвечать под давлением мысли о том, кто задал этот вопрос, а не реально оценивать важность запрошенной информации. Мы всегда пытаемся работать в режиме систематического обдумывания, когда тема важна для нас. Но недостаток времени, отвлечение внимания или сильная эмоция может переключить нас в случайный режим».

Нам приятно думать, что обычно мы действуем рационально, логически, принимаем решения, основываясь на фактах. А психолог доктор Грегори Нейдерт говорит: «мозг человека находится в неработающем состоянии 90-95% времени». Социальные инженеры стремятся использовать это преимущество, стараясь всеми возможными способами вывести жертву из состояния систематичных размышлений — зная, что люди, размышляющие в случайном режиме, с гораздо меньшей вероятностью могут использовать ресурсы психологической защиты. Чаще всего, они утрачивают подозрительность, не задают вопросы, и не противопоставляют атакующему никаких резонов.

Социальные инженеры стремятся вступить в контакт с мишенями, когда те находятся в случайном режиме размышлений и удерживать их там. Один из способов достичь этого — позвонить жертве минут за пять до окончания рабочего дня, рассчитывая на то, что переключение с рабочих мыслей на домашние и желание уйти с работы вовремя могут заставить человека ответить на вопрос, который в другой ситуации вызвал бы подозрительность.

МОМЕНТ СОГЛАСИЯ

Социальные инженеры создают момент согласия, делая целую серию запросов, начиная с совершенно безобидных.

Пример :доктор Сагарин цитирует историю creditchex, рассказанную в первой главе «Искусства обмана», когда атакующий задает ключевой вопрос о важной информации — идентификационном номере в банке merchant, который используется как пароль для авторизации по телефону — в череде безобидных вопросов. Поскольку начальные вопросы кажутся безобидными, это устанавливает определенный настрой общения, в котором жертва и последующие вопросы рассматривает, как безобидные.

Телевизионный сценарист и продюсер Ричард Левинсон использовал похожую тактику в создании своего самого известного персонажа Коломбо, которого играет актер Петер Фальк. Все зрители прекрасно знают, что когда детектив уже уходит и напряжение спадает, — к радости подозреваемого, что он одурачил детектива, Коломбо оборачивается и задает один последний вопрос, ключевой вопрос, который он готовил все предшествующее время. Социальные инженеры часто используют такую тактику — «а вот еще один вопрос…»

ПОТРЕБНОСТЬ ПОМОГАТЬ

Психологи считают, что люди испытывают позитивные эмоции, когда помогают другим. Помощь кому-то дает ощущение собственного могущества. Это может вывести нас из плохого состояния духа. Это может помочь нам самоутвердиться. Социальные инженеры находят много способов использовать наше стремление помогать другим.

Пример :когда Урли показался у служебного входа в казино, охранник поверил его рассказу о приглашении симпатичной девушки на ужин, выдал ему деньги для этой цели, дал несколько советов, как надо обращаться с женщинами, и не стал требовать показать ему бейдж, когда Ур-ли с т а л удаляться.

Комментарий доктора Сагарина: «Поскольку социальные инженеры часто атакуют людей, которые просто не осознают ценности выдаваемой информации, помощь может рассматриваться, как небольшая расплата за достигнутый психологический комфорт. (Сколько стоит быстрый запрос в базу данных для собеседника на другом конце телефонной линии?)»

ПРИСВОЕНИЕ

Если человек присваивает себе некую роль, другие люди ведут себя по отношению к нему в соответствии с этой ролью. Цель социальной инженерии заключается в том, чтобы атакуемый воспринял атакующего как эксперта, вызывающего доверие, или надежного и правдивого человека.

Пример :доктор Сагарин цитирует историю «Как продвинуться дальше», из главы 10 «Искусства обмана». Атакующий, в поисках доступа к комнате переговоров, какое-то время болтался вокруг да около, и тем самым успокоил подозрения окружающих, потому что люди считают, что злоумышленник не будет слишком долго находится там, где его можно поймать.