Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]

И все же, даже если вы попадете на хороший мастер-класс по актерскому мастерству или посмотрите полезное видео, вам не обойтись без изучения шести принципов освоения легенды. Давайте разберем их по порядку.

Инспектор по пожарной безопасности, дезинфектор, менеджер по управлению персоналом — я упомянул лишь несколько легенд из тех, что воплощал за свою профессиональную жизнь. Для начала расскажу, как я выбираю наиболее подходящую для конкретной локации или объекта воздействия роль.

Все начинается со сбора данных из открытых источников: я нахожу все доступные в открытых источниках факты о человеке или компании — их историю, новости, информацию о хобби, антипатиях, событиях и пр. (все это мы уже подробно разобрали во второй главе). Эти данные и помогают мне выбрать наиболее подходящую легенду. Однако есть еще один важный аспект, который играет решающую роль в этом выборе, — моя цель. Понимание, чего я собираюсь достичь в ходе операции, важнее даже обладания полной картиной специфики бизнеса, в который я буду внедряться. Позвольте проиллюстрировать эту мысль историей, которую я называю «Эскапада на 18-м этаже».

Меня наняли для проверки того, возможно ли человеку «с улицы» попасть в охраняемое здание, которым владела и управляла компания — производитель аудиоконтента. Но моим клиентом была не она, а фирма, арендовавшая 18-й этаж, — туда мне и нужно было попасть. Обычно посторонних людей в здание не пускали, лифты включались только по пропускам, а головной офис компании вообще находился в другом штате… Я принялся за дело.

На фазе сбора данных из открытых источников моей команде удалось собрать крайне мало фактов об именах и личностях сотрудников компании. Однако мы нашли имя регионального руководителя и некоторую информацию о его проектах. Кроме того, откопали документы на сервере, который компания явно не планировала делать публичным: инструкцию по технике безопасности, несколько внутренних писем, маркетинговые материалы по грядущим проектам и еще несколько случайных документов.

Какую легенду можно было бы выбрать, ориентируясь на эту информацию? Прежде чем читать дальше, попробуйте сами ответить на этот вопрос.

Может быть, вы выбрали роль мастера по ремонту лифтов? Это позволило бы попасть в здание, не вызывая подозрений у охраны. Или вы подумали о том, чтобы изобразить представителя головного офиса, без предупреждения приехавшего для проверки работы филиала? Или иной вариант?

Отлично. Теперь я сообщу некоторые подробности, которые помогут вам определиться с выбором. Кроме проникновения на 18-й этаж в мою задачу входила видео- и фотосъемка входов и выходов здания, любых незапароленных компьютеров, открытых документов и проектов, которые нельзя было бы найти в публичном доступе.

То есть мне нужна была легенда, позволявшая не только приближаться к компьютерам и столам, но и носить в руках камеру — или, по крайней мере, возможность куда-то установить скрытую камеру.

В этом контексте образ специалиста по ремонту лифтов оказался бы ужасным решением. Да, он позволил бы проникнуть в здание, но к цели я бы так и не приблизился.

Легенда представителя головного офиса, возможно, позволила подняться на этаж и даже пройти в кабинеты, но все равно предполагала бы определенные ограничения. Ведь чтобы такая операция прошла успешно, мне нужно было знать, кто работает в филиале.

Внимательно изучив инструкцию по технике безопасности, которую мы нашли в интернете, я узнал, что в компании предъявлялись строгие требования к дверям, ведущим на лестницу. Их категорически нельзя было держать открытыми. Более того, со стороны лестницы на них даже не устанавливали ручки.

Благодаря этой информации я выбрал легенду работника службы безопасности. Будто бы в другом отделении компании возникла проблема и меня направили в этот офис удостовериться, соблюдаются ли правила безопасности здесь. По моему сценарию, персонал отделения о визите проверяющего не предупреждали, чтобы никто не мог подготовиться и скрыть нарушения. А для отчета о проверке я якобы должен был снимать весь процесс на камеру.

Теперь вы понимаете, как четкое понимание целей помогает совершенствовать легенду? Именно благодаря ему я сформулировал легенду, которая помогла мне достичь СИ-целей, не вызывая ни у кого подозрений. Грамотно, правда?

Итак, пришло время перейти ко второму принципу. Дальнейшее развитие событий «Эскапады на 18-м этаже» поможет нам в нем разобраться.

Этот принцип связан с особенностями памяти: намного проще запоминается легенда, основанная на реальности. Причем это касается и вас самих, и объекта воздействия. То есть необходимо использовать собственный опыт и знания, которые у вас уже есть или которые вы легко можете получить. Сегодня я часто говорю, что среди всех видов отношений сложнее всего имитировать отношения между отцом и дочерью. Однако сам я этого не понимал до тех пор, пока у меня не появилась дочка. Мне кажется, то, как я о ней рассказываю и что ощущаю, когда нахожусь рядом, сымитировать невозможно. Не будь у меня дочери (а в мою задачу входило бы установление раппорта с отцом девочки), очень опасно выдумывать такую легенду. Но ведь можно с нежностью рассказать и о какой-нибудь любимой племяннице, верно?

Это я все к тому, что ваша легенда должна основываться на фактах, эмоциях и знаниях, которые у вас есть или которые вы способны без труда сымитировать. Поэтому с легендой, которую я рассматривал выше, я наверняка потерпел бы фиаско: ведь мои познания о работе лифтов, мягко говоря, ограниченны — как и возможности изобразить специалиста по их починке. Если бы у кого-то возникли ко мне вопросы, мой провал был бы гарантирован.

Кроме того, выбирая роль, я стараюсь использовать имя, на которое автоматически откликаюсь. Некоторые люди способны реагировать и на чужое имя, но большинству все же удобнее использовать свое или его вариацию.

И конечно же, в подавляющем большинстве случаев для работы «в поле» я выбираю мужские персонажи. Но в переписке, социальных сетях и даже по телефону мне приходилось бывать и женщиной.

Во многих американских компаниях действует правило, согласно которому сотрудники службы поддержки не должны задавать вопросов о том, какого пола звонящий. Так что если некая «Салли» звонит и говорит голосом Барри Уайта, что ж, значит, такая вот уникальная женщина эта Салли. А поставив под сомнение гендер звонящего, вы рискуете обидеть человека с необычным голосом. Зная это, я спокойно представлялся Кристиной и Лаурой, когда нужно было общаться с объектами по телефону.