Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]

У меня есть для вас еще один ценный совет. В свободную минуту не ленитесь кратко записать свои наблюдения в блокнот или на диктофон.

Когда Клэр посадила меня в лифт, я тут же достал из кармана свой смартфон и наговорил на диктофон все, что запомнил. Такие заметки помогают убить двух зайцев. Во-первых, они значительно упрощают процесс подготовки итоговых отчетов. Во-вторых, и это гораздо важнее, проговаривание информации помогает лучше запоминать ее.

Вот что я записал тогда в лифте:

Клэр Фэрклей, охранник. Рост около 160 см, блондинка, среднего телосложения. Носит белую рубашку и черные брюки. На груди слева у нее висит бейдж. На ее столе фото двух собак. Клэр использует планшет. Установил с ней раппорт, похвалив исполнительность. Пропустила меня на 18-й этаж по своей HID-карте (висит на шнурке, прикрепленном к ремню справа). На лифте ввела код 4381.

Я только что записал все эти подробности по памяти, хотя события произошли больше двух лет назад. Думаю, теперь вы понимаете, почему я так уверенно рекомендую этот метод.

Следующий важный шаг на пути к созданию успешной легенды — поддержка .

А теперь, пожалуйста, снова представьте себе во всех подробностях легенду, которую я привожу в пример на протяжении всей этой главы: роль инспектора по безопасности из крупной корпорации. Ответьте на вопросы:

• Во что он должен быть одет?

• Какие предметы должен носить с собой?

• Какими знаниями он должен в обязательном порядке обладать?

Эти вопросы и лежат в основе пятого принципа. Давайте ответим на каждый из них:

В.:Во что он должен быть одет?

О.:Практика показывает, что такие специалисты обычно носят штаны цвета хаки или простые джинсы. А также рубашки, застегнутые на все пуговицы, кроссовки или ботинки. А еще они всегда аккуратно пострижены.

В.:Какие инструменты должен носить с собой инспектор по безопасности?

О.:Насколько я знаю, такие люди носят с собой камеру, телефон, планшет, ручки и маркеры, бумагу для записей, инструкцию, а иногда и рулетку (но это зависит от конкретных задач).

В.:Какими особыми знаниями должен обладать такой человек?

О.:Чтобы ответить на этот вопрос, нужно сначала ответить на другие. Предполагается ли, что этот инспектор знает механизм работы огнетушителя? Должен ли он знать расположение пожарных выходов, сигнализаций и пр.? Или же он скорее просто может проверить их наличие в помещении? Что еще нужно знать о компании, в здание которой я пытаюсь пробраться? А что — о компании, сотрудника которой я изображаю?

Однажды нам с Мишель нужно было проникнуть в здание. Я вручил охраннику поддельную визитку, а тот вдруг спросил, где я живу. Как выяснилось позже, это случилось потому, что название фирмы, указанной в визитке, охранник ни разу не встречал. Я такого вопроса не ожидал и потому указал на запад, сообщив:

— В том направлении.

— В промзоне? — удивился охранник. — А где же там жилые дома?

Я понял, что вот-вот попадусь, и попытался увильнуть от ответа:

— Нет, конечно, не в промзоне. Дальше, за ней.

— Извините, сэр, не хочу показаться грубияном, но на вашей визитке написано: «Семейное дело. Работаем уже 20 лет». И вы даже не можете сказать, где конкретно живете? — настаивал охранник, при этом очень уважительно ко мне обращаясь.

Недостаточно продуманная легенда определила мой провал: я не смог уверенно ответить на поставленный вопрос.

А ведь его можно было предугадать! Охранника, безусловно, стоит похвалить за внимательность. Я же на подобных глупостях больше не попадался. С тех пор, если на моей визитке был каким-то образом упомянут срок работы в компании, я всегда «готовил матчасть».

Однако чаще всего я упрощаю легенду: изображаю людей, которые только переехали или живут за городом. Это защищает меня от лишних вопросов местных жителей. В ходе «Эскапады» я убедился, что наличие планшета в руках позволяет не только выглядеть внушительно, но и записывать все, что посчитаю нужным. Ну а раз я выглядел убедительно, у Клэр не возникло сомнений в мотивах моих действий.

Вот так плавно мы и переходим к последнему принципу: воплощению. Если вы будете соблюдать все описанные выше правила, с ним, возможно, будет проще справиться.

Воплощение легенды не просто следование первым пяти принципам. Когда дело дойдет до реализации задуманного, могут возникнуть непредвиденные обстоятельства, нервное напряжение, да и предсказать поведение других участников процесса удается далеко не всегда. Случиться может все что угодно.

Я уже больше 10 лет работаю в социальной инженерии и до сих пор нервничаю перед началом каждой операции: не важно, предстоит ли мне войти в здание компании, поднять телефонную трубку и набрать номер или же просто нажать на кнопку, чтобы отправить электронное письмо. Не забыл ли я чего? А вдруг меня разоблачат? Вдруг я потерплю неудачу? Эти вопросы постоянно не дают мне покоя.

Вот что помогает воплощать легенду лично мне:

• практика;

• потянуться и подышать;

• общение;

• отказ от использования сценариев.

Важно помнить: даже если вы отлично подготовились, ваши планы могут нарушить непредвиденные обстоятельства, а они есть всегда. Это значит, что вам может попасться сверхнаблюдательный сотрудник, дотошный охранник или, вообще, закрытая на замок дверь. Иными словами, вы всегда должны быть готовы проявить гибкость.

Прежде чем пускать в дело фишинговый e-mail, я первым делом отправляю его самому себе и паре коллег, чтобы собрать обратную связь. Кроме того, прошу коллег перейти по ссылке или открыть приложенный документ, чтобы убедиться: все работает. Перед вишингом я обязательно проверяю, есть ли в моем распоряжении необходимые фоновые звуки, отображаются ли нужные данные на моем экране. Плюс к этому всегда совершаю тестовый телефонный звонок, чтобы убедиться: со спуфингом [13] Спуфинг — от англ. spoofing, подмена. Ситуация, в которой устройство, программа или человек представляются чем-то или кем-то другим с помощью ложного идентификатора. Например, мошенник во время телефонного вызова подставляет знакомый пользователю номер телефона банка. — Прим. науч. ред . все в порядке. Когда нужно отправить вирусное СМС-сообщение, я сначала посылаю его коллегам или самому себе, чтобы удостовериться: с форматированием все в порядке, ссылка рабочая. Если же мне нужно попасть в здание заказчика, стараюсь заранее довести до совершенства монолог, который планирую произносить перед охранниками и другими встреченными во время операции людьми. Также я наизусть запоминаю все детали еще до выезда на площадку. И конечно, проверяю «боеготовность» камер и другого оборудования, которое беру с собой.