Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]

Я считаю, что использовать презрение в социальной инженерии не стоит. При этом понятно, как его применяют на более масштабном уровне, например в террористических организациях для привлечения новых адептов. Однако социальный инженер едва ли сможет использовать презрение для достижения своих целей.

Террористические организации часто эксплуатируют также и гнев, который граждане испытывают по отношению к идеологии или к правительству страны, и стремятся трансформировать этот гнев в презрение. Когда объект воздействия ощущает презрение (то есть свое моральное превосходство по отношению к объекту, на который направлен гнев), террористы предлагают «решение» и подсказывают, какие «действия» нужны для улучшения ситуации. Поразительно, как эффективно этот метод работает для разделения людей на воинствующие группы.

Страх — интересная эмоция. Цели у него могут быть совершенно разными: обычно он предупреждает нас об опасности, но в контролируемых дозах может даже веселить. Некоторым людям ощущение испуга или страха доставляет явное удовольствие.

Боязнь разочарования, неудачи, принятия неверного решения со стороны объекта воздействия, конечно, помогает социальному инженеру. И тем не менее использовать страх в больших количествах все же не стоит. Легенды, откровенно угрожающие объекту или пугающие его (например, потерей работы, семьи, жизни), могут вызвать слишком сильные эмоции. Если позже человек узнает, что его заставили все это переживать ради проверки безопасности, он наверняка испытает отвращение, презрение и гнев.

На уровне мимики страх выражается следующим образом:

Глаза широко открыты, мы стремимся максимально увидеть происходящее.

Тело напрягается, как правило, мы тяжело дышим.

Рот приоткрыт, губы растянуты, словно человек беззвучно кричит: «И-и-и!».

Все это наглядно изображено на илл. 8.14.

Что касается языка тела: испуганный человек, скорее всего, отпрянет, напряжется, поежится. Его поза будет выражать готовность бороться или убежать. Если вы испугаете собеседника, то, скорее всего, увидите реакцию как на илл. 8.15.

Обратите внимание на то, как Амайя отпрянула и напряглась всем телом. Ее рот растянут в беззвучном «и-и-и!». Она сидит в кресле и бежать ей некуда, что, скорее всего, только усиливает ощущение страха.

На илл. 8.16 изображено еще одно движение, которое часто совершают испуганные женщины, — попытка прикрыть яремную ямку.

Обращайте внимание на неявные телесные индикаторы эмоций: они помогут разобраться в чувствах объекта. Заметив признаки страха, вы сможете решить, насколько эта эмоция уместна и потенциально эффективна в конкретном контексте. Как я уже говорил выше, использовать страх в социальной инженерии можно, но я стараюсь не создавать ситуаций, в которых объекты будут чувствовать себя действительно в серьезной опасности.

Удивление часто путают со страхом, потому что выражаются они похожим образом: глаза удивленного человека открыты широко, тело замирает, рот приоткрывается. Однако его взгляд не испуган, а рот приоткрыт скорее как при произношении звука «о», а не «и» (см. илл. 8.17).

Социальный инженер может эффективно использовать удивление. Однако, как и с уже описанными эмоциями, все зависит от конкретной ситуации. Я не рекомендую неожиданно выпрыгивать из шкафа, чтобы вызвать у человека удивление. А вот легенда, подразумевающая неожиданную проверку или награду, зачастую вызывает как раз подходящую реакцию. В ходе одной операции, полностью основанной на вишинге, я с большим успехом использовал неожиданное поощрение.

Объект:Добрый день, Бэт у телефона. Чем я могу помочь?

Я:Бэт, меня зовут Пол, я из отдела управления персоналом. У меня для вас отличные новости. Возможно, вы еще не в курсе, но ваше отделение участвовало в розыгрыше нового iPhone и удача выпала именно вам!

Объект:Да ладно?! Вы шутите? Это так радостно!

Я:Понимаю. Обожаю обзванивать победителей. Повезло десяти участникам, и мне нравится быть вестником добрых новостей.

Объект:Да уж, а ведь я ничего никогда не выигрывала! Вот вы меня удивили!

Я:Представляю. Но в компании у нас работает несколько сотрудниц по имени Бэт, поэтому мне нужно проверить некоторые детали, чтобы убедиться, что вы — правильная Бэт. Уточните, пожалуйста, как пишется ваше полное имя.

Объект:Э-л-и-з-а-б-е-т С-м-а-р-т-с-о-н.

Я:Все верно. Теперь назовите, пожалуйста, свой идентификационный номер сотрудника, чтобы я мог внести его в систему.

Объект:T238712P.

Я:Ну вот, отлично, вы — та самая Бэт. Сейчас дам вам сайт, где нужно зарегистрироваться и написать адрес, по которому будет доставлен телефон. Наберите в браузере айфон. название-компании. com. [ Сайт был сделан нами заранее, и ни одна кнопка на нем не работала.]

Объект:Так, зашла на сайт, вижу логотип, но, когда жму на кнопку «Войти», ничего не происходит.

Я:Странно. У меня он тоже сейчас открыт. Так, что происходит, когда вы жмете на «Войти»? Я сразу попадаю на следующую страницу.

Объект:Нет. Сейчас попробую другой браузер. [ Перепробовала все установленные на компьютере браузеры. ] Ну да, как обычно. Что-то выиграла и теперь не смогу получить.

Я:Ну уж нет, так не пойдет. Хотите, я внесу нужную информацию?

Объект:А вам не сложно?

Я:Никаких проблем. [ Здесь я уже чувствовал себя очень виноватым. ] Значит, сначала нужно ввести полное имя, его я знаю. [ Нажимаю на клавиши, будто вбиваю ее имя в форму. ] Так, жму «Дальше». Опять спрашивает номер сотрудника, его вы тоже мне уже сказали.

Объект:Боже мой, спасибо вам огромное.

Я:Хорошо. Теперь нужен ваш логин. Полагаю, Э. Смартсон?

Объект:Вообще-то Б. Смартсон, от Бэт.

Я:Ага, понял. И последнее — осталось ввести пароль.

Объект[ ни на секунду не задумываясь ]: Пароль у меня хороший, длинный. JustinandBeth99!

Я:Отлично, все в порядке, регистрация прошла успешно. Здесь говорится, что в течение суток вы получите электронное письмо с дальнейшими указаниями о том, как получить смартфон. Поздравляю вас, Бэт!