Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]

Моя подруга Пинг Лук посоветовала мне изменить подход и назначить за свое выступление фиксированную цену. Я долго противился этой мысли, но потом вспомнил прошлый опыт и решил попробовать.

И представляете, оказалось, что люди были только рады платить! Меня стали ценить даже больше. В конце концов изменился мой подход к ведению бизнеса: с тех пор я ничего не делаю бесплатно.

Мораль очевидна: не думайте, что люди начнут ценить ваши умения, если вы сами их не цените. Так не бывает. Если вам сложно принять эту мысль, установите скидки на самые дорогие услуги или оформите специальные предложения для клиентов, которые готовы сразу заключить контракт на долгосрочное сотрудничество. Творческий подход к ценообразованию только приветствуется, а вот оказание услуг бесплатно обесценивает ваш труд.

Иногда при встрече с потенциальным клиентом я понимаю, что он сомневается, надо ли заказывать у меня услуги. Тогда я предлагаю ему начать с разового адресного фишинга, объектом которого станет какое-то влиятельное лицо в его компании. После того как ответственный за принятие решений человек видит преимущества работы с нами и скрытые опасности в случае отказа от этой работы, вопрос о выделении денег на наши услуги снимается сразу же. Однако иногда и этого оказывается недостаточно, клиент уходит.

Как быть, если никак не удается убедить компанию в вашей полезности? Надо смириться и делать следующий шаг. Потерпев неудачу, нужно продолжать движение вперед, а не пытаться снова и снова безрезультатно засовывать кубик в отверстие для шарика.

Если в компании не считают социальную инженерию необходимым элементом системы безопасности, вам с такими клиентами не по пути. С ними все равно было бы сложно работать, и в результате они, скорее всего, остались бы недовольны вашими услугами.

Например, был у меня клиент, сотрудничество с которым длилось четыре года. Когда мы только начинали совместную работу, он казался мне идеальным заказчиком: мы быстро нашли общий язык, он хотел тут же приступить к действиям. Программа оказалась очень успешной, и изменения не заставили себя ждать. Но вот однажды женщина, которая была нашим контактным лицом в компании и отвечала за реализацию программы, получила от другой организации предложение возглавить их отдел безопасности — и сменила место работы. На ее место пришла новая сотрудница.

С первого дня нашего с ней взаимодействия ситуация изменилась. Она постоянно обижалась, принимала все на свой счет, отказывалась идти на риск и относилась к программе далеко не так серьезно, как ее предшественница. Постепенно программа зачахла. Все вернулось на круги своя, и, хотя статистика по фишингу все еще впечатляла, эффективность программы информирования сотрудников снизилась.

Я понял, что мы потеряем этого клиента, примерно за полгода до того, как наши пути окончательно разошлись. До того случая еще один заказчик ушел от нас подобным образом. Но, думаю, это только к лучшему. Им не хотелось развивать программу в нужном направлении, а это сбивало с толку и их, и нас.

В конце концов, в сутках всего 24 часа, наши физические возможности не безграничны. Поэтому лучше тратить время и силы на тех, кто готов и хочет меняться. Не бойтесь отказываться от неудачных контрактов.

Хотя этот вопрос мне задают очень часто, я не хотел освещать его в своей книге, потому что ответить на него сложно. Но раз уж я взялся за составление этого своеобразного FAQ, совсем обойти такую тему не получится. Так что постараюсь раскрыть ее максимально полно.

Во-первых, разберитесь, сколько в принципе вы можете просить за час своей работы в роли консультанта. Я провел небольшое исследование на этот счет и нашел несколько сайтов, на которых приводилась ориентировочная стоимость услуг специалистов в сфере обеспечения безопасности по всему миру.

Этот показатель зависит от разных факторов: опыта и качества работы, статуса вашей компании, перечня оказываемых услуг.

Теперь давайте подсчитаем. Предположим, я определю стоимость часа своей работы в $100. По предыдущему опыту могу сказать, что фишинг 1000 e-mail в месяц обычно занимает у меня порядка 20 часов. Еще три часа обычно уходит на сбор данных из открытых источников, семь — на подготовку отчетов. Так что в общей сложности в месяц я потрачу на выполнение работы около 30 часов. Считаем:

30 часов в месяц × $100 в час × 12 месяцев = годовой контракт на $36 000.

Естественно, при работе с разными клиентами цифры варьируются, но примерную стоимость своих услуг я рассчитываю именно таким образом. Цена часа работы может меняться в зависимости от:

• размера компании;

• сроков контракта;

• моего отношения к клиенту (очень субъективный фактор).

Подобные подсчеты помогают рассчитать примерную сумму заказа, хоть и могут оказаться неточными. Однако, по крайней мере, теперь вы представляете, в какую сторону двигаться.

Этот список вопросов нельзя назвать исчерпывающим. Но разобрать все важные темы в рамках одной книги физически невозможно. Впрочем, я обещаю: если вы напишете мне через форму на нашем сайте https://www.social-engineer.com/contact-us/, я сделаю все возможное, чтобы дать интересующие вас ответы.

Однажды мне попался отчет, в котором сообщалось, что лишь небольшой процент работающих в США компаний ежемесячно занимается информированием и обучением сотрудников способам противостояния фишингу.

И тем не менее за последние три года моя компания выросла на 300 %. Что же случится, когда 20, 30 а то и 50 % американских компаний активно займутся просвещением своих сотрудников?

На самом деле потребность в профессиональных пентестерах, владеющих методами социальной инженерии, просто огромна. Я не могу один ее удовлетворить, поэтому и стараюсь помочь максимальному количеству заинтересованных в этом людей примкнуть к нашему профессиональному сообществу и начать оказывать качественные услуги нуждающимся в этом компаниям.

Не думаю, что наступит время, когда люди вообще перестанут работать. А значит, человеческий фактор будет актуален всегда. Кто-то постоянно будет пытаться использовать нашу эмпатию и страхи, манипулировать нами. От такого давления волей-неволей устаешь и незаметно для самого себя принимаешь неверные решения.

Социальные инженеры всегда будут нужны компаниям для того, чтобы обучать людей противостоять подобным атакам. Наверняка в будущем нам на помощь придут искусственный интеллект и другие технологии, но не думаю, что наступит время, когда люди смогут обойтись совсем без помощи других людей.