Социальный инженер за работой

Летом 2002 года консультант, которого мы будем называть Урли, был нанят компанией казино из Лас‑Вегаса для проведения аудита безопасности. Руководство активно занималось перестройкой системы обеспечения безопасности, и наняло его, чтобы он «попытался обмануть всех и вся», надеясь на основании этого опыта укрепить инфраструктуру компании. Урли был хорошим профессионалом, но мало знал о специфике игорного бизнеса.

Посвятив неделю глубокому погружению в исследование культуры стриптиза, — отдав, таким образом, дань Лас‑Вегасу, он решил заняться делом. Он обычно приступает к своей миссии до назначенного срока, да и закончить старается тоже до запланированного начала, потому что давно понял, что руководство ничего не говорит своим сотрудникам о проводимой проверке только до тех пор, пока она не началась. «Даже когда они не должны никому ничего говорить, они обычно делают это». Но он легко справлялся с этой проблемой, начиная свою работу за две недели до назначенного срока.

Он приехал и поселился в отеле в девять вечера, после чего отправился в первое казино, находящееся в его списке, чтобы начать разведку на местности. Поскольку раньше он почти не сталкивался с казино, этот визит был для него настоящим открытием. Первое, что противоречило образу казино, созданному в его представлении телеканалом Travel, были сотрудники этого заведения: если на телеэкране они выглядели элитными экспертами в области безопасности, то в реальности они «были либо полусонными, либо совершенно безразличными к своей работе». Поэтому они становились легкой мишенью для простейшей игры на доверии, которая даже и близко не приближалась к тому, что он предварительно планировал.

Он подошел к одному из таких расслабленных сотрудников и очень быстро понял, что тот совсем не прочь поговорить о своей работе. Ирония состояла в том, что раньше он работал в казино, принадлежащем клиентам Урли. «Слушай, а там работа была получше?» — спросил Урли.

Сотрудник казино отвечал: «Я бы так не сказал. Здесь я нахожусь под постоянным контролем. А там они не замечали, даже если я опаздывал на работу, да и во всем было так — с бейджами, расписанием и всем остальным. Там правая рука часто не знала, что делает левая».

Мужчина рассказал ему, что он вообще часто терял свой бейдж, и иногда ему приходилось заимствовать его у коллеги, чтобы бесплатно пообедать в тамошнем кафе для сотрудников, расположенном внутри казино.

На следующее утро Урли сформулировал свою цель, которая была достаточно очевидна: он собирался проникнуть, по мере возможности, в каждое из охраняемых помещений казино, задокументировать свое присутствие там, и попытаться проникнуть в максимальное число систем безопасности. Кроме того, он хотел отыскать доступ к любой из систем, связанных с финансами и получить другую важную информацию, например, сведения о посетителях.

Возвращаясь ночью в отель из казино, он услышал по радио рекламу нового фитнес‑клуба, предлагающего скидки для обслуживающего персонала. Он поспал и на следующее утро отправился в этот фитнес‑клуб.

В клубе он выбрал для контакта девушку по имени Ленора. «Через пятнадцать минут мы установили с ней „психологический контакт“. Ему повезло, поскольку она оказалась финансистом, а он хотел узнать как можно больше о вещах, имеющих отношение к понятиям „финансовый“ и „аудит“ в казино‑мишени. Проникновение в финансовую сферу во время проверки выявило бы колоссальную брешь в системе безопасности казино.

Один из любимых трюков Урли при занятиях социальной инженерией — угадывание мыслей собеседника. Во время разговора он следил за всеми оттенками поведения Леноры, и затем выдавал какое‑то откровение, от которого о н а буквально в с к р и к и в а л а : « О , господи, как ты догадался?». В общем, они подружились, и он пригласил ее поужинать.

Во время ужина Урли рассказал ей, что он новичок в Вегасе, и подыскивает себе работу, что он закончил хороший университет, у него диплом в области финансов, но он переехал в Вегас из‑за разрыва со своей девушкой. Затем он пожаловался, что немножко напуган перспективой занятий финансовым аудитом в Вегасе, потому что не хочет закончить жизнь «в желудке акулы». Она принялась его успокаивать, говоря, что отыскать работу в области финансов здесь совсем несложно. Чтобы помочь ему, Ленора рассказала ему гораздо больше деталей о своей работе, чем ему требовалось. «Она была самой большой моей удачей уже в начале пути, и я с удовольствием заплатил за ужин, поскольку все равно это сумма будет включена в мои производственные расходы».

Вспоминая то время, он говорит, что переоценивал тогда свои возможности, «что сильно повредило мне потом». Настало время начинать. Он упаковал сумку «с некоторыми нужными вещами, включая ноутбук, беспроводную точку доступа Orinoco, антенну и несколько других аксессуаров». Его цель была проста. Проникнуть в офисные помещения казино, сделать несколько цифровых фотографий (с отметкой времени) самого себя в тех местах, где его быть не должно, затем установить точку беспроводного доступа к сети так, чтобы он мог пытаться удаленно проникнуть в эту систему и собрать важную информацию. Чтобы завершить работу, на следующий день ему следовало еще раз вернуться и забрать установленную точку беспроводного доступа.

«Я чувствовал себя, как Джеймс Бонд». Урли прибыл в казино и расположился неподалеку от служебного входа как раз в момент пересменки, чтобы наблюдать за всем происходящим. Он надеялся, что пришел вовремя, и сможет понаблюдать, как люди входят и выходят, но оказалось, что большинство сотрудников уже прошло внутрь, и ему пришлось действовать в одиночку.

Он подождал еще несколько минут и вход совсем опустел… а это было совсем не то, чего ему хотелось. Урли заметил, что охранника, который собирался уходить, задержал его сменщик, и теперь они стояли и курили у выхода. Докурив, они пошли в разные стороны.

«Я направился вдоль улицы вслед за парнем, который уходил с работы, и приготовился пустить в ход мой любимый обезоруживающий прием.

Когда он пересек улицу и приблизился ко мне, я дал ему возможность пройти совсем рядом.

Затем я обратился к нему: «Пожалуйста, извините меня, у в а с есть минута времени?»

Именно в этом и состоял план. «Я давно заметил, что когда вы встречаетесь с кем‑то лоб в лоб, то ваш визави изначально стоит в оборонительной позиции, а если вы позволяете кому‑то догнать и обогнать вас, ситуация в корне меняется». Пока охранник отвечал Урли на какой‑то незначительный вопрос, тот успел подробно рассмотреть его. Бейдж на груди говорил, что зовут его Чарли. «Пока мы стояли с ним, удача улыбнулась мне еще раз. Еще один сотрудник вышел и назвал Чарли его прозвищем — „Сырок“. Поэтому я спросил у Чарли, как он сподобился получить такое прозвище, и он мне все рассказал».

Затем Урли отправился к служебному входу быстрым шагом. Он всегда повторял, что лучшая защита — это нападение, и предпочитал действовать именно в таком стиле. У входа стояли несколько сотрудников. Он направился прямо к охраннику и сказал: «Слушай, ты не видел Сырка? Он должен мне двадцать баксов за игру, они мне очень нужны, чтобы перекусить в перерыве».

Вспоминая этот момент, он говорит: «Черт побери, это был мой первый прокол». Он совсем забыл, что сотрудники казино здесь питаются бесплатно. Но он никогда не впадает в отчаяние после «проколов»: тогда как другие гиперактивные люди с недостаточной концентрацией внимания могут растеряться в подобной ситуации, он сверхгиперактивный, и «может гораздо быстрее думать на бегу, чем большинство людей». Эта способность и помогла ему.

«Охранник сказал: „А какого черта ты вообще платишь деньги за обед?“ и в его взоре появилась подозрительность. Я быстро развеял ее: „Слушай, я договорился пообедать с невероятно милой девочкой. Ты не представляешь себе, какая она классная!“. (Подобное заявление всегда отвлекает пожилых людей, толстых людей и тех, кто живет с родителями).

Охранник ответил: « Т ы в пролете, потому что Сырок у ш е л до конца недели». «Вот ублюдок!» — сказал я».

Охранник совершенно очаровал Урли (а его трудно очаровать) своим неожиданным вопросом, любит ли он эту девушку.

«Я начинал входить в ритм работы. А затем последовал настоящий сюрприз. Я никогда в жизни не испытывал ничего подобного. Конечно, можно это приписать моему фантастическому мастерству, но, с к о р е е всего, это была просто удача: парень протянул мне сорок долларов! Он сказал, что за двадцать долларов ничего приличного не закажешь, а мне наверняка придется расплачиваться за обоих. Затем в течение пяти минут он давал мне „отеческие“ советы, — хотел передать свои глубокие познания мне, молодому парню!».

Урли пришел в полное умиление от того, что этот увалень решил заплатить за его выдуманное свидание.

Но все шло совсем не так гладко, как думал Урли, поскольку, как только он повернулся, чтобы уйти, охранник понял, что на нем нет бейджа, и спросил его об этом. «Пришлось мне сказать, что я забыл его в сумке, очень извиняюсь за это, и пойти в здание. Это был опасный момент, поскольку, если бы он стал настаивать, мои дела были бы плохи».

Итак, Урли вошел через служебный вход, но не имел ни малейшего представления, куда двигаться дальше. Там совсем не было людей, за которыми он мог бы последовать, поэтому он начал осторожно оглядываться и обдумывать, что делать дальше. Честно говоря, особого страха он не испытывал. «Забавно, — подумал он, — как цвет может влиять на психологию человека. Я был одет во все синее — цвет правды, — как будто я молодой топ‑менеджер. Большинство пробегающих мимо людей были одеты, как простые сотрудники, поэтому было маловероятно, что они о чем‑то спросят меня».

По мере продвижения он заметил комнату, которая выглядела в точности так, как он видел в фильме «Небесное око», за исключением того, что она была расположена не на самом верхнем этаже. В этой комнате было «столько телевизоров, сколько я больше нигде не видел — это было круто!». Он прошел в эту комнату и сделал нечто неожиданное. «Я зашел, и перед тем, как они успели спросить меня о чем‑то, прочистил горло и сказал: „Внимание на девицу в двадцать третьем“.

Все телевизоры были перенумерованы, и конечно, на каждом экране была хотя бы одна девица. Все собрались около телевизора №23 и начали обсуждать, что замышляет девица, — Урли разбудил в них профессиональную паранойю. Это продолжалось добрых четверть часа, потом все вернулись к наблюдению за людьми на других мониторах, а Урли решил, что эта работа очень хорошо подходит тем, кто страдает склонностью к вуайеризму.

Перед тем, как выйти из комнаты, он сказал: «Извините, я был поглощен работой, и забыл представиться. Я Вальтер из внутреннего аудита. Меня недавно пригласил в свою группу Дэн Мур, — используя имя главы отдела внутреннего аудита, — одного из тех, кто вел с ним переговоры о проведении проверки. — Я еще не освоился во всех этих коридорах. Вы не покажете мне дорогу в комнаты руководства?».

Ребята были более чем счастливы избавиться от забредшего к ним «начальника Вальтера» и с удовольствием показали ему дорогу в те комнаты, что он искал. Урли направился в указанном направлении. Увидев, что никого нет вокруг, он решил осмотреться, и обнаружил небольшую комнату отдыха, где молодая женщина читала журнал. «Ее звали Меган, действительно симпатичная девушка. Мы несколько минут поболтали. Затем она сказала: „Слушай, ты из отдела внутреннего аудита, а мне как раз надо кое‑что туда передать“. Оказалось, что у Меган есть несколько бейджей, несколько внутренних докладов, и целая коробка бумаг, которые надо было туда отнести. Урли подумал: „Ура, у меня теперь есть бейдж!“

Чтобы его бейдж не рассматривали слишком пристально, он перевернул его, так что была видна только его тыльная сторона. Потом он двинулся дальше.

«По дороге я увидел пустой офис. Там было два сетевых порта, но я не мог с первого взгляда определить, в рабочем ли они состоянии, поэтому я вернулся к Меган, и сказал, что забыл, что должен посмотреть ее компьютер и еще один в „офисе начальника“. Она очень мило согласилась и позволила мне присесть за ее стол.

Она дала мне свой пароль, когда я попросил, а затем опять пошла в комнату отдыха. Я сказал ей, что мне надо установить у нее «монитор сетевой безопасности», и показал ей свою точку беспроводного доступа. Она ответила: «Да делайте, что угодно. Честно говоря, я совсем не разбираюсь во всех этих компьютерных штучках».

Пока ее не было, он установил точку беспроводного доступа и перезагрузил компьютер. Вдруг он осознал, что вместо брелока от ключей у него флэш‑память на 256 Мб, а вдобавок к этому — полный доступ к компьютеру Меган. «Я начал просматривать ее жесткий диск и обнаружил там немало интересного». Оказалось, что она занималась техническими делами всех топ‑менеджеров и все свои файлы называла «приятными и красивыми именами». Она собирала все подряд, например, там было немало ее фотографий, сидящей с важным видом в комнате начальства. Через несколько минут Ме‑ган вернулась, и он спросил у нее дорогу в операционный центр сети (NOC — Network Operations Center).

А вот там он столкнулся с «серьезной проблемой». Он вспоминает: «Сетевая комната была помечена так: „…“, и это было круто. Однако дверь оказалась закрытой». У него не было бейджа, который дал бы ему туда доступ, поэтому он решил просто постучать.

«Оттуда вышел джентльмен, и я рассказал ему свою „легенду“: „Привет, я Вальтер из внутреннего аудита и … бла, бла, бла“. Я не знал, что это за человек, а это был сотрудник ИТ‑департамента. Он сказал: „Хорошо, я должен проверить это у Ричарда. Подождите секунду“.

Он повернулся, и попросил кого‑то позвать Ричарда, и сказать ему, что здесь кое‑кто «утверждает», что он из службы внутреннего аудита. Через несколько минут мой провал стал очевиден. Ричард спросил меня, кто я такой, где мой бейдж и задал еще несколько вопросов. Потом он сказал: «Давайте пройдем в мой офис, я позвоню во внутренний аудит и мы все выясним».

«Этот парень застукал меня с поличным. Но затем я воспользовался своим умением думать очень быстро и сказал ему: „Поздравляю, вы поймали меня“. И пожал ему руку. Потом я сказал: „Меня зовут Урли“, и дал ему свою визитную карточку. Затем я рассказал ему, что нахожусь здесь уже несколько часов, и никто ни о чем меня ни разу не спросил, что он первый, кто проявил бдительность, что будет отражено в моем отчете. Давайте пойдем в ваш офис, и вы позвоните тем, кто подтвердит, что это правда. Кроме того, я сказал, что должен сообщить Марте, которая руководит всей операцией, о некоторых вещах, которые я успел здесь заметить. Я считаю, для достаточно жесткой ситуации мой неожиданный гамбит сработал просто блестяще». Произошло удивительное превращение. Ричард начал спрашивать Урли о том, что он успел рассмотреть, об именах людей и т.п., а потом объяснил, что он проводит свой собственный аудит для того, чтобы увеличить средства, выделяемые на обеспечение безопасности и сделать NOC более безопасным с помощью «биометрики и прочих новинок». Он решил, что может использовать информацию, которую собрал Урли, для достижения своей цели.

Настало время обеда. Урли предложил продолжить разговор за обедом. Ричард согласился с тем, что это хорошая идея, и они вместе направились в столовую для персонала. «Заметьте, что мы до этого никому еще не позвонили. Я предложил ему сделать это сейчас, а он ответил: „У тебя есть бейдж, и я знаю, кто ты такой“. Мы отправились вместе в кафе, где Урли получил бесплатный обед и приобрел нового „друга“.

«Он спросил о моем опыте работы с сетями, и мы начали говорить о большом компьютере AS400, на котором работали все приложения казино. То, что события развивались именно таким образом, можно назвать только одним словом — невероятно». Невероятно, потому что глава ИТ‑департамента, ответственный за компьютерную безопасность, делился различной внутренней информацией с Урли, даже не подумав удостовериться, с кем он разговаривает.

Говоря об этом, Урли отмечает, что «менеджеры среднего звена боятся „потерять лицо“. Как большинство из нас, они не хотят совершить ошибку и быть уличенными в этом. „Понимая это, вы получаете большое преимущество“. После обеда Ричард привел Урли обратно в NOC. „Когда мы вошли туда, он представил меня Ларри, главному системному администратору AS400. Он объяснил Ларри, что я собираюсь „попробовать их на прочность“, занимаясь аудитом в течение нескольких дней, и что мы вместе пообедали, и он уговорил меня провести некий предварительный аудит, «чтобы уберечь их от больших огорчений“, когда придет время основного аудита. После этого Урли выслушал от Ларри краткий обзор системы, собрав немало полезных сведений для своего отчета: например, что NOC хранит и обрабатывает всю информацию компании.

«Я сказал Ларри, что быстрее смогу помочь им, если у меня будет сетевая диаграмма, список доступа к межсетевому экрану и т.п. И он дал мне все это, только позвонив Ричарду для одобрения. Я подумал: „спасибо ему“.

Урли неожиданно вспомнил, что он оставил точку беспроводного доступа в одном из офисов. Хотя шансы быть пойманным сильно уменьшились после того, как он завел дружбу с Ричардом, он объяснил Ларри, что ему нужно вернуться и забрать точку доступа, которую он оставил. «Для этого мне потребуется бейдж, чтобы я мог войти в NOC, когда вернусь, и дальше входить и выходить по мере надобности». Ларри явно не хотелось этого делать, поэтому я предложил ему позвонить Ричарду еще раз. Он позвонил Ричарду и сказал, что гость хочет получить бейдж; Ричард предложил другое решение: недавно из казино было уволено несколько человек, их бейджи хранились в NOC, но никто их еще не уничтожил, «поэтому пусть воспользуется одним из них».

Урли вернул Ларри к разговору о системе, он знакомился с недавно принятыми мерами безопасности. Неожиданно Ларри позвонила его жена, явно недовольная и раздраженная чем‑то. Урли насторожил уши, почувствовав, что может извлечь выгоду из этой ситуации. Ларри сказал своей жене: «Слушай, я сейчас не могу разговаривать. У меня в офисе человек». Урли дал понять Ларри, что он чувствует, как важен для него этот разговор с женой и что он сам возьмет бейдж, если Ларри покажет, где они лежат.

«Ларри провел меня в угол комнаты, выдвинул ящик и сказал: „возьми один из этих“. Затем он быстро вернулся к своему столу и продолжил разговор с женой. Я заметил, что на бейджах не было номеров, поэтому я взял две штуки из тех, что были там». Теперь у него был не просто бейдж, а бейдж, дающий ему доступ к NOC в любое время.

Урли отправился повидать свою новую подругу Меган, посмотреть на точку беспроводного доступа и поискать что‑нибудь интересное. У него было на это время.

«Я понял, что у меня есть некоторое время, поскольку он занят разговором с женой, а такие разговоры всегда продолжаются дольше, чем хотелось бы. Я установил таймер на мобильном телефоне на двадцать минут, вполне достаточное время для проведения некоторых исследований без возбуждения недоверия у Ларри, который, как мне казалось, что‑то подозревал».

Любой, кто работал в ИТ‑департаменте, знает, что бейджи связаны с компьютерной системой; если получить доступ к компьютеру, то можно распространить возможности своего перемещения на все здание. Урли надеялся обнаружить компьютер, управляющий привилегиями доступа на бейджах, чтобы иметь возможность модифицировать те возможности, которые были на тех двух, что ему достались. Он шел по коридору и искал, где может быть расположен этот компьютер, но найти его оказалось сложнее, чем он думал. Урли почувствовал разочарование и усталость.

Он решил спросить кого‑нибудь, и остановился на охраннике, который так доброжелательно отнесся к нему у служебного входа.

Многие сотрудники уже видели его вместе с Ричардом, поэтому о подозрительности и речи не было. Урли обратился к охраннику с вопросом о системе управления доступом в здание. Охранник даже не спросил, зачем ему это надо. Никаких проблем. Он подробно объяснил, где находится то, что искал Урли.

«Я нашел это место, и вошел в крошечную комнатку, где располагалась система управления. Этот компьютер стоял на полу и на экране был список уже открытых бейджей. Там не было ни пароля, ни скринсейвера —ничего, что могло помешать мне». По его мнению, это абсолютно типичная ситуация. «Для людей характерен подход „с глаз долой, из головы вон“. Е с л и такой компьютер располагается внутри охраняемой территории, никто не считает нужным заботиться о его безопасности».

Кроме получения доступа во все помещения, он хотел сделать еще одну вещь.

«Я думал, что просто для удовольствия добавлю некоторые привилегии на один из бейджей, поменяю на нем имя, а затем обменяюсь им с одним из сотрудников, который будет ходить по казино, неосознанно помогая мне проводить мой аудит. Кого же выбрать для этого? Меган, конечно, — с ней будет очень просто поменяться бейджами. Все, что мне надо будет сделать для этого, — это сказать, что мне нужна ее помощь для проведения аудита».

Когда Урли вошел, Меган встретила его так же дружелюбно, как и прежде. Он объяснил, что проверка закончена и ему надо получить свое оборудование назад. Затем он сказал Меган, что ему нужна ее помощь. «Большинство социальных инженеров подтвердит, что люди слишком охотно соглашаются помочь». Ему нужен был бейдж Ме‑ган, чтобы сверить его с тем списком, что был у него. Через несколько мгновений у Меган был бейдж, который запутывал ситуацию еще больше, а у Урли был ее бейдж и еще один, в соответствии с которым он был большим начальником.

Когда Урли вернулся в офис Ларри, расстроенный менеджер только что закончил разговор с супругой. Наконец‑то положив трубку, он был готов продолжить общение. Урли попросил подробно объяснить ему сетевую диаграмму, но потом сознательно сменил тему, чтобы обезоружить собеседника, и спросил, как обстоят дела у Ларри с женой. После этого они почти час обсуждали проблемы супружеской жизни. «В конце нашего разговора я был уверен, что с Ларри у меня больше не будет проблем. Поэтому я сказал ему, что в моем ноутбуке есть специальные программы для аудита, которые я должен запустить в сеть. Поскольку я обычно пользуюсь оборудованием последнего поколения, запустить ноутбук мне всегда просто, потому что нет человека на планете, который не захотел бы посмотреть его в работе».

Через какое‑то время Ларри оставил меня, чтобы сделать несколько звонков и з а н я т ь с я своими делами. Предоставленный самому себе, Урли отсканировал сеть и смог проникнуть в несколько компьютеров, работающих как под Windows, так и под Linux, благодаря слабым паролям, а затем провел еще два часа, копируя разнообразную информацию из сети и даже з а п и с ы в а я ее на D V D , «о чем мне не было задано никаких вопросов».

«Завершив все свои дела, я подумал, что будет очень забавно и полезно попытаться сделать еще одну вещь. Я подошел к каждому, с кем мне пришлось общаться, даже к тем, с кем меня видели лишь короткое время, и сказал им такую фразу: „Слушайте, сделайте мне одолжение, Я люблю собирать фото всех мест, где я был, и людей, с которыми работал. Вы не согласитесь сфотографироваться со мной?“ Это бывает удивительно просто».

Некоторые сотрудники даже приглашали соседей из своих офисов, чтобы сфотографироваться вместе с ними.

У него уже было несколько бейджей, сетевых диаграмм и успешных доступов в сеть. Все это он тоже сфотографировал.

Во время заключительной встречи с заказчиками, глава внутреннего аудита пожаловался, что Урли не должен был физически проникать на территорию компании, «он не должен был атаковать таким путем». Урли также было сказано, что его действия граничат с «криминалом» и заказчики не приемлют подобных действий. Он объясняет:

«Почему казино считает мои действия нечестными? Ответ очень простой. Я никогда до этого не работал с казино и совершенно не знал их правил. Мой отчет мог привести к тому, что их компания подверглась бы аудиту Комиссии по играм, что могло привести к серьезным финансовым потерям».

Однако гонорар Урли был выплачен полностью, поэтому он совершенно не огорчился. Он искренне хотел произвести на клиента хорошее впечатление, но чувствовал, что они просто ненавидят его за использованные методы и считают их нечестными по отношению к компании и ее сотрудникам. «Они ясно дали мне понять, что больше не хотят иметь со мной дела».

Такого с ним еще не случалось — обычно клиенты принимали все результаты его проверок и смотрели на них, по его словам, как «на результаты серьезного анализа», что означало, что они вполне удовлетворены его методами проверки, адекватными тем, которые используют хакеры или социальные инженеры в реальной жизни. «Клиентов всегда впечатляли мои результаты. И я радовался и негодовал вместе с ними — до этого случая».

Подводя итог, Урли считает свою работу в Вегасе удачной в плане тестирования и неудачной в плане взаимоотношений с клиентом. «Боюсь, что больше мне в Вегасе не работать» — сожалеет он.

Можно только пожелать Комиссии по играм в дальнейшем иметь дело только с этичными хакерами, использующими исключительно высокоморальные пути проникновения в казино…

АНАЛИЗ

Социальный психолог Бред Сагарин, доктор философии, который специально исследовал технологии убеждения, так описывает арсенал социальных инженеров: «В их действиях нет ничего волшебного. Социальные инженеры используют те же способы убеждения, что и все мы повседневно. Мы играем какие‑то роли. Мы стараемся завоевать доверие. Мы призываем к выполнению взаимных обязательств. Но социальный инженер использует все это только для того, чтобы манипулировать людьми, обманывать их самым подлым образом, часто с разрушительным эффектом».

Мы попросили доктора Сагарина описать психологические принципы, лежащие в основе самых распространенных методов социальных инженеров. В некоторых случаях он подкреплял свои объяснения примерами из предыдущей книги Митника и Саймона «Искусство обмана», которые иллюстрируют ту или иную тактику.

Каждый раздел начинается с простого объяснения принципа и наглядного примера.

ВХОЖДЕНИЕ В Р О Л Ь

Социальный инженер обычно демонстрирует несколько характерных признаков той роли, которую он разыгрывает. Большинство из нас самостоятельно награждают исполнителя определенной роли дополнительными характеристиками, после того, как нам продемонстрируют некоторые знаковые элементы: мы видим человека в строгом костюме, рубашке и при галстуке, и автоматически предполагаем, что он умен, надежен и работоспособен.

Пример : когда Урли вошел в комнату наблюдения, он был одет в хороший костюм и говорил уверенным командным голосом, и люди в комнате автоматически стали выполнять его указания. Он успешно совершил перехват роли менеджера казино.

Практически каждая атака социального инженера использует вхождение в роль, так что жертва атаки домысливает другие свойства роли и действует соответственно. Такой ролью может быть ИТ‑техник, клиент, новый сотрудник или многие другие, которые лучше соответствуют потребностям атакующего.

Чаще всего вхождение в роль включает упоминание имени начальника «мишени», или имен других известных ему сотрудников, или использование местных терминов и жаргона. Для атаки на конкретного человека атакующий старается выбрать соответствующую одежду, аксессуары (значок компании, браслет, дорогую ручку, перстень с символикой престижной школы), стиль прически — все это способствует вхождению в роль, на которую претендует атакующий.

Сила этого метода заключается в том, что если вы посчитали человека кем‑то — начальником, клиентом, обычным сотрудником, вы переносите на него и другие характеристики его образа (начальник всегда энергичен и уверен в себе, разработчик программ очень умен, но в социальном плане может выглядеть не слишком блестяще, сотруднику компании всегда можно доверять).

Сколько же нужно приложить усилий, чтобы люди тебе поверили? Не т а к много.

ДОВЕРИЕ

Установление доверительных отношений — это одна из наиболее распространенных атак социальной инженерии, фундамент всего следующего в дальнейшем.

Пример : Урли вынудил Р и ч а р д а — начальника департамента ИТ — предложить ему пообедать вместе, прекрасно понимая, что все те, кто увидят его вместе с Ричардом, проникнутся к нему доверием.

Доктор Сагарин выделяет три метода, используемых в «Искусстве обмана», которые используют социальные инженеры для создания атмосферы доверия. Один из них заключается в том, что атакующий говорит нечто, что якобы работает против его интересов, как, например, в Главе 8 «Искусства обмана» в истории «Один простой звонок», когда атакующий сказал своей жертве: «Теперь напечатайте ваш пароль, но не называйте мне его. Вы никогда и никому не должны называть свой пароль, даже сотрудникам ИТ‑персонала». Подобную фразу наверняка может произнести только честный человек.

Второй метод состоит в том, что жертву предупреждают о событии, которое (о чем не подозревает атакуемый) атакующий сам и создает. Например, в истории «Отказ сети», рассказанной в Главе 5 книги «Искусство обмана», где атакующий объясняет, что сетевое соединение может выйти из строя. Затем обманщик делает что‑нибудь, что прерывает сетевое соединение жертвы, заставляя ее поверить в его искренность.

Эта тактика предсказания часто используется в сочетании с третьим методом, когда атакующий «доказывает» жертве, что ему можно доверять, устраняя возникшую проблему. Так и произошло в «Отказе сети», когда атакующий сначала предупредил, что сеть может выйти из строя, затем сделал так, что сетевое соединение прервалось, как он и предсказывал, а потом восстановил соединение, утверждая, что он «устранил проблему», вызвав у жертвы чувство доверия и благодарности.

Наши рекомендации