Социальная инженерия и социальные хакеры
Шрифт:
Часто бывает выгодным и обратный подход, когда вы не нападаете на интервьюируемого, а, наоборот, разыгрывая из себя "технического дурака", просите объяснить ту или иную деталь. Это тоже весьма действенный способ.
Примечание
Забегая вперед, заметим, что в терминах трансактного анализа, вы в этом случае ведете общение по трансакции Дитя — Родитель (о трансактном анализе мы подробно будем говорить в главе 5). Вы находитесь в роли Дитя, отводя интервьюируемому роль Родителя. А куда деваться мудрому Родителю, кроме как не научить Дитя всему, что он сам знает? Трансакция Дитя — Родитель прекрасно подходит для начала многих манипуляций, и об этом мы тоже будем говорить в главе 5, в которой изложены основные положения трансактного анализа. Вспомните об этом примере, когда будете изучать эту главу. В том же случае, когда
Таким образом, побывав на выставке, взяв за пять дней 10 интервью, попив с некоторыми особо благожелательными интервьюируемыми пива в баре и поговорив "за жизнь", а также почитав все газеты за последние полгода, в которых сообщалось о деятельности этого предприятия, я знал практически все, включая интимные стороны деятельности высшего руководства, о чем этому руководству и доложил в своем отчете. Спор был выигран, а руководство глубоко задумалось. Потом мы вместе придумывали как минимизировать последствия подобных атак. Которые, правда, и атаками-то сложно назвать. Никто не прорывал оборону противника, рискуя собственной жизнью, никто никого не вводил в транс, и вообще ничего противозаконного не делалось. Все было абсолютно легально и весьма просто. Но от того не менее страшно, потому что вот так, когда крупицы информации начинают складываться в мозаику, может получиться хорошая бомба, которая в умелых руках таких дел натворить может…
Примечание
Кроме интервью полезно выполнить и ряд сопутствующих мероприятий. Обязательно постойте в курилках, потолкайтесь у главного выхода. Однажды мы выехали к клиенту, на одно предприятие, а я забыл пропуск, и пару часов мне пришлось поскучать в ожидании коллеги у главного вестибюля предприятия. Так за эти пару часов я, сам того не желая, немало узнал о деятельности предприятия и о тех проблемах, которые у него на данный момент есть.
Теперь несколько небольших комментариев к этому подразделу.
О важности вживания в роль или об актерском мастерстве социальных хакеров
Кем бы не представлялся социальный хакер, какую бы роль он не играл, играть он ее должен убедительно. А для этого он должен "вжиться" в тот персонаж, который играет. Все успешные социальные хакеры — прекрасные актеры. Вживаясь в роль, они контролируют, в том числе, и свои невербальные реакции.
Примечание
О невербальных реакциях см. в приложении 1.
Простой пример. Допустим, вы мужчина, и переоделись в женщину, и хотите, чтобы все поверили, что вы — женщина. Вы сами понимаете, что просто переодеться, это мало. Потому что для того, чтобы окружающие поверили, что вы именно тот персонаж, роль которого вы играете, вы должны жить этой ролью. В нашем случае — вы должны вести себя как женщина. Даже если на вас будет работать десяток самых лучших гримеров, которые все сделают так, что "комар носа не подточит". А вы всю их работу угробите, закурив сигарету на типично мужской манер. И так далее. Если вы играете бомжа-алкоголика, значит, как только вы войдете в магазин, от вас должны все шарахаться, кричать на вас, к вам должны подскакивать охранники и под белы ручки выводить из магазина, при этом презрительно морщась. Если человек хороший актер, то он может считать себя на 50 % состоявшимся социальным хакером. Если же он еще и разбирается в психологии, то можно считать, что как социальный хакер он состоялся на 100 %, потому что "охмурит" почти любого. Дело здесь в том, что очень много людей смотрят только на внешнюю атрибутику и не смотрят на суть. Это одно из основных правил социальной инженерии. Правило, которое давно поняли все, кто так или иначе связан с манипулированием людским сознанием: социальные хакеры, продюсеры, пиарщики всех мастей и рангов и т. д. Примеры действенности этого правила можно приводить сколько угодно, стоит посмотреть хотя бы результаты прошедших выборов.
Примечание
Это же правило прекрасно работает и при проведении переговоров, о которых мы подробно будем говорить в приложении 1.
Для того чтобы это правило проиллюстрировать, подробнее рассмотрим следующий пример. Предположим, что один из авторов этой книги придет читать лекцию. При этом войдет он в аудиторию неуверенной походкой, лекцию будет читать заикающимся голосом, в общем будет этаким сосредоточением робости перед слушателями. Но при этом он расскажет, что он лауреат того, сего, пятого и десятого, руководитель там-то, а еще консультант вот здесь и здесь, а также выложит перед собой все написанные научные работы и книги, коих немало. И вот если после лекции слушателям задать несколько вопросов, среди которых "Насколько, как вы считаете, автор разбирается в жизни", подавляющее большинство ответит, что по жизни он "полный дурак". Таким образом, все обратят внимание только на внешние проявления (в данном случае неуверенность), о том же, что премии и награды просто так не выдаются, книжки тоже не сами из-под пера вылетают, консультантам не за красивые глаза деньги платят, да и вообще, чтобы всего этого добиться, надо хотя бы немного "кумекать по-житейски", никто внимания, как правило, не обращает.
Примечание
С точки зрения трансактного анализа, о котором чуть позже, это объясняется тем, что в данном случае автор выступил в роли Дитя, а слушателям отвел роль Родителей. Естественно, поскольку люди местами просто помешаны на собственной значимости, Родители они мудрые и много понимающие в жизни (конечно, сточки зрения их субъективного мнения, — как в реальности, можно только догадываться). Ну а какой Родитель скажет, что Дитя разбирается в жизни? Правильно, никакой. Вообще позиция, когда вы находитесь в роли Дитя, а другим отводите роль Родителей, работая при этом в рамках трансакции Дитя — Родитель, — самая удобная для любых манипуляций.
Теперь допустим, что тот же автор перед теми же слушателями будет читать лекцию три дня спустя. Но при этом он уже будет говорить уверенно, четко, слушателей бояться не будет, а наоборот будет вести себя с ними даже слегка надменно, и так далее. И после лекции у слушателей снова спросят насчет понимания автором жизни. И вот теперь большинство ответит, что со времени прошлой лекции автор достаточно "поумнел по жизни". Таким образом, опять почти все обратят внимание только на внешнюю атрибутику, а то, что "поумнеть по жизни" за три дня мало кому удавалось, и лектор остался точно таким же, каким он и был в прошлый раз, никому и в голову не придет.
Если же социальный хакер, кроме актерского мастерства, владеет еще и психологией, то ему, как мы уже говорили, "все возрасты покорны". Потому что он очень хорошо осведомлен еще о двух других людских слабостях, играя на которых можно многого добиться.
Следующее правило социальных хакеров гласит, что "Большинство людей отрицательно зависимы от своего чувства собственной значимости" . А это значит, что эта отрицательная зависимость может быть неплохой мишенью для атаки. Зависимость от чувства собственной значимости вообще сама по себе ничего плохого не означает. Наоборот: любому из нас хочется как-то и чем-то выделиться, то есть хочется чувствовать свою значимость. Вопрос в том, что выделяться можно по-разному и относиться к тому, что как-то нужно выделиться тоже можно по-разному. Отрицательная зависимость наблюдается тогда, когда человеку хочется выделиться любой ценой и делать это как можно чаще. Любой хакер, к примеру, это человек с отрицательной зависимостью от чувства собственной значимости.
Примечание
С точки зрения трансактного анализа отрицательную зависимость от чувства собственной значимости можно объяснить тем, что у такого человека слабая Взрослая компонента. Кстати, если у человека анализа слабый Взрослый (или в терминологии Фрейда слабое СуперЭго), то такому человеку достаточно лишь чуть-чуть польстить, и "он ваш". Как говорится, "что и не знал, расскажет, и что не мог, сделает".
Люди, у которых, наблюдается этот, скажем так, недостаток, очень уязвимы для действий социальных хакеров. Им действительно, очень часто достаточно только чуть-чуть польстить, чтобы они сделали для вас все, что вы захотите. Другой недостаток таких людей в том, что они очень завистливы. А зависть, по меткому выражению А. Розенбаума, это такое чувство, которое "из очень хороших людей делает очень больших скотов и подчас за очень короткое время". Зависть — это корень всех интриг. Играя на зависти одного сотрудника предприятия к другому, можно сделать очень многое. В организации распознать сотрудника, склонного к отрицательной зависимости от чувства собственной значимости, можно несложно. Иногда для этого ему достаточно сделать лишь справедливое замечание по его работе. Нормальный человек, если замечание действительно справедливо и сделано в нормальном тоне, подумает, как сделать так, чтобы такого больше не повторялось. Тот же, кто слишком много о себе возомнил, будет реагировать примерно так. Во-первых, сначала он набычится. После этого демонстративно с вами не согласится: любую наукообразную чушь начнет плести, лишь бы продемонстрировать свое несогласие. А потом либо открыто обидится, и всем своим видом будет демонстрировать, как вы его оскорбили в лучших чувствах, либо эту обиду затаит. А теперь представим, к такому "оскорбленному сотруднику" подойдет менеджер конкурирующей организации, которая спит и видит, чтобы увести у вас парочку сотрудников вместе с клиентской базой. Подойдет такой менеджер, немного "за жизнь" поговорит, польстит, а потом и скажет: