Искусство вторжения - Митник Кевин. Страница 70
Пример:когда менеджеру пришлось в процессе работы разбираться в непростой ситуации со своей супругой, Урли использовал его эмоциональное состояние и именно в этот момент сделал запрос, который дал ему доступ к бейджам компании.
Доктор Сагарин объясняет: «Если вы думаете в систематическом режиме, то каждый сделанный запрос обдумываете спокойно и не спеша. Когда процесс идет случайным образом, вам приходится принимать решения быстро. Например, к нам может поступить запрос, на который придется отвечать под давлением мысли о том, кто задал этот вопрос, а не реально оценивать важность запрошенной информации. Мы всегда пытаемся работать в режиме систематического обдумывания, когда тема важна для нас. Но недостаток времени, отвлечение внимания или сильная эмоция может переключить нас в случайный режим».
Нам приятно думать, что обычно мы действуем рационально, логически, принимаем решения, основываясь на фактах. А психолог доктор Грегори Нейдерт говорит: «мозг человека находится в неработающем состоянии 90-95% времени». Социальные инженеры стремятся использовать это преимущество, стараясь всеми возможными способами вывести жертву из состояния систематичных размышлений — зная, что люди, размышляющие в случайном режиме, с гораздо меньшей вероятностью могут использовать ресурсы психологической защиты. Чаще всего, они утрачивают подозрительность, не задают вопросы, и не противопоставляют атакующему никаких резонов.
Социальные инженеры стремятся вступить в контакт с мишенями, когда те находятся в случайном режиме размышлений и удерживать их там. Один из способов достичь этого — позвонить жертве минут за пять до окончания рабочего дня, рассчитывая на то, что переключение с рабочих мыслей на домашние и желание уйти с работы вовремя могут заставить человека ответить на вопрос, который в другой ситуации вызвал бы подозрительность.
МОМЕНТ СОГЛАСИЯ
Социальные инженеры создают момент согласия, делая целую серию запросов, начиная с совершенно безобидных.
Пример:доктор Сагарин цитирует историю creditchex, рассказанную в первой главе «Искусства обмана», когда атакующий задает ключевой вопрос о важной информации — идентификационном номере в банке merchant, который используется как пароль для авторизации по телефону — в череде безобидных вопросов. Поскольку начальные вопросы кажутся безобидными, это устанавливает определенный настрой общения, в котором жертва и последующие вопросы рассматривает, как безобидные.
Телевизионный сценарист и продюсер Ричард Левинсон использовал похожую тактику в создании своего самого известного персонажа Коломбо, которого играет актер Петер Фальк. Все зрители прекрасно знают, что когда детектив уже уходит и напряжение спадает, — к радости подозреваемого, что он одурачил детектива, Коломбо оборачивается и задает один последний вопрос, ключевой вопрос, который он готовил все предшествующее время. Социальные инженеры часто используют такую тактику — «а вот еще один вопрос…»
ПОТРЕБНОСТЬ ПОМОГАТЬ
Психологи считают, что люди испытывают позитивные эмоции, когда помогают другим. Помощь кому-то дает ощущение собственного могущества. Это может вывести нас из плохого состояния духа. Это может помочь нам самоутвердиться. Социальные инженеры находят много способов использовать наше стремление помогать другим.
Пример:когда Урли показался у служебного входа в казино, охранник поверил его рассказу о приглашении симпатичной девушки на ужин, выдал ему деньги для этой цели, дал несколько советов, как надо обращаться с женщинами, и не стал требовать показать ему бейдж, когда Ур-ли с т а л удаляться.
Комментарий доктора Сагарина: «Поскольку социальные инженеры часто атакуют людей, которые просто не осознают ценности выдаваемой информации, помощь может рассматриваться, как небольшая расплата за достигнутый психологический комфорт. (Сколько стоит быстрый запрос в базу данных для собеседника на другом конце телефонной линии?)»
ПРИСВОЕНИЕ
Если человек присваивает себе некую роль, другие люди ведут себя по отношению к нему в соответствии с этой ролью. Цель социальной инженерии заключается в том, чтобы атакуемый воспринял атакующего как эксперта, вызывающего доверие, или надежного и правдивого человека.
Пример:доктор Сагарин цитирует историю «Как продвинуться дальше», из главы 10 «Искусства обмана». Атакующий, в поисках доступа к комнате переговоров, какое-то время болтался вокруг да около, и тем самым успокоил подозрения окружающих, потому что люди считают, что злоумышленник не будет слишком долго находится там, где его можно поймать.
Социальный инженер может подойти к охраннику, положить пятидолларовую купюру на его стол и сказать: «Я нашел это на полу.
Может, кто-нибудь говорил вам, что потерял деньги?». Охранник сразу начинает относиться к нему, как к честному человеку, заслуживающему доверия.
Если мы видим человека, который открывает дверь перед пожилой женщиной, мы думаем, что он вежливый: если же женщина молодая и привлекательная, то мы приписываем его поведению совершенно другие мотивы.
СИМПАТИЯ
Социальные инженеры часто используют тот факт, что все люди более охотно говорят «да» в ответ на запрос людей, которые им симпатичны.
Пример:Урли смог получить важную информацию от Леноры, девушки, которую он встретил в фитнес-центре, отчасти благодаря своему умению «читать мысли», вычисляя ее реакцию и постоянно подстраивая свои о т в е т ы под ее реакции. Э т о заставило ее подумать, ч т о у них общие вкусы и интересы («О, и я тоже!»). Ее чувство симпатии к нему сделало ее более открытой и готовой поделиться с ним информацией, которую он хотел получить.
Людям нравятся те, кто похож на них, имеет такие же склонности, аналогичное образование и хобби. Социальный инженер всегда тщательно изучает всю информацию, связанную с мишенью атаки, чтобы выяснить ее личные интересы — теннис, старые самолеты, коллекция антикварных ружей или все, что угодно. Социальный инженер может увеличивать чувство симпатии, используя комплименты или откровенную лесть, а также и собственную внешнюю привлекательность.
Следующая тактика — использование известного имени, которое мишень атаки знает и любит. В этом случае атакующий старается выглядеть членом «группы» внутри компании. Обманщики часто льстят и говорят комплименты, стремясь воздействовать на жертву, которая недавно была вознаграждена за какие-то достижения. Ублажение личных амбиций может способствовать привлечению жертвы на роль помощника.
СТРАХ
Социальный инженер иногда убеждает свою жертву в том, что должны случиться ужасные вещи, — но эту катастрофу можно предотвратить, если действовать так, как предлагает атакующий.
Пример:в истории «Аварийная заплатка», изложенной в главе 12 книги «Искусство обмана», социальный инженер пугает свою жертву, что она потеряет важную информацию, если не согласится установить «аварийную заплатку» на сервер базы данных компании. Страх делает жертву уязвимой и заставляет согласиться с решением, которое предлагает социальный инженер.
Атаки, основанные на использовании более высокого статуса, базируются на чувстве страха. Социальный инженер, замаскировавшись под руководителя компании, может атаковать секретаря или молодого сотрудника своим «срочным» запросом, основываясь на том, что жертва согласится выполнить его запрос, боясь получить взыскание или даже потерять работу.
РЕАКТИВНОСТЬ
Реактивность — это естественный ответ человеческой психики на ситуацию, угрожающую свободе. В реактивном состоянии мы теряем чувство перспективы и все остальное уходит в тень.
Пример:две истории в «Искусстве обмана» иллюстрируют силу реактивности — в первом случае жертве грозили потерей важного приложения, во втором — потерей доступа к сети.