Искусство обмана - [54]
Объект: Проблем не было, пропуск сработал, я прошел на работу как обычно.
Я: Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы и в будущем у вас не было пробоем. Это займет не больше минуты.
Объект: Ладно. Какая информация вам нужна?
Я: Нужно проверить, правильно ли написано ваше имя. В базе записано С-Э-Л-Л-И, верно?
Объект: Нет, здесь ошибка. Мое имя пишется через «А», а не через «Э».
Я: О, значит, все-таки не зря я вам позвонил. Тогда продиктуйте, пожалуйста, по буквам, как пишется ваша фамилия.
После этого я спрашивал, в каком отделении объект воздействия работал, проверял электронный адрес — и к моменту, когда мы добирались до идентификационного номера сотрудника и номера социального страхования, человек, уже сделавший столько уступок, соглашался рассказать и это. После изменения легенды в среднем 84 % звонков заканчивались успехом.
Социальному инженеру не стоит торопиться в процессе сбора информации. Пусть объект воздействия сообщит вам сначала менее значимые данные, а после этого у него появятся чувства, которые заставят его идти на уступки и подчиняться.
Четвертый принцип: дефицит
«Распродажа по случаю закрытия!»
«Самые низкие цены в истории!»
«На всей земле осталось всего 10 экземпляров!»
Почему такие слоганы помогают продавать? Субъективная ценность предмета, который кажется нам дефицитным или недоступным, быстро растет. Например, насколько ценен для нас один кекс из упаковки, где их целых 20? И как изменится его субъективная ценность, если окажется, что остальные 19 кексов уже съедены?
Дефицит на практике
Пока мы готовились к одной из конференций DEF CON, я придумал новые нюансы социально-инженерной игры «Захват флага». Детям нужно было решать загадки. Выигравший подходил к большой коробке в дальнем конце комнаты и просовывал в нее трубку. В коробке сидел «снайпер» с игрушечным автоматом и стрелял в остальных игроков через трубку мягкими пульками. Тот, в кого он попадал, должен был выйти из комнаты и начать заново.
Соревнование прошло на ура. А если вам захочется узнать, как вышло, что победила команда детей, уделав даже нас, взрослых, то вам придется спрашивать меня об этом лично.
В качестве оружия я выбрал игрушечный автомат модели Nerf CS6 Long Shot. Вскоре компания Nerf объявила о прекращении производства этой игрушки. А пришедшая на смену ей новая модель многим показалась хуже.
Дома у меня такая игрушка была, и вторая в хозяйстве вряд ли пригодилась бы, так что я решил продать ее на eBay за $99 — без наценки, по той же цене, что недавно купил. В первый день предложенная цена за нее достигла $199, потом 250, потом 299, потом 340. Под конец торгов она поднялась до $410! Еще раз: $410 за пластиковую игрушку, которая стреляет мягкими пульками на расстояние до 15 метров! (Конечно, у нее есть оптический прицел и четыре съемные насадки — но все же…)
Да за $410 можно купить настоящее оружие! Что же может заставить человека выложить столько денег за кусок пластика? Дефицит. Эта модель больше не выпускалась, а потому стала уникальной и ее ценность взлетела до небес.
Многие компании используют ограничение товаров, еды, лекарств, времени, драгоценностей — да чего угодно! — для повышения стоимости своего продукта в глазах покупателя. На илл. 6.4 изображен континуум дефицита.
Дефицит в работе социального инженера
В ходе одной операции мы проводили сбор данных из открытых источников о гендиректоре компании. Он рассказывал в соцсетях о том, как провел свой первый за три года отпуск: вместе с семьей отправился на Багамы. Директор опубликовал фотографии сборов, поездки в аэропорт, посадки, ожидания взлета в салоне самолета. Под одним из снимков красовалась подпись: «Наконец-то! Две недели в раю!».
Вооружившись этими знаниями, а также информацией о компании, которая осуществляла IT-поддержку его организации (ее мы получили благодаря исследованию содержания мусорных баков), я прошел через входные двери в здание и направился прямо к Джейн, вахтерше. Между нами состоялся примерно следующий диалог:
Джейн: Добрый день. Чем могу помочь?
Я: Здравствуйте. Меня зовут Пол, я из компании АБВ. Меня вызвал Джефф, чтобы я решил проблему с… [С умным видом листаю свои записи, словно ищу что-то конкретное.] Ага, у него тормозит компьютер. Джефф полагает, что это вирус.
Джейн [сверяется с органайзером]: Знаете, Пол, мне никакой информации об этом от Джеффа не поступало. Извините, я не могу вас впустить, вам придется вернуться позже.
Я: Честно говоря, даже не знаю, что вам сказать. Джефф позвонил мне, сообщил, что уезжает на Багамы на две недели, и потребовал, чтобы я разобрался с проблемой до его возвращения — а то он очень разозлится. Я перенес четыре встречи — специально, чтобы решить вопрос прямо сегодня. В ближайший месяц у меня свободных окон не будет. [Делаю паузу.] Хотя, может, в этом и нет ничего страшного. Я отправлю Джеффу e-mail. Напишу: из-за того, что он забыл вас предупредить, я теперь смогу разобраться с его компьютером только через четыре недели [
