Искусство обмана - [66]
Объект: Никаких проблем. Знаете, мне… [Она собиралась сказать, что ей пора идти, но ученик не дал ей закончить.]
Ученик [протянул руку]: Меня зовут Том, Том Смит. [Он использовал приятное ритмическое построение фразы, чтобы подтолкнуть объект к раскрытию личной информации.]
Объект: Приятно познакомиться, Том. Я — Сара.
Ученик: Взаимно, Сара. А какая, говорите, у вас фамилия?
Объект: А вам-то зачем?
Ученик: Да так просто. Просто интересно. Слушайте, а что вы собираетесь устраивать на свой день рождения? Он же у вас в июле?
Объект: Ммм, Том, с вами было приятно пообщаться, но я не хотела бы об этом говорить. Извините.
Ученик: Никаких проблем, Сара. Я же не собираюсь использовать эту информацию для подбора паролей к вашим аккаунтам!
После этой фразы девушка буквально отпрянула от ученика, глянула на часы, сказала, что опаздывает, и быстро ушла.
Что он сделал не так? Мы называем это отрицанием фрейма — то есть высказыванием, в котором упоминается то, о чем объекту воздействия думать нежелательно. Получается, вы сами подталкиваете его к невыгодным для себя размышлениям.
Как полагаете, к каким мыслям социальному инженеру не стоит подталкивать объектов воздействия в процессе общения? Наверное, на мысли о том, что их аккаунты могут взломать?!
Если не хотите пугать людей, не говорите страшных вещей вроде:
• «Да я не буду использовать эту информацию, чтобы вас взламывать!»
• «Ну я же не пытаюсь проникнуть туда, где мне быть не положено».
• «Я бы никогда не отправил вам зараженный e-mail».
• «Я не мошенник!»
Все это — примеры отрицания фрейма, возникающие, когда мы упоминаем нечто, противоположное фрейму. Но вспомните илл. 7.2: фрейм объекта воздействия — сохранение безопасности. Поэтому лучше не играйте с огнем.
Ищите способы подкрепления фрейма с помощью легенды, одежды и других инструментов: это поможет объекту воздействия избавиться от лишних вопросов и сомнений.
Правило 4: чем больше объект думает о фрейме, тем сильнее этот фрейм
Каждый раз, подталкивая человека задуматься о каком-либо фрейме, мы тем самым подкрепляем этот фрейм. Например, у родителей всегда есть выбор, какой фрейм укреплять — позитивный или негативный:
• «Ты такой глупый!»
• «Спорт — это не твое».
• «Можешь ты хоть что-то сделать правильно?»
• «Если захочешь, добьешься чего угодно».
• «Знаю, это сложно, но у тебя получится!»
Профессиональный социальный инженер может подкреплять фреймы не только словами, но и с помощью легенды.
Однажды, проводя вишинг, я выбрал легенду IT-специалиста из техподдержки: якобы он отвечает на жалобу о взломе пропускной системы, поступившей прошлым вечером. Нам нужно было получить полное имя, дату рождения, идентификационный номер сотрудника и некоторую другую информацию о человеке, ответившем на звонок. Диалог состоялся примерно следующий:
Объект: Добрый день, говорит Боб. Чем могу помочь?
СИ: Боб, это Пол из IT-отдела. Вчера вечером поступила жалоба на взлом пропускной системы, были отмечены 100 аккаунтов. Вам «повезло», вы в их числе. Скажите, возникли ли у вас сегодня проблемы при входе в здание?
Объект: Нет, все работало как обычно. Повторите, пожалуйста, кто спрашивает?
СИ: Пол, Пол Уильямс из IT. Я работаю с Тони Р. Это займет всего минуту. Вы наверняка знаете, что система пропусков связана с системой заполнения зарплатных ведомостей, так что решение этого вопроса лучше не откладывать.
Объект: Да уж. Так что мне нужно сделать?
СИ: Подтвердите ваше полное имя. Можете продиктовать вашу фамилию по буквам?
Объект: Мм, серьезно? Она же проще некуда: С-М-И-Т.
СИ: А вот и ошибка нашлась! В системе вместо Роберта Смита записан Роберт Джонс. Уж вы-то знаете, что бухгалтерия этому не обрадовалась бы. Наверное, когда злоумышленники запустили алгоритм, они изменил учетные данные в базе. [Я знал, что смысла в моих словах нет, но что-то мне подсказывало, что Боб из бухгалтерии не особенно разбирался в программировании.]
Объект: Действительно, не хотелось бы, чтобы мой чек получил кто-то другой. Давайте тогда проверим остальные данные?
Затем я выдал несколько заведомо ложных утверждений и положительное подкрепление сотрудничества. В результате объект назвал мне свое полное имя, дату рождения, идентификационный номер сотрудника и даже последние четыре цифры номера социального страхования. Мои слова и легенда подкрепляли фрейм, и объекту воздействия было проще его принять.
Пусть объект думает о вашем фрейме с самой первой фразы — тогда перейти к следующему шагу будет намного легче. К какому шагу? Конечно же, к извлечению информации.
Извлечение информации
Какое определение можно дать извлечение информации? Я определяю его, как «получение сведений, о которых вы не спрашивали». Извлечение информации со стороны выглядит, как обычный разговор. Но опытный извлекатель направляет беседу в нужное русло так, чтобы вы исподволь выкладывали необходимую ему информацию.
У тех, кто профессионально занимается добыванием сведений, есть свои наработки и правила, помогающие достичь успеха. Узнав о них и объединив воедино, как и подобает профессионалу от социальной инженерии, вы в совершенстве овладеете искусством беседы. Эти навыки станут вашей силой, с которой принято считаться. А пока запомните одну важную вещь: правильный разговор, целью которого является извлечение вами нужной информации, непременно должен протекать, как непринужденная беседа.
