Вопросы СИ-пентестеру

В завершение этой главы я хочу ответить на те вопросы о социальной инженерии в пентестинге, которые мне чаще всего задают. Конечно, осветить все нюансы у меня не получится, поэтому я остановлюсь лишь на самых актуальных. Надеюсь, информация окажется полезной как для состоявшихся социальных инженеров, так и для тех, кто только ступил на этот путь.

Как найти заказчиков?

Пожалуй, по популярности это вопрос № 1. Итак, вы решили, что социальная инженерия — ваш путь. Что делать дальше? Нужно с чего-то начинать, а с чего — непонятно. Часто в социальную инженерию приходят люди, строившие карьеру в других областях. Предположим, на протяжении 10 лет вы развивались в совершенно другой сфере, набирали навыки и опыт, ваша зарплата тоже постепенно росла. Если же вы решите поменять специальность, вам придется увеличивать с условного нуля не только знания, но и зарплату. Поэтому надо быть готовым к тому, чтобы:

• выйти из зоны комфорта;

• начать с малого;

• осваивать неизвестные навыки;

• поначалу получать меньшую зарплату.

Если вы на все это готовы, можете смело начинать карьеру в социальной инженерии. Но (вечно попадаются эти противные но и все портят, да?) не стоит ждать, что компании, уже занявшие свое место на рынке, сами будут выходить с вами на связь и предлагать заказы. Социальных инженеров пока не так много, но вам все равно придется продемонстрировать свои конкурентные преимущества по сравнению с другими кандидатами. А для этого надо приложить усилия.

Не забывайте, что профессиональные социальные инженеры занимаются не только получением доступа в здания банков или сбором данных с помощью фишинга. Большая часть нашей работы происходит в офисе, и существенная доля времени уходит на составление отчетов. Для профессионала социальная инженерия — это не просто умение находить общий язык с окружающими, быстро соображать или не теряться под давлением обстоятельств. Это серьезная работа.

Подумайте, какая из этих сфер может стать вашей слабой стороной:

• извлечение информации;

• умение убалтывать собеседника;

• высокая скорость мышления;

• умение писать хорошие отчеты;

• профессиональный жаргон.

Нужно учиться видеть свои слабости. Только тогда вы сумеете от них избавиться.

Если будет возможность, перейдите по ссылке https://youtu.be/RGnzf66-a4A и посмотрите мое выступление на конференции DerbyCon7, посвященное этой теме. (Сразу предупреждаю: начинается оно с пранка моего друга Дейва Кеннеди, но потом мы быстро переходим к заявленной теме.)

Как склонить клиентов к применению СИ?

Предположим, вы уже являетесь пентестером и готовы заняться социальной инженерией. Ниже обсудим некоторые идеи по поводу того, как склонить уже имеющихся у вас клиентов к проведению СИ-проверок.

Не предлагайте дополнительные услуги бесплатно

Некоторые наивно полагают, что, если предложить клиентам попробовать услугу бесплатно, они вдохновятся результатом и побегут заказывать ее снова, но уже за деньги. Со мной однажды приключилась история, которая прекрасно иллюстрирует, почему такая тактика не приносит желаемых результатов.

Начиная работать в индустрии технологий и занимаясь сборкой компьютеров, я пытался запустить бесплатный семинар о том, как обезопасить малый бизнес. Больше часа обсуждения я планировал посвятить разбору реальных советов по использованию антивирусов, сетей, файлообменников и т. п. А напоследок заготовил пятиминутную презентацию, с помощью которой хотел убедить представителей компаний обращаться ко мне за соответствующими услугами.

Я заранее договорился с местной торговой палатой об организации бесплатных выступлений. Мы анонсировали три семинара, на которые записалось огромное количество людей: десятки представителей разных компаний на каждый. Я уже начал подсчитывать потенциальные прибыли и чувствовал себя победителем.