Читаем Искусство обмана полностью

Книга, посвященная привлечению новых специалистов в мир профессиональной социальной инженерии, пожалуй, не была бы полноценной без этой главы. Результатов можно достичь, если изучить типы атак и лежащие в их основе психологические и физиологические принципы, а также если набить руку в написании отчетов — но если отсутствует ПЛАН, все равно будет не хватать чего-то очень важного. Что такое ПЛАН? Это план минимизации и предотвращения последствий (ПМиП).

Зачем его составлять и как помочь клиентам это сделать? О минимизации каких последствий можно говорить в контексте социальной инженерии? Ответы на эти вопросы вы найдете ниже.

Когда я только начинал свой профессиональный путь, то понял нечто очень важное: мне нужно было достичь довольно странной цели — работать настолько профессионально, чтобы клиентам больше не нужны были мои услуги. Да, вы все верно поняли. Я стремился обучать клиентов защищаться от социальных инженеров настолько хорошо, чтобы они больше не нуждались в услугах сторонних специалистов.

Вам наверняка попадалась реклама компаний, занимающихся пентестингом и хвастающих тем, что их проверки всегда успешны на 100 %? Представляете, как клиента, выписывающего вам чек, должна демотивировать мысль о том, что лучше никогда не станет: как бы они ни старались, социальный инженер все равно окажется на шаг впереди! Подобные слоганы сообщают клиентам, что надежды нет. Какие бы усилия они ни прикладывали, дыры в системе безопасности не залатать ничем. Если рассуждать таким образом, становится ясно, почему некоторые клиенты не понимают, «зачем вообще что-то делать».

И вот когда до меня это дошло, я решил, что всегда буду помогать клиентам готовить план минимизации возможных последствий подобных атак, а также их предотвращения. Чтобы со временем у них отпала потребность заказывать у меня проверки, потому что останется только совершенствовать уже имеющиеся навыки. Если вы придерживаетесь тех же убеждений, эта глава будет очень важна для вашего профессионального успеха. Ну а если вы из лагеря клиентов, она поможет вам составить собственный ПМиП.

Я окончательно убедился в необходимости ПЛАНа, когда понял, что нужно заняться своим здоровьем. Попытки самостоятельно улучшить физическое состояние с треском провалились. Однако в сообществе добрых хакеров у меня было несколько знакомых, которые добились успеха в этом нелегком деле. Я спросил одного из них, как ему удалось взять себя в руки. И тот связал меня с человеком по имени Джош Цитрон.

Джош предложил провести первую консультацию по видеосвязи. Меня эта идея не вдохновила: я знал, что он находится в идеальной физической форме, и мне совсем не хотелось видеть свою толстую тушку рядом с его подтянутой фигурой. Ситуация только усугубилась, когда я нашел в интернете его фотографии (это было не сложно). Он оказался не просто подтянут — передо мной предстал один из тех супергероев, которые, знаете, могут голыми руками поднять машину и пробежать с ней 5 км.

И представьте, что бы произошло, если бы на первой же встрече с Джошем (а она все же состоялась) я услышал от него такие слова: «Крис, если вы будете следовать каждому моему совету, слушать каждое мое слово, исправно мне платить и при этом не мухлевать… у вас все равно ничего не получится. Вы будете толстым и слабым всю жизнь. Ну что ж, начнем?» Скорее всего, я бы подумал, что он не в себе. А если бы он смотрел на меня надменно или демонстрировал плохое ко мне отношение (ведь выгляжу-то я не очень), я бы вряд ли стал с ним работать.

Однако Джош поступил по-другому. Он пообещал: если я буду выполнять все его указания, через какое-то время начну замечать постепенные изменения. А после достижения поставленных целей смогу самостоятельно поддерживать результат. При этом он обращался ко мне очень уважительно, так что по итогам беседы я был готов действовать.

По большому счету, Джош помог мне составить ПЛАН в отношении старых вредных привычек и освоении новых, более полезных. Мы не говорили о радикальных диетах, в которых отсутствуют продукты, обладающие хоть каким-то вкусом: типа на ужин — только салаты и грусть. С ним я перестроил привычки и научился принимать более эффективные решения.

То же самое применимо и к социальной инженерии. Я сформулировал четыре основных шага, которые помогают создать качественный ПЛАН и пользоваться всеми его преимуществами:

• Шаг 1: научиться выявлять СИ-атаки.

• Шаг 2: разработать реализуемые и реалистичные правила для сотрудников.

• Шаг 3: проводить регулярные проверки.

• Шаг 4: реализовывать программы информирования сотрудников по вопросам безопасности.