У вас наверняка уже возникло пять миллионов идей о том, как использовать принцип взаимного обмена в социальной инженерии. Но хочу сразу дать вам важную подсказку: сложность запроса должна соответствовать ценности вашего подарка с точки зрения получившего его человека.

Подумайте немного над этой информацией. Вспомните слова Чалдини о том, что человек почувствует потребность вернуть долг вне зависимости от того, хотел он получить что-то от вас или нет. Если же реципиент воспримет ваш дар как нечто для себя ценное, его желание вернуть долг или даже превысить вашу щедрость будет еще сильнее.

Я вхожу в небольшой клуб хакеров, которые по совместительству являются еще и большими ценителями виски. Собираясь вместе, мы часто обмениваемся бутылками этого замечательного напитка. Каждый приносит что-то для других, и каждый возвращается домой с подарками. Обычно мы заранее оглашаем определенные ограничения, чтобы не получилось: один принесет «дар» ценою в $200, а другой — что-то намного более эксклюзивное и дорогое. То есть мы сами контролируем обмен, чтобы никому не пришлось чувствовать себя обязанным.

Социальному инженеру обязательно нужно заранее узнать, что ценит объект воздействия и что считается ценным в компании. И легенду нужно выбирать, учитывая этот фактор. Если вы предложите человеку что-то действительно для него ценное, то с большей вероятностью достигнете цели.

Например, в ходе операции «Аренда машины» мне не составило труда узнать, что объект любит посещать пиццерию «У Тони». Поэтому я и предложил ему пиццу за толковую идею решения моей проблемы. Но! Я не говорил: «Если вы сообщите мне адрес вашего клиента, я дам вам пиццу». Почему?

Объяснение простое: между нами на тот момент еще не возник раппорт. Просьба о такой серьезной услуге (разглашении личных данных клиента) до установления раппорта сразу насторожила бы сотрудника службы аренды.

А я предложил ему бесплатную еду, а потом намекнул на то, что мне нужно, — и в результате объект сам «придумал» решение, которого я от него и добивался.

Мне не хотелось, чтобы парень из компании по аренде автомобилей пришел в пиццерию «У Тони» и получил от ворот поворот. Так что, закончив беседу с ним, я позвонил в ресторан и купил сертификат на $25 на имя этого молодого человека с пометкой «От Тони».

А вот еще один пример ситуации, в которой я воспользовался этим принципом. Мне нужно было организовать адресный фишинг. Объектом атаки был генеральный директор одной компании, который, как выяснилось из открытых источников, страстно увлекался бегом и был марафонцем. Я выяснил это, потому что нашел огромное количество селфи, которые он публиковал, когда бежал очередной марафон.

Поэтому для атаки я выбрал легенду представителя компании, отвечавшей за маркетинговое сопровождение марафона. Сообщение было примерно таким: «В ходе последнего марафона „Бежим для детей“, в котором вы приняли участие, было сделано несколько ваших фотографий. Мы хотели бы использовать их в будущей промокампании. Пожалуйста, перейдите по ссылке ниже, чтобы посмотреть фотографии, и сообщите, даете ли вы согласие на их использование». Если мне не изменяет память, гендиректор перешел по ссылке меньше чем через час после получения письма.

Постарайтесь узнать, что для человека действительно важно, — и он примет ваше предложение не задумываясь.

Второй принцип: обязательства

Может показаться, что обязательства — это почти то же самое, что и взаимный обмен. Однако разница между этими понятиями все же есть. Если взаимный обмен основывается на чувстве долга, возникшем в результате получения какого-то подарка или услуги от вас, то обязательства основаны на том же чувстве долга, проистекающем, однако, из другого источника: социальных норм и ожиданий.

Обязательства на практике

Своим ученикам со всего мира я задаю один и тот же вопрос: представьте, что вы стоите в пробке и тут перед вами вклинивается машина. Как думаете, что водитель должен сделать после этого?

Обычно предлагают следующие варианты: помахать, поднять руку, кивнуть. Все эти жесты имеют одинаковый смысл: вклинившийся водитель должен (обязан) проявить к вам уважение и благодарность за вашу доброту. А что произойдет, если он этого не сделает?