В ходе одного вишинга перед нами стояла задача собрать полные имена и идентификационные номера сотрудников, а также номера их социального страхования. Мы разработали две легенды, которые показались мне вполне подходящими, и начали обзванивать объекты воздействия.

Телефонные разговоры были примерно следующего содержания:

Я: Добрый день. Это Пол из IT-отдела. Могу я услышать Сэлли Дэвис?

Объект: Это я. Чем могу быть вам полезна, Пол?

Я: Вчера мы прошивали корпоративный BIOS под систему RFID-пропусков, и в процессе некоторые данные оказались утеряны. Скажите, не было ли у вас сегодня утром проблем с пропуском?

Объект: Да нет, все работало как обычно.

Я: Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы у вас и в будущем не было проблем. Это займет не больше минуты.

Объект: Ладно. Какая информация вам нужна?

Я: Ваше полное имя, идентификационный номер сотрудника и номер социального страхования.

Объект: Эммм… вообще-то такую информацию разглашать не рекомендуется. Напомните, пожалуйста, ваше имя. Я проверю.

Разумеется, продолжения у этого разговора не было. Подобный тупиковый сценарий повторялся снова и снова — казалось бы, эпический провал. Тогда я решил сделать паузу, чтобы спокойно поразмышлять о принципах влияния, а затем внес в легенду всего одно изменение. Приведенный ниже разговор продолжался сразу после того, как объект воздействия сообщал мне, что утром без проблем прошел КПП.

Объект: Проблем не было, пропуск сработал, я прошел на работу как обычно.

Я: Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы и в будущем у вас не было пробоем. Это займет не больше минуты.

Объект: Ладно. Какая информация вам нужна?

Я: Нужно проверить, правильно ли написано ваше имя. В базе записано С-Э-Л-Л-И, верно?

Объект: Нет, здесь ошибка. Мое имя пишется через «А», а не через «Э».

Я: О, значит, все-таки не зря я вам позвонил. Тогда продиктуйте, пожалуйста, по буквам, как пишется ваша фамилия.

После этого я спрашивал, в каком отделении объект воздействия работал, проверял электронный адрес — и к моменту, когда мы добирались до идентификационного номера сотрудника и номера социального страхования, человек, уже сделавший столько уступок, соглашался рассказать и это. После изменения легенды в среднем 84 % звонков заканчивались успехом.

Социальному инженеру не стоит торопиться в процессе сбора информации. Пусть объект воздействия сообщит вам сначала менее значимые данные, а после этого у него появятся чувства, которые заставят его идти на уступки и подчиняться.

Четвертый принцип: дефицит

«Распродажа по случаю закрытия!»

«Самые низкие цены в истории!»

«На всей земле осталось всего 10 экземпляров!»

Почему такие слоганы помогают продавать? Субъективная ценность предмета, который кажется нам дефицитным или недоступным, быстро растет. Например, насколько ценен для нас один кекс из упаковки, где их целых 20? И как изменится его субъективная ценность, если окажется, что остальные 19 кексов уже съедены?

Дефицит на практике

Пока мы готовились к одной из конференций DEF CON, я придумал новые нюансы социально-инженерной игры «Захват флага». Детям нужно было решать загадки. Выигравший подходил к большой коробке в дальнем конце комнаты и просовывал в нее трубку. В коробке сидел «снайпер» с игрушечным автоматом и стрелял в остальных игроков через трубку мягкими пульками. Тот, в кого он попадал, должен был выйти из комнаты и начать заново.

Соревнование прошло на ура. А если вам захочется узнать, как вышло, что победила команда детей, уделав даже нас, взрослых, то вам придется спрашивать меня об этом лично.

В качестве оружия я выбрал игрушечный автомат модели Nerf CS6 Long Shot. Вскоре компания Nerf объявила о прекращении производства этой игрушки. А пришедшая на смену ей новая модель многим показалась хуже.

Дома у меня такая игрушка была, и вторая в хозяйстве вряд ли пригодилась бы, так что я решил продать ее на eBay за $99 — без наценки, по той же цене, что недавно купил. В первый день предложенная цена за нее достигла $199, потом 250, потом 299, потом 340. Под конец торгов она поднялась до $410! Еще раз: $410 за пластиковую игрушку, которая стреляет мягкими пульками на расстояние до 15 метров! (Конечно, у нее есть оптический прицел и четыре съемные насадки — но все же…)

Да за $410 можно купить настоящее оружие! Что же может заставить человека выложить столько денег за кусок пластика? Дефицит. Эта модель больше не выпускалась, а потому стала уникальной и ее ценность взлетела до небес.