Как полагаете, к каким мыслям социальному инженеру не стоит подталкивать объектов воздействия в процессе общения? Наверное, на мысли о том, что их аккаунты могут взломать?!

Если не хотите пугать людей, не говорите страшных вещей вроде:

• «Да я не буду использовать эту информацию, чтобы вас взламывать!»

• «Ну я же не пытаюсь проникнуть туда, где мне быть не положено».

• «Я бы никогда не отправил вам зараженный e-mail».

• «Я не мошенник!»

Все это — примеры отрицания фрейма, возникающие, когда мы упоминаем нечто, противоположное фрейму. Но вспомните илл. 7.2: фрейм объекта воздействия — сохранение безопасности. Поэтому лучше не играйте с огнем.

Ищите способы подкрепления фрейма с помощью легенды, одежды и других инструментов: это поможет объекту воздействия избавиться от лишних вопросов и сомнений.

Правило 4: чем больше объект думает о фрейме, тем сильнее этот фрейм

Каждый раз, подталкивая человека задуматься о каком-либо фрейме, мы тем самым подкрепляем этот фрейм. Например, у родителей всегда есть выбор, какой фрейм укреплять — позитивный или негативный:

• «Ты такой глупый!»

• «Спорт — это не твое».

• «Можешь ты хоть что-то сделать правильно?»

• «Если захочешь, добьешься чего угодно».

• «Знаю, это сложно, но у тебя получится!»

Профессиональный социальный инженер может подкреплять фреймы не только словами, но и с помощью легенды.

Однажды, проводя вишинг, я выбрал легенду IT-специалиста из техподдержки: якобы он отвечает на жалобу о взломе пропускной системы, поступившей прошлым вечером. Нам нужно было получить полное имя, дату рождения, идентификационный номер сотрудника и некоторую другую информацию о человеке, ответившем на звонок. Диалог состоялся примерно следующий:

Объект: Добрый день, говорит Боб. Чем могу помочь?

СИ: Боб, это Пол из IT-отдела. Вчера вечером поступила жалоба на взлом пропускной системы, были отмечены 100 аккаунтов. Вам «повезло», вы в их числе. Скажите, возникли ли у вас сегодня проблемы при входе в здание?

Объект: Нет, все работало как обычно. Повторите, пожалуйста, кто спрашивает?

СИ: Пол, Пол Уильямс из IT. Я работаю с Тони Р. Это займет всего минуту. Вы наверняка знаете, что система пропусков связана с системой заполнения зарплатных ведомостей, так что решение этого вопроса лучше не откладывать.

Объект: Да уж. Так что мне нужно сделать?

СИ: Подтвердите ваше полное имя. Можете продиктовать вашу фамилию по буквам?

Объект: Мм, серьезно? Она же проще некуда: С-М-И-Т.

СИ: А вот и ошибка нашлась! В системе вместо Роберта Смита записан Роберт Джонс. Уж вы-то знаете, что бухгалтерия этому не обрадовалась бы. Наверное, когда злоумышленники запустили алгоритм, они изменил учетные данные в базе. [Я знал, что смысла в моих словах нет, но что-то мне подсказывало, что Боб из бухгалтерии не особенно разбирался в программировании.]

Объект: Действительно, не хотелось бы, чтобы мой чек получил кто-то другой. Давайте тогда проверим остальные данные?

Затем я выдал несколько заведомо ложных утверждений и положительное подкрепление сотрудничества. В результате объект назвал мне свое полное имя, дату рождения, идентификационный номер сотрудника и даже последние четыре цифры номера социального страхования. Мои слова и легенда подкрепляли фрейм, и объекту воздействия было проще его принять.

Пусть объект думает о вашем фрейме с самой первой фразы — тогда перейти к следующему шагу будет намного легче. К какому шагу? Конечно же, к извлечению информации.

Извлечение информации

Какое определение можно дать извлечение информации? Я определяю его, как «получение сведений, о которых вы не спрашивали». Извлечение информации со стороны выглядит, как обычный разговор. Но опытный извлекатель направляет беседу в нужное русло так, чтобы вы исподволь выкладывали необходимую ему информацию.

У тех, кто профессионально занимается добыванием сведений, есть свои наработки и правила, помогающие достичь успеха. Узнав о них и объединив воедино, как и подобает профессионалу от социальной инженерии, вы в совершенстве овладеете искусством беседы. Эти навыки станут вашей силой, с которой принято считаться. А пока запомните одну важную вещь: правильный разговор, целью которого является извлечение вами нужной информации, непременно должен протекать, как непринужденная беседа.

В пятой главе я говорил о так называемом усмирении эго. Принцип, о котором я расскажу сейчас, является противоположностью такого усмирения, потому что вам нужно будет забыть о собственном эго и сосредоточиться на эго объекта воздействия.