Мою компанию наняли для проверки безопасности системы доступа к серверу одного университета. В процессе предварительного изучения здания, в котором находилась серверная, мы обнаружили, что один профессор каждый день входил в него строго в 7 утра. Кроме него в такую рань в университете еще никого не было, так что это время показалось нам идеальным для попытки проникнуть в здание вслед за ним. На всех дверях стояли RFID-замки, но, поскольку мы специализируемся в первую очередь на социальной инженерии, то решили проникнуть к цели, используя влияние человеческого фактора.

Собрав из открытых источников данные о профессоре, мы узнали, что он написал статью по какой-то теме из квантовой физики, там было много незнакомых мне длинных слов. Благодаря своей безграничной мудрости и необузданному интеллекту (это сарказм, если что) я запомнил название статьи и запланировал личное знакомство с профессором на следующее утро.

И вот в 7:00 я увидел, как он быстро приближается к зданию. По моему сценарию, между нами должен был завязаться разговор о его статье, мы бы вместе прошли в здание, а потом каждый последовал своим путем (то есть я — прямиком серверную).

— Доброе утро, сэр. Меня зовут Пол Уильямс. А вы — профессор Смит, верно? — я пошел в наступление.

— Да, это я. Чем могу помочь? — ответил он, даже не замедлив шага.

— Я хотел задать вам несколько вопросов о вашей статье по квантовой физике, — сказал я, а затем на одном дыхании выпалил название публикации.

После небольшой паузы он сказал:

— Ладно. Что именно вас интересует?

О нет! Как я вообще мог не подумать о том, что он задаст такой вопрос? Мы продолжали идти рядом, но казалось, что между нами разверзлась бездна. Я честно пытался придумать хоть что-то умное, но не нашел ничего лучше, чем неуверенно спросить:

— Почему вы решили написать эту статью?

Впервые с начала нашей встречи профессор остановился, повернулся ко мне и сказал:

— Не знаю, что вы задумали, сынок, но лучше нам поговорить после того, как вы ее все же прочитаете.

И, не дожидаясь ответа, он еще быстрее зашагал к двери.

Безусловно, я мог бы прочитать его статью. Но сделай я это хоть 20 раз — едва ли придумал бы хотя бы пару толковых вопросов по существу. Я мог бы найти человека, разбирающегося в теме, чтобы тот помог сформулировать эти вопросы. Тем не менее к цели эти действия меня едва ли приблизили бы. Проще всего было изначально использовать легенду, соответствующую реально имеющимся у меня знаниям. Я мог бы притвориться студентом в поисках аудитории, где этот профессор будет читать лекцию. Мог бы обратиться к нему с вопросом, какую литературу почитать, чтобы вынести из его курса максимальную пользу.

Обращаясь к нему, мне нужно было уже обладать информацией об университете: курсах, преподавателях, программах. Осведомленность в подобных вопросах не подразумевает необходимости тут же вываливать все имеющиеся знания собеседнику, но они нужны, чтобы говорить убедительно. То есть если бы он спросил, какие курсы я уже посещаю, я смог бы дать ему правдоподобный ответ.

А чем правдоподобнее ваши слова, тем проще объекту воздействия поверить в то, что вы действительно являетесь тем, кем назвались.

Вопросы

Вопросы — естественная составляющая общения. Едва освоив умение разговаривать, человек быстро переходит к использованию вопросов для отправки и получения новой информации. Поэтому очень важно понимать, какие типы вопросов существуют (их всего четыре), а также уметь грамотно применять их в процессе извлечения информации. Это ключевой момент для профессионального развития социального инженера, и именно о нем мы сейчас поговорим.

Вопросы — прекрасный инструмент. Стоит нам услышать вопрос, как наш мозг тут же генерирует реакцию. И даже если мы не собираемся проговаривать ответ вслух, его мысленной формулировки все равно не избежать.

Умелое использование разных типов вопросов помогает вовлечь собеседника в разговор. Опытный социальный инженер подбирает тот тип вопроса, который больше всего подходит для извлечения информации или получения от собеседника необходимой эмоциональной реакции.

И чтобы проиллюстрировать специфику использования разных типов вопросов в СИ, расскажу вам еще одну историю из личного опыта. Я называю ее «Операция „Офисное пространство“».

Мне нужно было получить доступ на 16-й этаж офисного центра. Компания, помещения которой расположились на этом этаже, арендовала их у владельца здания. Я придумал легенду инспектора из головного офиса компании, который без предупреждения явился для проверки соблюдения требований техники безопасности (например, не заблокированы ли эвакуационные выходы).

Легенду я выбрал на основе открытых источников: недавно в прессу просочилась информация о том, что сотрудники жалуются на плохие условия работы. Руководство компании пообещало эти проблемы разрешить: были приняты новые правила, и менеджеры местных офисов получили надлежащие распоряжения.