Умение читать невербальные сигналы — навык действительно эффективный. А если вы научитесь использовать невербалику с тем, чтобы вызвать у объекта определенные эмоции, то просто вознесетесь до уровня супергероя.

На этой прекрасной ноте я и закончу главы, посвященные навыкам, необходимым в работе социального инженера. Дальше мы обсудим, как применять их в ходе пентестов. При каких векторах атаки они применимы? Разберемся в следующей главе.

9. Взлом сознания

В предыдущих главах я описал изменения, произошедшие в сфере социальной инженерии за последние семь лет: в методах сбора данных из открытых источников и их использовании, в моделировании коммуникации, легендировании, установлении раппорта, влиянии, манипуляциях, извлечении информации и трактовке невербальных сигналов. Получилась отличная база знаний с точки зрения развития коммуникативных навыков. Но я же профессиональный социальный инженер, а значит, не могу не рассказать, как применять все эти знания в практике СИ.

Преступники и мошенники обычно используют четыре вектора атаки: фишинг, вишинг, СМС-мошенничество и имперсонацию. Для пущей эффективности их могут комбинировать.

В этой главе мы разберемся, как использовать коммуникативные навыки в контексте каждого из перечисленных векторов. Затем я изложу свои соображения по горячо любимой всеми теме составления отчетов (обещаю, буду краток). И наконец, расскажу, как вообще попасть в этот бизнес и привлечь клиентов.

Однако прежде всего нам необходимо обсудить принципы пентестинга. Они должны лечь в основу любой вашей работы в роли социального инженера.

В этой главе я не говорю о том, как использовать перечисленные навыки в мошеннических целях. Книга написана для тех, кто хочет стать специалистом в сфере безопасности: социальным инженером, после общения с которым люди будут чувствовать себя лучше, чем до этого общения. Если же эти навыки используют преступники, стремящиеся навредить своей жертве, то о состоянии объекта воздействия они, конечно же, не задумываются.

Перед социальной инженерией все равны

Сразу хочу подчеркнуть, что социальную инженерию можно применять не только к простакам и дуракам. Ее методы действуют на всех нас. Если подобрать правильное эмоциональное воздействие, осуществить его в правильной ситуации с использованием правильной легенды, то в роли жертвы сможет оказаться любой.

Меня часто спрашивают, попадался ли я сам на удочку социальных инженеров-мошенников. К сожалению, попадался. Грамотное эмоциональное воздействие, осуществленное в правильное время, заставили меня купиться на фишинг. К счастью, я отделался легко, но потом было стыдно. Впрочем, мне повезло: я знал, как действовать, чтобы быстро нивелировать последствия. У меня был ПМиП (которому посвящена вся десятая глава этой книги).

Я не любитель слоганов в духе «Нет пределов человеческой глупости». Понятное дело, многие проблемы, связанные с обеспечением безопасности, возникают вследствие лени, а иногда и действительно глупости. Но это вовсе не значит, что мошенники способны обмануть только дураков.

Например, однажды на пресловутое «нигерийское письмо» повелся университетский профессор. Причем он поверил мошенникам до такой степени, что не только опустошил семейный бюджет, но и залез в университетскую казну. Даже после того, как его поймали с поличным и за дело взялось ФБР, профессор обвинял федеральных агентов в желании забрать его деньги и самим поживиться миллионами, которые вот-вот перечислят на его счет.