...
Примечание Примерно такие же спектакли, кстати, нередко устраивают некоторые кандидаты перед выборами. Подкупают какую-нибудь шпану, которой говорят, что мол "как вон то авто увидите, сразу бросайтесь… Да не под авто, под авто другие бросаться будут, а на любую красивую девушку. И начинайте ее бить. Без травм, но чтоб кричала. Ясно? А как из этого авто выбежит человек в белых брюках и белом пиджаке, и начнет бить вас, вы ему сразу не поддавайтесь, а тоже слегка помутузьте. Он в курсе и в обиде не будет. А после того, как он вас всех изобьет, чтоб врассыпную бросились с этого места, желательно с криками и стонами, и… Да не домой раны зализывать, он сильно бить не будет, а на вокзал. И чтоб вас до такого-то числа в городе не было. Вот билеты. Все понятно? И если хоть кому слово… Ну, не глупые, сами понимаете". Дальше все идет по плану: завидя авто, "хулиганы" бросаются на девушку, наш герой в белом ее героически вытаскивает из лап "бесчинствующих подростков", пресса, конечно же, тут как тут. Как пресса узнала? А никак. Просто она случайно рядом снимала какой-то репортаж из жизни города, о чем в штабе кандидата, естественно, знали. После этого на всех полосах газет и в первых минутах городских новостей показывают кандидата после драки, в уже не белом пиджаке, утешающего девушку, ставшую "жертвой нападения". Потом берут интервью у кандидата, где он скромно улыбается и говорит, что "он всегда таким по жизни был". Потом сама девушка дает много интервью, в которых чистосердечно (ей же никто не платил) говорит, что "не знаю как другие, но я точно проголосую за Бориса Викторовича, хотя бы просто в знак благодарности. Никто не подошел, а он… Спасибо ему".
Информация о маркетинговых планах организации Выведать информацию о маркетинговых планах организации и сыграть на опережение - едва ли не самый лакомый кусок для любого конкурента. Сделать это с помощью методов социальной инженерии проще всего. Не надо ломать сети, обходя бесчисленные количества файрволов и искать, на какой же машине лежит этот документ с маркетинговой стратегией. Не надо подбрасывать подслушивающие устройства на собрание акционеров или на совещание у генерального директора. Не надо снимать информацию по колебаниям оконного стекла лазерным лучом… Это все очень дорогие и не всегда надежные способы. Можно воспользоваться простейшими методами социальной инженерии. Два несложных примера. Я уверил как-то одного генерального директора предприятия о том, что проникну в их компьютерную сеть, и все их маркетинговые планы украду, прочитаю, и им потом перескажу. Он посмеялся, сказав, что это невозможно, что "три межсетевых экрана, целый отдел, занимающийся защитой информации, в котором спецы классные". Не сможешь, мол. Потому что это в принципе невозможно. Но спор, как говорится, принял. Про сеть, разумеется, было сказано для отвода глаз. На самом же деле, никто ни в какие сети проникать не собирался. Все было проще.
...
Примечание Популярность социальной инженерии среди мошенников, тех, кто занимается конкурентной разведкой и тому подобным, связана, на наш взгляд, с тем, что большинство методов социальной инженерии просты. Иногда просты настолько, что их даже не интересно описывать в книге. Думаешь: ну ведь это же очевидно, какая, к черту, социальная инженерия, ведь этот прием первый раз показали в кино еще году в 50-м. А потом еще сотню раз показывали в тех или иных вариациях. На него то уж точно никто не попадется. И… парадокс, заключающийся в том, что именно на такие простые приемы как раз и попадается большинство. Но даже, когда для проведения того или иного приема требуется проведение сложной комбинации, подразумевающей неплохое владение психологией, все равно для тех, кто занимается, к примеру, конкурентной разведкой, проще применить приемы социальной инженерии, чем заниматься технической разведкой. Исходя, в том числе, и из того немаловажного фактора, что применить социальную инженерию обойдется во много раз дешевле.
Посещение стендов предприятия на выставке Для того чтобы собрать большинство информации, оказалось достаточным просто посетить стенд этой организации на ближайшей выставке их продукции. Большинство менеджеров, которые находятся у своего стенда, стоит вам проявить лишь малейшую заинтересованность, с удовольствием расскажут вам все, что они знают о продукции и дальнейших перспективах. Очень часто нужно просто стоять и внимательно слушать (или не просто слушать, а записывать на диктофон, если на память не надеетесь).
...
Примечание
Именно таким образом одна компания из Санкт-Петербурга выкрала секрет производства соусов у своих конкурентов, при этом чуть было их не разорив. Люди весьма удивительные существа, они могут молчать при пытке их сотрудниками конкурирующей фирмы, но при этом с удовольствием выложат все секреты первому встречному на выставке. Естественно, при этом вы должны выглядеть как солидный клиент, и, желательно, чтобы на вашем бейджике было что-то весьма значительное, вроде "Президент ОАО "Микрон"".
...
Примечание Но если уж обозвались президентом, то и выглядеть должны, как президент. Это совершенно не значит, что нужно обвешаться перстнями, цепочками, наоборот - одеты вы можете быть скромно: вы уже и так значительный человек, и вам уже незачем производить впечатление. Но одеты должны быть со вкусом, быть очень опрятными и вести себя значительно: как президент. Немного подробнее об этом - далее в примечании "О важности вживания в роль".
Если менеджер не особо разговорчив, можно применить ряд простых уловок, нацеленных на то, что менеджер боится представить организацию в невыгодном свете (в нашей универсальной схеме - это и есть мишень. Аттракцией может являться, к примеру, ваша значимость, хоть и искусственно созданная - с помощью бейджика и поведения). К примеру, вы, представившись каким-нибудь президентом, можете спросить: "А что новенького у вас в этом году появится? Знаешь про это что-нибудь?" Кто-то сразу скажет, кто-то не скажет… Тому, кто молчит, можно сказать: "Ладно, если не знаешь, сам позвоню Марьяшевичу, у него спрошу" (фамилию гендиректора и всех остальных значимых лиц надо знать обязательно). И, уходя, пробормотать, "наприсылают черте-кого, уж на такие мероприятия могли знающего человека прислать"… Один важный момент: предыдущий вопрос, где вы так разозлились, что вам не ответили, должен быть для вас пусть и значимым, но …не очень. Потому что потом вы походите по другим стендам, через некоторое время вернетесь к интересующему вас стенду и зададите уже действительно значимый для вас вопрос: "А вот про это-то знаешь, вон у тех ребят все как хорошо написано, а вы будете такое же делать или мне сразу с ними договор заключать"? И про это, он уже с большой вероятностью расскажет, потому что боится своего влиятельного директора Марьяшевича, и расскажет даже больше, чем надо.
...
Примечание Мне только единственный раз встретился менеджер, который, хоть и был крайне доброжелателен, но ничего сверх того, что было можно, не сообщил. Менеджер оказался …генеральным директором этого предприятия, который иногда любил вот так "выйти в народ".
…После того, как было немало узнано от менеджера, я пошел брать интервью у сотрудников предприятия.
Интервью с ключевыми лицами
Взять интервью - это один из самых простых, но вместе с тем и самых привлекательных способов узнать о том, что творится на предприятии: какие маркетинговые планы, кто против кого дружит, кто кого обидел… Способ действительно простой, но вместе с тем очень действенный. Мишень здесь - чувство собственной значимости людей. Люди хотят чувствовать свою значимость, об этом еще Карнеги превосходно написал, и, чтобы удовлетворить это чувство, нередко забывают обо всем, о любой безопасности. Поэтому интервью с удовольствием дают многие (особенно если это интервью для телевидения). А для социального хакера такое прикрытие очень надежно и выгодно, так как позволяет, не особо стесняясь, задавать практически любые вопросы без риска вызвать подозрение.
...
Примечание Извлечение полезной информации из разговора с кем-то, кто не подозревает, что является объектом вытягивания информации, называется скрытым допросом. Скрытый допрос - это серия приемов, позволяющих ненавязчиво получить нужную информацию. Этой тактикой пользуются психологически грамотные продавцы, которые продают свой товар, психотерапевты, чтобы узнать информацию о пациенте, и многие другие. Естественно, пользуются ей и социальные хакеры.
Для того чтобы интервьюируемый перешел к интересующему вас вопросу, его следует слегка "задеть", для чего иногда достаточно сказать фразу типа "Но вот у организации А (называете конкурирующую организацию), в газете "Вести России" сказано, что их продукция по техническим характеристикам намного превосходит аналогичную продукцию, производимую на вашем предприятии?" чтобы интервьюируемый бросился защищать честь родного предприятия и рассказал все, что он знает о данной продукции. Это уже потом он бросится искать номер этой газеты, чтобы своими глазами убедиться в нахальности конкурентов, и не найдет он этот номер, конечно. Да и газету с таким названием не найдет. Для пущей убедительности можно иногда преднамеренно для интервью распечатать единственный экземпляр данной газеты специально для интервьюируемого или создать сайт газеты, на котором во время интервью продемонстрировать упомянутую вами статью. Конечно, в сумме проработка таких мелочей может занять время и повлечь финансовые затраты, но если дело того стоит, то чем больше таких мелочей предусмотрено, тем лучше. Выглядит гораздо эффектнее и практически сводит к нулю какие-либо подозрения, даже если они были вначале.
...
Примечание Я полностью верю тому, что немалую часть информации многие и их и наши разведчики берут из газет. Я также верю в то, что слова одного из наших сограждан, которого осудили за шпионаж, что все "секреты" он брал сугубо из газетных материалов - это правда. Вообще, по разным мнениям, около 90% всей закрытой информации разведчики всех мастей и рангов получают из открытых источников. Мне рассказывали, что многие директора после того, как узнавали, что их сотрудники (иногда на уровне заместителей) понарассказывали в интервью, бросались обрывать телефоны редакций и предлагать любые блага, только бы это интервью не выходило.
Часто бывает выгодным и обратный подход, когда вы не нападаете на интервьюируемого, а, наоборот, разыгрывая из себя "технического дурака", просите объяснить ту или иную деталь. Это тоже весьма действенный способ.
...
Примечание Забегая вперед, заметим, что в терминах трансактного анализа, вы в этом случае ведете общение по трансакции Дитя - Родитель (о трансактном анализе мы подробно будем говорить в главе 5). Вы находитесь в роли Дитя, отводя интервьюируемому роль Родителя. А куда деваться мудрому Родителю, кроме как не научить Дитя всему, что он сам знает? Трансакция Дитя - Родитель прекрасно подходит для начала многих манипуляций, и об этом мы тоже будем говорить в главе 5, в которой изложены основные положения трансактного анализа. Вспомните об этом примере, когда будете изучать эту главу. В том же случае, когда вы сказали интервьюируемому, что, мол, у конкурентов то продукция получше вашей будет, вы проводили обратный прием, и отвели себе роль нападающего Родителя, а того, кто давал интервью, загнали в роль Дитя, заставив оправдываться. Иначе говоря, ваше общение проходило по линии Родитель - Дитя.
Таким образом, побывав на выставке, взяв за пять дней 10 интервью, попив с некоторыми особо благожелательными интервьюируемыми пива в баре и поговорив "за жизнь", а также почитав все газеты за последние полгода, в которых сообщалось о деятельности этого предприятия, я знал практически все, включая интимные стороны деятельности высшего руководства, о чем этому руководству и доложил в своем отчете. Спор был выигран, а руководство глубоко задумалось. Потом мы вместе придумывали как минимизировать последствия подобных атак. Которые, правда, и атаками-то сложно назвать. Никто не прорывал оборону противника, рискуя собственной жизнью, никто никого не вводил в транс, и вообще ничего противозаконного не делалось. Все было абсолютно легально и весьма просто. Но от того не менее страшно, потому что вот так, когда крупицы информации начинают складываться в мозаику, может получиться хорошая бомба, которая в умелых руках таких дел натворить может…
...
Примечание Кроме интервью полезно выполнить и ряд сопутствующих мероприятий. Обязательно постойте в курилках, потолкайтесь у главного выхода. Однажды мы выехали к клиенту, на одно предприятие, а я забыл пропуск, и пару часов мне пришлось поскучать в ожидании коллеги у главного вестибюля предприятия. Так за эти пару часов я, сам того не желая, немало узнал о деятельности предприятия и о тех проблемах, которые у него на данный момент есть.
Теперь несколько небольших комментариев к этому подразделу.
О важности вживания в роль или об актерском мастерстве социальных хакеров
Кем бы не представлялся социальный хакер, какую бы роль он не играл, играть он ее должен убедительно. А для этого он должен "вжиться" в тот персонаж, который играет. Все успешные социальные хакеры - прекрасные актеры. Вживаясь в роль, они контролируют, в том числе, и свои невербальные реакции.
...
Примечание О невербальных реакциях см. в приложении 1.
Простой пример. Допустим, вы мужчина, и переоделись в женщину, и хотите, чтобы все поверили, что вы - женщина. Вы сами понимаете, что просто переодеться, это мало. Потому что для того, чтобы окружающие поверили, что вы именно тот персонаж, роль которого вы играете, вы должны жить этой ролью. В нашем случае - вы должны вести себя как женщина. Даже если на вас будет работать десяток самых лучших гримеров, которые все сделают так, что "комар носа не подточит". А вы всю их работу угробите, закурив сигарету на типично мужской манер. И так далее. Если вы играете бомжа-алкоголика, значит, как только вы войдете в магазин, от вас должны все шарахаться, кричать на вас, к вам должны подскакивать охранники и под белы ручки выводить из магазина, при этом презрительно морщась. Если человек хороший актер, то он может считать себя на 50% состоявшимся социальным хакером. Если же он еще и разбирается в психологии, то можно считать, что как социальный хакер он состоялся на 100%, потому что "охмурит" почти любого. Дело здесь в том, что очень много людей смотрят только на внешнюю атрибутику и не смотрят на суть. Это одно из основных правил социальной инженерии. Правило, которое давно поняли все, кто так или иначе связан с манипулированием людским сознанием: социальные хакеры, продюсеры, пиарщики всех мастей и рангов и т. д. Примеры действенности этого правила можно приводить сколько угодно, стоит посмотреть хотя бы результаты прошедших выборов.
...
Примечание Это же правило прекрасно работает и при проведении переговоров, о которых мы подробно будем говорить в приложении 1.
Для того чтобы это правило проиллюстрировать, подробнее рассмотрим следующий пример. Предположим, что один из авторов этой книги придет читать лекцию. При этом войдет он в аудиторию неуверенной походкой, лекцию будет читать заикающимся голосом, в общем будет этаким сосредоточением робости перед слушателями. Но при этом он расскажет, что он лауреат того, сего, пятого и десятого, руководитель там-то, а еще консультант вот здесь и здесь, а также выложит перед собой все написанные научные работы и книги, коих немало. И вот если после лекции слушателям задать несколько вопросов, среди которых "Насколько, как вы считаете, автор разбирается в жизни", подавляющее большинство ответит, что по жизни он "полный дурак". Таким образом, все обратят внимание только на внешние проявления (в данном случае неуверенность), о том же, что премии и награды просто так не выдаются, книжки тоже не сами из-под пера вылетают, консультантам не за красивые глаза деньги платят, да и вообще, чтобы всего этого добиться, надо хотя бы немного "кумекать по-житейски", никто внимания, как правило, не обращает.