Я [отвечая, я понимаю: этим вопросом она заставляет меня почувствовать, что проблема касается и меня; начинаю улыбаться и думаю: «Боже, как же остановиться»]: У нее все прекрасно. Хотя годы, конечно, идут.
Женщина: Очень рада слышать, что у нее все в порядке. И приятно разговаривать с человеком, который тоже неравнодушен к животным. Сегодня нам всем нужно объединить усилия, поэтому мы и просим вас о помощи. Как вы наверняка знаете, наша организация занимается спасением бездомных животных в нашем регионе. Мы хотим, чтобы для каждого животного нашелся дом и такой же любящий хозяин, как и у вашей собаки. Скажите, можете ли вы помочь нам в этом деле?
Я [уже чувствую приближение главного вопроса]: Ну, животных-то я действительно люблю. Как вы предлагаете вам помочь?
Женщина [говорит четко и решительно]: Нам необходима финансовая помощь, и многие неравнодушные люди помогают приюту, перечисляя $250 на нужды животных.
Я [чувствую себя сильным человеком, потому что могу просто взять и отказать]: $250?! Нет, извините, столько я пожертвовать не могу. Я бы с радостью, но такой суммы у меня сейчас просто нет.
Женщина: Понимаю. Сейчас в стране не самые легкие времена, и это действительно крупная сумма. Может быть, в таком случае вы хотели бы пожертвовать $25?
И я, недолго думая, тут же потянулся за кредиткой. Понимаете, что произошло? Я трижды согласился (можно сказать, уступил):
• Подтвердил, что люблю животных.
• Выразил желание помочь.
• Сказал, что помог бы, но такой суммы у меня нет.
И когда мне предложили альтернативный вариант, я уже не мог отказаться. А что бы произошло, назови представительница общества сразу $25? Скорее всего, объем перечисленных в итоге пожертвований был бы значительно меньше. Однако сразу завысив предполагаемую сумму, она обеспечила организации повышение суммы реально сделанных взносов.
Эту тактика часто используются и сотрудники правоохранительных органов. Если им удается добиться от подозреваемого случайного признания в каком-то маленьком проступке, позже ему уже будет невозможно отказаться от этих слов.
Давайте разберем две разные формулировки, которые мог бы использовать детектив. На вопрос: «Вы были в баре у Ли в 11 вечера, когда произошло ограбление?» — подозреваемый, скорее всего, ответит: «Нет, не был». Если же детектив спросит: «Так что вы видели в 11 часов, когда произошло ограбление в баре у Ли?», намного выше вероятность получить ответ: «Да ничего я не видел, темно же было». И все, дознаватель может заключить, что подозреваемый все-таки был в баре в указанное время. Подозреваемый уступил! Ответив на вопрос с подвохом, он, по сути, согласился с подразумеваемым утверждением о том, что находился в месте преступления.
На илл. 6.3 схематически изображен процесс уступки в диалоге.
Уступки в работе социального инженера
В ходе одного вишинга перед нами стояла задача собрать полные имена и идентификационные номера сотрудников, а также номера их социального страхования. Мы разработали две легенды, которые показались мне вполне подходящими, и начали обзванивать объекты воздействия.
Телефонные разговоры были примерно следующего содержания:
Я: Добрый день. Это Пол из IT-отдела. Могу я услышать Сэлли Дэвис?
Объект: Это я. Чем могу быть вам полезна, Пол?
Я: Вчера мы прошивали корпоративный BIOS под систему RFID-пропусков, и в процессе некоторые данные оказались утеряны. Скажите, не было ли у вас сегодня утром проблем с пропуском?
Объект: Да нет, все работало как обычно.
Я: Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы у вас и в будущем не было проблем. Это займет не больше минуты.
Объект: Ладно. Какая информация вам нужна?
Я: Ваше полное имя, идентификационный номер сотрудника и номер социального страхования.
Объект: Эммм… вообще-то такую информацию разглашать не рекомендуется. Напомните, пожалуйста, ваше имя. Я проверю.
Разумеется, продолжения у этого разговора не было. Подобный тупиковый сценарий повторялся снова и снова — казалось бы, эпический провал. Тогда я решил сделать паузу, чтобы спокойно поразмышлять о принципах влияния, а затем внес в легенду всего одно изменение. Приведенный ниже разговор продолжался сразу после того, как объект воздействия сообщал мне, что утром без проблем прошел КПП.
Объект: Проблем не было, пропуск сработал, я прошел на работу как обычно.
Я: Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы и в будущем у вас не было пробоем. Это займет не больше минуты.
Объект: Ладно. Какая информация вам нужна?
Я: Нужно проверить, правильно ли написано ваше имя. В базе записано С-Э-Л-Л-И, верно?
Объект: Нет, здесь ошибка. Мое имя пишется через «А», а не через «Э».
Я: О, значит, все-таки не зря я вам позвонил. Тогда продиктуйте, пожалуйста, по буквам, как пишется ваша фамилия.
После этого я спрашивал, в каком отделении объект воздействия работал, проверял электронный адрес — и к моменту, когда мы добирались до идентификационного номера сотрудника и номера социального страхования, человек, уже сделавший столько уступок, соглашался рассказать и это. После изменения легенды в среднем 84 % звонков заканчивались успехом.
Социальному инженеру не стоит торопиться в процессе сбора информации. Пусть объект воздействия сообщит вам сначала менее значимые данные, а после этого у него появятся чувства, которые заставят его идти на уступки и подчиняться.
Четвертый принцип: дефицит
«Распродажа по случаю закрытия!»
«Самые низкие цены в истории!»
«На всей земле осталось всего 10 экземпляров!»
Почему такие слоганы помогают продавать? Субъективная ценность предмета, который кажется нам дефицитным или недоступным, быстро растет. Например, насколько ценен для нас один кекс из упаковки, где их целых 20? И как изменится его субъективная ценность, если окажется, что остальные 19 кексов уже съедены?
Дефицит на практике
Пока мы готовились к одной из конференций DEF CON, я придумал новые нюансы социально-инженерной игры «Захват флага». Детям нужно было решать загадки. Выигравший подходил к большой коробке в дальнем конце комнаты и просовывал в нее трубку. В коробке сидел «снайпер» с игрушечным автоматом и стрелял в остальных игроков через трубку мягкими пульками. Тот, в кого он попадал, должен был выйти из комнаты и начать заново.
