Со многими клиентами у нас заключены договоры на проведение ежемесячных проектов. Но даже это я не считаю поводом расслабляться. Постоянным клиентам тоже хочется вовремя узнавать, нужно ли что-то менять в программах информирования сотрудников, расширять их или адаптировать.
Планомерное выполнение всех описанных шагов поможет вам писать по-настоящему хорошие отчеты, которые принесут клиентам пользу и удовлетворение.
Вопросы СИ-пентестеру
В завершение этой главы я хочу ответить на те вопросы о социальной инженерии в пентестинге, которые мне чаще всего задают. Конечно, осветить все нюансы у меня не получится, поэтому я остановлюсь лишь на самых актуальных. Надеюсь, информация окажется полезной как для состоявшихся социальных инженеров, так и для тех, кто только ступил на этот путь.
Как найти заказчиков?
Пожалуй, по популярности это вопрос № 1. Итак, вы решили, что социальная инженерия — ваш путь. Что делать дальше? Нужно с чего-то начинать, а с чего — непонятно. Часто в социальную инженерию приходят люди, строившие карьеру в других областях. Предположим, на протяжении 10 лет вы развивались в совершенно другой сфере, набирали навыки и опыт, ваша зарплата тоже постепенно росла. Если же вы решите поменять специальность, вам придется увеличивать с условного нуля не только знания, но и зарплату. Поэтому надо быть готовым к тому, чтобы:
• выйти из зоны комфорта;
• начать с малого;
• осваивать неизвестные навыки;
• поначалу получать меньшую зарплату.
Если вы на все это готовы, можете смело начинать карьеру в социальной инженерии. Но (вечно попадаются эти противные но и все портят, да?) не стоит ждать, что компании, уже занявшие свое место на рынке, сами будут выходить с вами на связь и предлагать заказы. Социальных инженеров пока не так много, но вам все равно придется продемонстрировать свои конкурентные преимущества по сравнению с другими кандидатами. А для этого надо приложить усилия.
ОБРАТИТЕ ВНИМАНИЕ
Не забывайте, что профессиональные социальные инженеры занимаются не только получением доступа в здания банков или сбором данных с помощью фишинга. Большая часть нашей работы происходит в офисе, и существенная доля времени уходит на составление отчетов. Для профессионала социальная инженерия — это не просто умение находить общий язык с окружающими, быстро соображать или не теряться под давлением обстоятельств. Это серьезная работа.
Подумайте, какая из этих сфер может стать вашей слабой стороной:
• извлечение информации;
• умение убалтывать собеседника;
• высокая скорость мышления;
• умение писать хорошие отчеты;
• профессиональный жаргон.
Нужно учиться видеть свои слабости. Только тогда вы сумеете от них избавиться.
Если будет возможность, перейдите по ссылке https://youtu.be/RGnzf66-a4A и посмотрите мое выступление на конференции DerbyCon7, посвященное этой теме. (Сразу предупреждаю: начинается оно с пранка моего друга Дейва Кеннеди, но потом мы быстро переходим к заявленной теме.)
Как склонить клиентов к применению СИ?
Предположим, вы уже являетесь пентестером и готовы заняться социальной инженерией. Ниже обсудим некоторые идеи по поводу того, как склонить уже имеющихся у вас клиентов к проведению СИ-проверок.
Не предлагайте дополнительные услуги бесплатно
Некоторые наивно полагают, что, если предложить клиентам попробовать услугу бесплатно, они вдохновятся результатом и побегут заказывать ее снова, но уже за деньги. Со мной однажды приключилась история, которая прекрасно иллюстрирует, почему такая тактика не приносит желаемых результатов.
Начиная работать в индустрии технологий и занимаясь сборкой компьютеров, я пытался запустить бесплатный семинар о том, как обезопасить малый бизнес. Больше часа обсуждения я планировал посвятить разбору реальных советов по использованию антивирусов, сетей, файлообменников и т. п. А напоследок заготовил пятиминутную презентацию, с помощью которой хотел убедить представителей компаний обращаться ко мне за соответствующими услугами.
Я заранее договорился с местной торговой палатой об организации бесплатных выступлений. Мы анонсировали три семинара, на которые записалось огромное количество людей: десятки представителей разных компаний на каждый. Я уже начал подсчитывать потенциальные прибыли и чувствовал себя победителем.
И вот настал долгожданный день первого семинара. Я пришел в зал заранее, настроил проектор, разложил на столе раздаточные материалы, которые распечатал на собственные деньги. За пять минут до назначенного времени в зале сидел всего один человек. Как я ни надеялся, что к началу лекции ситуация изменится, этого не произошло. Мне было очень неловко. Я начал свое выступление, но вскоре мой единственный слушатель сказал: «Как-то это странно получается, вам не кажется? Может, лучше сходим пообедать и просто поговорим?».
Я был раздавлен и не мог понять, что же пошло не так. Когда ситуация один в один повторилась на втором семинаре, я понял, что проводить третий бессмысленно, и отменил его. Затем мой друг предложил: «В следующий раз установи цену в $50 за регистрацию. Пообещай дать посетителям информацию, которая стоит намного дороже, — но сначала пусть заплатят».
Мне не хотелось даже пытаться. Я думал: раз никто не дошел до бесплатного семинара, то уж точно никто не будет платить за него. И тем не менее я все-таки решил попробовать. В результате передо мной в зале оказались 10 слушателей, каждый из которых заплатил $50.
ЧТО??? Да, пусть в итоге пришло меньше людей, чем записалось на бесплатную лекцию, но важно другое. Они не просто пришли, но и заплатили за возможность меня послушать.
После проведения семинара я встретился с тем самым другом, который посоветовал брать деньги за выступления. Он объяснил мне, что денежный вклад, пусть даже самый маленький, заставляет людей придавать происходящему большую ценность. Если бы человек записался и не пришел, он бы потерял $50. То есть оплаченная лекция — мотивация к ее посещению.
Но, когда я начал работать в сфере социальной инженерии, оказалось, что на своих ошибках я так и не научился. Мне предлагали выступать с лекциями в разных странах, а я ничего за эти выступления не просил. И часто получалось, что их отменяли или же до последнего момента было непонятно, наберется ли зал.
Моя подруга Пинг Лук посоветовала мне изменить подход и назначить за свое выступление фиксированную цену. Я долго противился этой мысли, но потом вспомнил прошлый опыт и решил попробовать.
И представляете, оказалось, что люди были только рады платить! Меня стали ценить даже больше. В конце концов изменился мой подход к ведению бизнеса: с тех пор я ничего не делаю бесплатно.
