Цель социального инженера — склонить вас к принятию необдуманных решений. Чем больше у вас будет возможностей обдумать происходящее, тем с большей вероятностью вы раскусите манипуляцию, а злоумышленникам этого, конечно, не надо. В седьмом и 70-м выпусках подкаста о социальной инженерии (The Social-Engineer Podcast, или «СИ-подкаст») мне выпала честь разговаривать с профессором психологии Гарвардского университета Эллен Лангер. Она рассказала мне о так называемых альфа- и бета-режимах работы мозга.
В альфа-режиме мозг генерирует волны с частотой колебания от 8 до 13 Гц (или циклов в секунду). Обычно для этого режима характерно состояние «грез наяву» или, как говорит профессор Лангер, «расслабленной концентрации».
Частота колебаний в бета-режиме варьируется от 14 до 100 Гц. В этом состоянии наш мозг находится в боевой готовности, максимально наблюдателен и полностью осознает происходящее вокруг нас.
Какой режим выгоднее для социального инженера? Конечно, альфа-режим: в нем человек меньше думает и не слишком внимателен. Причем используется этот режим не обязательно с целью навредить: например, существуют самые разные формы манипуляции и влияния, направленные на то, чтобы просто заставить вас действовать не раздумывая.
Например, вы наверняка хоть раз видели рекламу типа такой: на экране под очень грустную музыку появляется известная певица, затем нам показывают грязных, израненных, истощенных котят и щенков. Возникает ощущение, будто бедные зверюшки на волоске от смерти. Но тут вам снова показывают певицу, на этот раз в окружении здоровых животных, которых она с улыбкой гладит. Что все это значит? Всего за несколько долларов из вашего кошелька умирающие от голода котята и щенки превратятся в здоровых и счастливых. Кадр из такой рекламы вы найдете на илл. 1.1.
Можно ли утверждать, что создатели этой рекламы манипулируют вами ради наживы? Справедливости ради надо признать, что вряд ли удовлетворение собственных потребностей является единственной их целью. И все же они изучили и использовали методы воздействия на эмоции зрителя, чтобы тот с большей вероятностью пожертвовал деньги фонду или предпринял иное целевое действие. Такая манипуляция эмоциями, скорее всего, окажется успешнее, чем обращение к знаниям или логике. Чем сильнее эмоции, тем слабее становится наша способность рассуждать рационально. А уменьшение рациональности напрямую связано с ростом скорости принятия эмоциональных решений.
Так вот к чему я клоню. Если вы — человек, эта книга поможет вам разобраться, какие в принципе существуют типы СИ-атак. Вы узнаете, как «плохие парни» используют ваши человеческие качества против вас. Вы научитесь отражать их нападения, защищая в том числе своих близких.
И я предлагаю начать нашу большую и серьезную тему с обзора «Что же такое социальная инженерия?».
Социальная инженерия: обзор
Любое обсуждение социальной инженерии я обычно начинаю с определения, которое в почти неизменном виде использую последние 10 лет.
Но, прежде чем привести его здесь, я обязан сделать важное замечание: СИ — это сфера, где нет места политкорректности. Знаю, многие будут не в восторге, но это факт: социальные инженеры вовсю используют предрассудки, связанные с полом, расой, возрастом и социальным статусом людей, а также всевозможные комбинации этих предрассудков.
Например, представьте, что вам нужно проникнуть в здание, где расположилась компания клиента. Для этого понадобится убедительный предлог (или, как говорят в нашей сфере, легенда
[7]): скажем, уборка помещений. В вашей команде собрались самые разные люди — кого из них лучше всего выбрать для исполнения роли уборщика?
• 40-летнего блондина;
• 43-летнюю азиатку;
• 27-летнюю латиноамериканку.
А если нужно подобрать человека для роли представителя компании, отвечающего за питание сотрудников?
• 40-летнего блондина;
• 43-летнюю азиатку;
• 27-летнюю латиноамериканку.
Конечно, если любой из перечисленных кандидатов является опытным социальным инженером, ему будет под силу любая роль. И все же чье появление вызовет у объекта воздействия меньше вопросов? Ведь никогда нельзя забывать: вопросы и размышления — главные враги социального инженера.
Так вот, помня об этом, давайте вернемся к определению СИ:
Социальная инженерия — это любые действия, подталкивающие другого человека сделать то, что может как пойти ему на пользу, так и навредить.
Почему я использую такое широкое, обобщающее определение? Потому что не считаю СИ явлением исключительно негативным.
Были времена, когда после заявления «Я — хакер» собеседники не разбегались от вас в ужасе, отключая на ходу все попадающиеся под руку электронные устройства. «Быть хакером» означало узнавать, как работает та или иная система. Ведь базовых знаний хакерам никогда не хватало, эти люди всегда копали глубоко, добираясь до сути. И, когда им открывалась вся картина, они видели способ обойти, улучшить или изменить исходную цель этой системы.
Работая над первой своей книгой, я стремился дать СИ такое определение, которое бы показало: этим делом далеко не всегда занимаются мошенники, воры и прочие преступники. Механизмы, которые используют злоумышленники, могут послужить и достижению благих целей. Это я и хочу донести до читателей.
Я часто привожу такой пример. Если бы вы подошли ко мне и сказали: «О, привет, Крис! Знаешь, я хочу поиграть с тобой в чаепитие для принцесс. Так что садись-ка на этот стульчик, надень розовый шарф, и, пока я буду красить тебе ногти, поговорим про героинь диснеевских мультиков», я бы над вами посмеялся, втихаря высматривая пути к отступлению. Тем не менее в редких случаях я принимаю подобные предложения.
В каких? Например, не так давно именно это со мной проделывала моя дочка. И, прежде чем вы начнете возмущаться некорректности такого сопоставления (ведь я своего ребенка люблю, чего не сделаешь ради этого!), подумайте вот о чем. Да, я согласился играть в принцесс в первую очередь из-за любви к дочери, но ведь в процессе задействованы и другие психологические принципы. Чтобы сказать «да», мне за наносекунду нужно было обойти обычный процесс принятия решений, который в 99 % случаев заставил бы меня отказаться от подобного предложения.