Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00294 005198 15190624 na godz. na dobę w sumie
Socjotechnika. Sztuka zdobywania władzy nad umysłami - książka
Socjotechnika. Sztuka zdobywania władzy nad umysłami - książka
Autor: , Liczba stron: 424
Wydawca: Onepress Język publikacji: polski
ISBN: 978-83-283-3315-4 Data wydania:
Lektor:
Kategoria: ebooki >> poradniki >> controlling
Porównaj ceny (książka, ebook, audiobook).

Pierwszy na świecie kompleksowy model socjotechniki

Podczas większości złośliwych ataków wykorzystuje się element socjotechniczny, aby zwieść użytkownika i nakłonić go do zapewnienia atakującym dostępu. Kolejne słabości techniczne można usuwać w miarę ich powstawania, natomiast nic nie da się poradzić na głupotę, a raczej łatwowierność ludzi. Chris wyjaśnia tajemnice tego typu przedsięwzięć, omawiając wykorzystywane współcześnie ścieżki ataku. Ta książka dostarcza cennych informacji, które ułatwiają rozpoznawanie takich ataków.

Kevin Mitnick,
pisarz, prelegent i konsultant.


Chris Hadnagy stworzył wyczerpujące opracowanie na temat socjotechniki. Książka powstała na podstawie pogłębionych badań i uwzględnia kwestie praktyczne. Twojej firmie, ale również i Tobie dostarcza zatem rozwiązań konkretnych problemów i zapewnia ochronę przed wszechobecnymi zagrożeniami. To prawdziwie przełomowe dzieło.

Kevin Hogan,
autor książek Ukryta perswazja oraz Sekretny język biznesu


Brzmi paradoksalnie? A jednak bez względu na to, jak skomplikowane ustanowisz zabezpieczenia, Twoje przedsięwzięcie może nie wypalić właśnie z winy infrastruktury ludzkiej. Człowiek funkcjonuje według pewnych schematów, które można z powodzeniem rozgryźć. A złośliwy socjotechnik, dysponujący odpowiednimi umiejętnościami, to przeciwnik, przed którym niemal nie sposób się obronić.

Poznaj pierwszy na świecie model socjotechniki. Autor tej książki definiuje, wyjaśnia i rozkłada go na cząstki elementarne, a następnie ilustruje całe zagadnienie, przytaczając analizy i prawdziwe historie. Zabierze Cię na wycieczkę po ciemnych zaułkach społeczeństwa, gdzie żyją szemrane typy. Przedstawi Ci mroczne arkana socjotechniki stosowanej przez szpiegów i oszustów. Będziesz podglądał nawet takich mistrzów, jak Kevin Mitnick, autor książki Sztuka podstępu. Przyjrzysz się także powszechnym, codziennym sytuacjom, poznając je pod kątem scenariuszy socjotechnicznych. W ostatniej części znajdziesz 'tajemne' porady i wskazówki profesjonalnych socjotechników, a czasem również prawdziwych przestępców.

Sekrety oszustów i socjotechników


Christopher Hadnagy jest głównym twórcą www.backtrack-linux.org i brał udział w licznych projektach związanych z bezpieczeństwem. Pracuje również jako szkoleniowiec i główny socjotechnik w grupie penetracyjnej Offensive Security.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: Social Engineering: The Art of Human Hacking Tłumaczenie: Magda Witkowska ISBN: 978-83-283-3315-4 Copyright © 2011 by Christopher Hadnagy. All rights reserved. Translation copyright © 2012, 2017 by Helion SA All rights reserved. This translation published under license with the original publisher John Wiley Sons, Inc. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Zdjęcie z okładki © Digital Vision/Getty Images. Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://onepress.pl/user/opinie/socjov Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: onepress@onepress.pl WWW: http://onepress.pl (księgarnia internetowa, katalog książek) Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność SPIS TRE¥CI O autorze ................................................................................................................... 7 O redaktorze technicznym ............................................................................................. 7 Przedmowa ................................................................................................................ 9 WstÚp i podziÚkowania .............................................................................................. 13 1. Rzut oka na Ăwiat socjotechniki ............................................................. 17 Z czego wynika wartoĂÊ tej ksiÈĝki ......................................................................... 19 Socjotechnika — przeglÈd zagadnienia ................................................................... 26 Podsumowanie ....................................................................................................... 40 2 . Gromadzenie informacji ....................................................................... 41 Gromadzenie informacji ......................................................................................... 44 ½ródïa gromadzonych informacji ............................................................................ 53 Tworzenie modelu komunikacji ............................................................................. 63 Zalety modeli komunikacji ..................................................................................... 74 3. Wywoïywanie ....................................................................................... 77 Na czym polega wywoïywanie? .............................................................................. 78 Cele wywoïywania .................................................................................................. 81 Jak opanowaÊ technikÚ wywoïywania? ................................................................... 99 Podsumowanie ..................................................................................................... 101 4. Wchodzenie w rolÚ, czyli jak zostaÊ kimkolwiek .................................... 103 Na czym polega wchodzenie w rolÚ? .................................................................... 104 Zasady wchodzenia w rolÚ oraz etapy planowania roli .......................................... 106 Przykïady skutecznego wchodzenia w rolÚ ........................................................... 120 Podsumowanie ..................................................................................................... 129 5. Sztuczki socjotechniczne — psychologiczne zasady stosowane w socjotechnice .................................................................................. 131 Tryby myĂlenia .................................................................................................... 133 Mikroekspresje ..................................................................................................... 141 Programowanie neurolingwistyczne (NLP) ........................................................... 169 Rozmowa i przesïuchanie ..................................................................................... 178 Sprawne budowanie wspólnej pïaszczyzny porozumienia ...................................... 200 Przepeïnienie bufora u czïowieka .......................................................................... 212 Podsumowanie ..................................................................................................... 218 Poleć książkęKup książkę 6 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI 6. Wywieranie wpïywu, czyli siïa perswazji ................................................ 221 PiÚÊ podstaw wywierania wpïywu .........................................................................222 Taktyki wywierania wpïywu .................................................................................228 Ramowanie, czyli zmiana rzeczywistoĂci ...............................................................260 Manipulacja, czyli kontrolowanie ofiary ................................................................280 Manipulacja w socjotechnice .................................................................................297 Podsumowanie .....................................................................................................307 7 . NarzÚdzia socjotechnika ..................................................................... 309 NarzÚdzia fizyczne ................................................................................................310 Internetowe narzÚdzia gromadzenia informacji .....................................................328 Podsumowanie .....................................................................................................348 8 . Analizy przypadków. Socjotechnika rozïoĝona na czynniki pierwsze ....... 349 Przypadek Mitnicka nr 1. Atak na wydziaï komunikacji .......................................350 Przypadek Mitnicka nr 2. Atak na system ubezpieczeñ spoïecznych .....................357 Przypadek Hadnagy’ego nr 1. Nadmiernie pewny siebie dyrektor generalny ........362 Przypadek Hadnagy’ego nr 2. Skandal w parku rozrywki .....................................370 Tajny przypadek nr 1. Misja nie tak do koñca niewykonalna ................................376 Tajny przypadek nr 2. Socjotechniczny atak na hakera .........................................384 Dlaczego warto analizowaÊ przypadki ..................................................................391 Podsumowanie .....................................................................................................392 9 . Zapobieganie atakom socjotechnicznym i ograniczanie ich skutków ..... 393 Doskonalenie umiejÚtnoĂci rozpoznawania ataku socjotechnicznego .....................394 Tworzenie programu podnoszenia ĂwiadomoĂci osobistych zagroĝeñ ....................396 UĂwiadamianie ludziom wartoĂci informacji, które mogÈ zechcieÊ pozyskaÊ socjotechnicy ......................................................399 Aktualizacja oprogramowania ..............................................................................402 Praca nad scenariuszami .......................................................................................403 WyciÈganie wniosków z audytów socjotechnicznych ............................................404 Uwagi koñcowe ....................................................................................................411 Podsumowanie .....................................................................................................420 Skorowidz ..............................................................................................................421 Poleć książkęKup książkę 4 Wchodzenie w rolÚ, czyli jak zostaÊ kimkolwiek Kluczem do budowania relacji jest szczeroĂÊ. JeĂli potrafisz jÈ udawaÊ, sukces murowany. — RICHARD JENI P ewnie wszystkim nam siÚ zdarza od czasu do czasu zamarzyÊ o tym, aby byÊ kimĂ innym. Cóĝ, sam mógïbym byÊ trochÚ szczuplejszy i przystojniejszy. Co prawda rozwój medycyny nie pozwoliï dotychczas na wynalezienie piguïki, która by to umoĝliwiaïa, nie oznacza to jednak, ĝe nie istnieje rozwiÈzanie tego pro- blemu — nazywa siÚ ono wchodzeniem w rolÚ. Co to takiego? Niektórzy twierdzÈ, ĝe to zwykïa „bajeczka” lub wrÚcz kïam- stwo wciskane komuĂ w zwiÈzku z wykonywanym zadaniem socjotechnicznym. TakÈ definicjÚ naleĝy jednak uznaÊ za bardzo ograniczonÈ. Wchodzenie w rolÚ naleĝaïoby raczej zdefiniowaÊ jako tworzenie historii oraz dobór stroju, toalety, osobowoĂci oraz postaw, które skïadajÈ siÚ na charakterystykÚ postaci odgrywanej przez Ciebie w trakcie wykonywania audytu zabezpieczeñ. Wchodzenie w rolÚ obejmuje wszystko, co tylko moĝesz sobie wyobraziÊ na temat odgrywanej osoby. Im lepiej przygotujesz swojÈ rolÚ, tym bardziej wiarygodnie wypadniesz. CzÚsto sprawdza siÚ tu zasada, ĝe im prostsza rola, tym lepsza. Wchodzenie w rolÚ — szczególnie od czasu rozpowszechnienia siÚ internetu — bywa coraz czÚĂciej wykorzystywane w zïoĂliwych celach. Miaïem kiedyĂ okazjÚ widzieÊ koszulkÚ z napisem: „Internet = miejsce, w którym mÚĝczyěni sÈ mÚĝ- czyznami, kobiety sÈ mÚĝczyznami, a dzieci to czajÈcy siÚ na Ciebie agenci FBI”. Jest to oczywiĂcie stwierdzenie ĝartobliwe, tkwi w nim jednak równieĝ sporo prawdy. W internecie moĝesz byÊ, kim tylko zechcesz. Hakerzy wykorzystujÈ to zjawisko od wielu lat i wcale nie ograniczajÈ siÚ w swoich zakusach do przestrzeni wirtualnej. Odgrywanie roli lub udawanie kogoĂ innego stanowi czÚsto nieodïÈczny element pracy socjotechnika. Chris Hadnagy moĝe nie mieÊ takich moĝliwoĂci jak pracownik obsïugi technicznej czy dyrektor generalny duĝej firmy zajmujÈcej siÚ importem. W sytuacji o charakterze socjotechnicznym powinieneĂ koniecznie dysponowaÊ Poleć książkęKup książkę 104 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI wszystkimi umiejÚtnoĂciami niezbÚdnymi do wejĂcia w rolÚ. Chris Nickerson, Ăwia- towej sïawy socjotechnik, powiedziaï mi kiedyĂ podczas rozmowy coĂ, co moim zda- niem doskonale oddaje istotÚ tego zagadnienia. Nickerson stwierdziï, ĝe wchodzenie w rolÚ nie polega na tym, aby jÈ po pro- stu odgrywaÊ. Nie chodzi o to, aby ĝyÊ kïamstwem, lecz o to, ĝeby faktycznie staÊ siÚ osobÈ, za którÈ siÚ podajemy. Chodzi o to, abyĂ kaĝdÈ komórkÈ swojego ciaïa byï tym, kogo udajesz. PowinieneĂ odpowiednio siÚ poruszaÊ, odpowiednio siÚ wypowiadaÊ i zadbaÊ o odpowiedniÈ mowÚ ciaïa — masz staÊ siÚ osobÈ, za którÈ siÚ podajesz. OsobiĂcie w caïoĂci zgadzam siÚ z tÈ koncepcjÈ. Doskonale widaÊ to na przykïadzie filmów. Za „najlepszy, jaki kiedykolwiek widzieliĂmy” uznajemy zwykle taki film, w którym aktor wczuwa siÚ w odgrywanÈ rolÚ do tego stopnia, ĝe mamy trudnoĂci z oddzieleniem go od odgrywanej postaci. Przekonaïem siÚ o tym wiele lat temu, gdy razem z ĝonÈ obejrzeliĂmy znako- mity film z Bradem Pittem, zatytuïowany Wichry namiÚtnoĂci. Brad graï tam samo- lubnego pacana, zagubionego czïowieka, który podjÈï w ĝyciu wiele zïych decyzji. Tak znakomicie odegraï swojÈ rolÚ, ĝe moja ĝona i ja przez kilka kolejnych lat nie cierpieliĂmy go równieĝ w innych filmach i wcieleniach. Oto przykïad czïowieka, który potrafi znakomicie wejĂÊ w rolÚ. Problem z wchodzeniem w rolÚ polega na tym, ĝe czÚĂÊ socjotechników postrzega tÚ technikÚ wyïÈcznie jako przebieranie siÚ w celu odegrania danej postaci. Odpo- wiedni strój siÚ przydaje, nie przeczÚ, ale wchodzenie w rolÚ na tym siÚ nie koñczy. Musisz stworzyÊ dla siebie osobowoĂÊ zupeïnie innÈ od tej, która cechuje CiÚ nor- malnie. W tym celu musisz dokïadnie zrozumieÊ, na czym tak naprawdÚ polega wchodzenie w rolÚ. Dopiero wówczas bÚdziesz mógï skutecznie zaplanowaÊ i zreali- zowaÊ to dziaïanie. Potem wystarczy doïoĝyÊ jeszcze kilka smaczków, które dopeï- niÈ caïoĂci. W niniejszym rozdziale zajmiemy siÚ wïaĂnie róĝnymi aspektami wchodzenia w rolÚ. Najpierw powiemy sobie, na czym to dokïadnie polega, a nastÚp- nie przejdziemy do socjotechnicznych zastosowañ wchodzenia w rolÚ, aby na koniec zapoznaÊ siÚ z kilkoma historiami, obrazujÈcymi skuteczne przypadki posïugiwania siÚ tÈ technikÈ. Na czym polega wchodzenie w rolÚ? Wchodzenie w rolÚ definiuje siÚ jako kreowanie zmyĂlonego scenariusza w celu prze- konania ofiary do ujawnienia okreĂlonych informacji lub podjÚcia okreĂlonych dziaïañ. Chodzi o coĂ wiÚcej niĝ o tworzenie iluzji — w niektórych sytuacjach bÚdziesz musiaï stworzyÊ zupeïnie nowÈ toĝsamoĂÊ i wykorzystaÊ jÈ w celu zma- nipulowania kogoĂ i wydobycia od niego interesujÈcych CiÚ informacji. Socjo- technicy mogÈ stosowaÊ tÚ metodÚ i podawaÊ siÚ za ludzi na okreĂlonych stano- Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 105 wiskach lub wykonujÈcych pewnÈ pracÚ, którÈ tak naprawdÚ nigdy siÚ w swoim ĝyciu nie parali. We wchodzeniu w rolÚ nie ma rozwiÈzañ uniwersalnych. Socjo- technik tworzy i odgrywa podczas swojej kariery wiele róĝnych ról, wszystkie je ïÈczy jednak pewien wspólny element: przygotowania. O sukcesie lub poraĝce wcho- dzenia w rolÚ zadecyduje rzetelnoĂÊ w gromadzeniu informacji. Moĝesz idealnie wcieliÊ siÚ w rolÚ pracownika obsïugi technicznej, na nic siÚ to jednak nie zda, jeĂli siÚ okaĝe, ĝe Twoja ofiara nie korzysta z zewnÚtrznego wsparcia technicznego. Wchodzenie w rolÚ to technika, której stosowanie nie ogranicza siÚ do dziaïañ o charakterze socjotechnicznym. Sprzedawcy, prelegenci, tak zwani wróĝbici, eks- perci w dziedzinie programowania neurolingwistycznego (NLP), lekarze, prawnicy, terapeuci i przedstawiciele podobnych zawodów posïugujÈ siÚ takÈ lub innÈ formÈ wchodzenia w rolÚ. Wszyscy oni muszÈ wymyĂlaÊ odpowiednie scenariusze, ĝeby ludzie mogli siÚ poczuÊ na tyle pewnie, by zechcieli udostÚpniaÊ informacje, które w normalnych okolicznoĂciach zachowaliby dla siebie. Róĝnica miÚdzy posïugi- waniem siÚ tÈ technikÈ przez socjotechników oraz przez inne osoby ma zwiÈzek z celem tego dziaïania. PodkreĂlmy przy okazji raz jeszcze, ĝe socjotechnik musi na pewien czas staÊ siÚ odgrywanÈ osobÈ, a nie tylko odegraÊ jej rolÚ. Dopóki trwa organizowany przez Ciebie audyt lub inne zadanie o charakterze socjotechnicznym, musisz przez caïy czas pozostawaÊ w roli. Sam równieĝ wcielam siÚ w róĝne role, podobnie jak wielu moich kolegów po fachu (niektórzy pozostajÈ w tych rolach nawet „po godzinach”). Gdy tylko zachodzi taka potrzeba, powi- nieneĂ stawaÊ siÚ tym, kogo w danym momencie chcesz odgrywaÊ. Profesjonalni socjotechnicy zakïadajÈ sobie wiele róĝnych kont internetowych, profili w serwisach spoïecznoĂciowych i adresów e-mailowych, aby zwiÚkszyÊ wiarygodnoĂÊ postaci, w które siÚ wcielajÈ. Prowadziïem kiedyĂ wywiad z Tomem Mischke, znanÈ osobowoĂciÈ radiowÈ. Rozmowa ta miaïa trafiÊ na mój socjotechniczny podcast, który wspóïtworzÚ (jest on dostÚpny pod adresem www.social-engineer.org/episode-002-pretexting-not-just-for-social- engineers/). Prezenterzy radiowi muszÈ znakomicie radziÊ sobie z wchodzeniem w rolÚ, poniewaĝ ich praca polega na tym, aby przekazywaÊ opinii publicznej tylko te informacje, które chcÈ jej przekazaÊ. Tom byï w tym tak Ăwietny, ĝe wielu jego sïuchaczy miaïo wraĝenie, jakby znali go równie dobrze jak swoich przyjacióï. Otrzymywaï zaproszenia na wesela, rocznice, a nawet do towarzyszenia przy poro- dach. Jak udaïo mu siÚ tak skutecznie wejĂÊ w rolÚ? Odpowiedě jest prosta: trening. Tom Mischke zaleca wszystkim, by jak najwiÚ- cej Êwiczyli. Powiedziaï mi, ĝe najpierw planuje swoje „role”, a potem je Êwiczy — posïuguje siÚ gïosem charakterystycznym dla odgrywanej postaci, tak samo jak ona siedzi, czasem nawet ubiera siÚ tak samo. JeĂli chcesz nauczyÊ siÚ skutecznie wchodziÊ w róĝne role, zacznij ÊwiczyÊ. Poleć książkęKup książkę 106 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI PowinieneĂ równieĝ koniecznie zapamiÚtaÊ, ĝe jakoĂÊ odgrywanej roli jest bez- poĂredniÈ pochodnÈ jakoĂci zgromadzonych informacji. Im wiÚcej ich masz, tym lepiej, a im bardziej sÈ one trafne, tym ïatwiej Ci bÚdzie przygotowaÊ siÚ do roli, a potem skutecznie w niÈ wejĂÊ. Na przykïad klasyczna rola pracownika obsïugi technicznej okazaïaby siÚ caïkowitÈ klapÈ, gdyby siÚ okazaïo, ĝe przedsiÚbiorstwo obrane przez Ciebie na cel nie outsourcuje tego typu usïug albo korzysta z bardzo maïej firmy zewnÚtrznej, zatrudniajÈcej zaledwie jednÈ lub dwie osoby. Wchodze- nie w rolÚ powinno byÊ dla Ciebie tak ïatwe, jak naturalne zachowanie podczas rozmowy, podczas której jesteĂ po prostu sobÈ. ChcÚ, abyĂ sam siÚ nauczyï korzystaÊ z tych umiejÚtnoĂci, dlatego w nastÚpnym fragmencie rozdziaïu wyjaĂniÚ Ci podstawowe zasady wchodzenia w rolÚ oraz sposób ich wykorzystania w dziaïaniach zwiÈzanych z planowaniem porzÈdnej roli. Zasady wchodzenia w rolÚ oraz etapy planowania roli Jak to bywa w przypadku wielu róĝnych kompetencji, takĝe wchodzenie w rolÚ moĝna podzieliÊ na kilka kroków, nastÚpujÈcych po sobie wedïug pewnych zasad. Poniĝej przedstawiam listÚ pomocnych zasad zwiÈzanych z wchodzeniem w rolÚ. OczywiĂcie nie sÈ to wszystkie zasady rzÈdzÈce tÈ kwestiÈ, jednak moim zdaniem to wïaĂnie one najlepiej oddajÈ jej istotÚ: Im lepiej siÚ przygotujesz, tym wiÚksze bÚdziesz miaï szanse na sukces. ¿eby zmaksymalizowaÊ swoje szanse, odwoïaj siÚ do wïasnych zainteresowañ. mwicz róĝne dialekty i posïugiwanie siÚ charakterystycznymi wyraĝeniami. Nie lekcewaĝ telefonu. Im prostsza rola, tym wiÚksze szanse na sukces. Rola powinna robiÊ wraĝenie odgrywanej spontanicznie. Przedstaw ofierze logiczny wniosek lub zaproponuj dalsze dziaïanie. Poniĝej znajdziesz szczegóïowe omówienie poszczególnych zasad. Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 107 Im lepiej siÚ przygotujesz, tym wiÚksze bÚdziesz miaï szanse na sukces Tej zasady nie trzeba chyba nikomu wyjaĂniaÊ, z pewnoĂciÈ naleĝy jÈ jednak powta- rzaÊ do znudzenia — skutecznoĂÊ wchodzenia w rolÚ wykazuje bezpoĂredni zwiÈ- zek ze stopniem przygotowania do jej odgrywania. Jak juĝ wspominaïem w roz- dziale 2., jest to fundament wszelkich skutecznych dziaïañ socjotechnicznych. Im wiÚcej informacji zgromadzisz, tym wiÚksze masz szanse na opracowanie roli, która pozwoli Ci z powodzeniem wypeïniÊ zadanie. Przypomnij sobie historiÚ z roz- dziaïu 2. o moim mentorze, Matim Aharonim, który przekonaï wysokiego rangÈ pracownika firmy do wejĂcia na stronÚ „kolekcji znaczków”. Na pierwszy rzut oka mogïoby siÚ wydawaÊ, ĝe Ăcieĝka dostÚpu do tamtej firmy wiedzie poprzez zagad- nienia finansów, bankowoĂci, zbierania funduszy na cele charytatywne lub coĂ podobnego — chodziïo w koñcu o instytucjÚ bankowÈ. Im dïuĝej Mati gromadziï informacje i przygotowywaï siÚ do zadania, w tym wiÚkszym stopniu zdawaï sobie sprawÚ, ĝe powinien stworzyÊ scenariusz zwiÈzany z filatelistykÈ. Wiedza na temat zainteresowañ tamtego dyrektora pozwoliïa Matiemu znaleěÊ ïatwÈ ĂcieĝkÚ dostÚpu do firmy — ĂcieĝkÚ, która okazaïa siÚ skuteczna. Czasami tajemnica sukcesu tkwi wïaĂnie w tego rodzaju szczegóïach. PamiÚtaj, ĝe nie ma danych nieistotnych. GromadzÈc informacje, skup siÚ takĝe na histo- riach, przedmiotach lub kwestiach o znaczeniu osobistym dla Twojej ofiary. Odwo- ïanie siÚ do spraw osobistych i emocjonalnych pozwala czÚsto zdobyÊ pierwszy przyczóïek. Jeĝeli socjotechnik ustali, ĝe dyrektor ds. finansowych pewnej firmy co roku przekazuje spory datek na rzecz oĂrodka zajmujÈcego siÚ badaniami nad nowotworami dzieciÚcymi, niewykluczone, ĝe skutecznym rozwiÈzaniem bÚdzie stworzenie scenariusza zakïadajÈcego zbieranie Ărodków na podobny cel (jakkolwiek bezdusznie by to nie brzmiaïo). Problem polega na tym, ĝe zïoĂliwi socjotechnicy bez zastanowienia siÚgajÈ po role, w których wykorzystujÈ emocje i uczucia swoich ofiar. Po atakach na WTC z 11 wrzeĂnia 2001 roku zïoĂliwi hakerzy i socjotechnicy wykorzystali dramat wielu osób, ĝeby zbiÊ na tym kapitaï dla siebie. Zakïadali faïszywe strony internetowe i rozsyïali faïszywe e-maile, wyïudzajÈc w ten sposób pieniÈdze od ludzi wielkiego serca. To samo zjawisko wystÈpiïo po trzÚsieniach ziemi, do których doszïo w 2010 roku w Chile i na Haiti. Pojawiïy siÚ wówczas liczne strony internetowe, które rzekomo podawaïy informacje na temat aktywnoĂci sejsmicznej lub informowaïy o losach zaginionych osób. Na stronach tych zamieszczono równieĝ zïoĂliwe opro- gramowanie, które wïamywaïo siÚ do komputerów odwiedzajÈcych. Zjawisko to jeszcze wyraěniej uwidacznia siÚ bezpoĂrednio po Ămierci wielkich gwiazd muzyki lub filmu. Eksperci w sprawach optymalizacji w wyszukiwarkach Poleć książkęKup książkę 108 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI internetowych (SEO) oraz marketingu potrafiÈ wypromowaÊ wïasne treĂci poĂwiÚ- cone temu wydarzeniu w ciÈgu zaledwie kilku godzin. Ze wzrostu natÚĝenia ruchu w wyszukiwarkach skorzystajÈ równieĝ zïoĂliwi socjotechnicy, którzy stworzÈ faï- szywe strony internetowe ĝerujÈce na tym natÚĝonym ruchu. Ludzie bÚdÈ trafiaÊ na strony, na których czekajÈ na nich rozmaite wirusy oraz programy zbierajÈce dane. Ludzie nie cofnÈ siÚ przed wykorzystaniem dramatu lub tragedii innych osób — smutne to, acz prawdziwe. To jeden z tych mrocznych zauïków Ăwiata, do których prowadzi ta ksiÈĝka. Jestem audytorem zabezpieczeñ i w mojej pracy mogÚ wyko- rzystaÊ emocje pracowników, aby dowieĂÊ firmom, ĝe nawet ludzie o pozornie dobrych intencjach mogÈ zmanipulowaÊ czïonków organizacji i wydobyÊ od nich wartoĂciowe informacje, co dla samej firmy moĝe okazaÊ siÚ katastrofalne w skutkach. Wszystkie te przykïady powinny utwierdziÊ CiÚ w przekonaniu, ĝe im wiÚcej zgromadzisz informacji i im lepiej siÚ przygotujesz, tym wiÚksze masz szanse na znalezienie jakiegoĂ drobiazgu, który zwiÚkszy Twoje szanse na wejĂcie w odpo- wiedniÈ rolÚ. ¿eby zmaksymalizowaÊ swoje szanse, odwoïaj siÚ do wïasnych zainteresowañ Wykorzystanie wïasnych zainteresowañ w celu zwiÚkszenia skutecznoĂci podej- mowanych dziaïañ socjotechnicznych to w sumie doĂÊ prosty zabieg, a mimo to czasami naprawdÚ pomaga przekonaÊ ofiarÚ o Twojej wiarygodnoĂci. Kiedy ktoĂ zdaje siÚ sugerowaÊ, ĝe sporo wie na dany temat, a potem okazuje siÚ to nieprawdÈ, od razu tracisz do takiej osoby zaufanie, tracÈ teĝ na tym Wasze relacje. JeĂli jesteĂ socjotechnikiem, ale nigdy wczeĂniej nie byïeĂ w serwerowni ani nie rozkïadaïeĂ komputera na czÚĂci, wybierajÈc dla siebie rolÚ pracownika wsparcia technicznego, fundujesz sobie pewnÈ poraĝkÚ. UwzglÚdnij w swojej roli zagadnienia, które CiÚ interesujÈ, a bÚdziesz miaï wiele do powiedzenia i zrobisz wraĝenie osoby inteli- gentnej i pewnej siebie. PewnoĂÊ siebie ma duĝe znaczenie dla przekonania ofiary, ĝe faktycznie jesteĂ tym, za kogo siÚ podajesz. Niektóre role wymagajÈ zgromadzenia wiÚkszej iloĂci wiedzy. Dotyczy to na przykïad ról filatelisty czy fizyka jÈdrowego — ĝeby wypaĂÊ wiarygodnie, musisz siÚ solidnie przygotowaÊ. Niekiedy jednak rola okazuje siÚ na tyle niewymagajÈca, ĝe wystarczy zapoznaÊ siÚ z kilkoma stronami internetowymi lub przeczytaÊ ksiÈĝkÚ. Bez wzglÚdu na to, w jaki sposób posiÈdziesz niezbÚdnÈ wiedzÚ, bardzo waĝne jest to, abyĂ zgïÚbiaï zagadnienia, które CiÚ faktycznie interesujÈ. Wybierz historiÚ, zagadnienie, usïugÚ lub dowolny inny przedmiot Twoich zainteresowañ, a nastÚp- nie zastanów siÚ, czy coĂ Ci to daje. Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 109 Dr Tom G. Steves stwierdza: „Naleĝy koniecznie pamiÚtaÊ, ĝe pewnoĂÊ siebie zawsze zaleĝy od danego zadania i sytuacji. W róĝnych sytuacjach odczuwamy róĝny stopieñ pewnoĂci siebie”. To bardzo waĝna obserwacja, poniewaĝ pewnoĂÊ siebie przekïada siÚ równieĝ na to, jak inni postrzegajÈ CiÚ w roli socjotechnika. PewnoĂÊ siebie (przynajmniej dopóki nie staniesz siÚ zbyt pewny siebie) stanowi podstawÚ do budowania zaufania i nawiÈzywania relacji, dziÚki którym inni rozluěniajÈ siÚ w Twoim towarzystwie. Dlatego tak duĝe znaczenie ma znalezienie takiej Ăcieĝki dostÚpu do ofiary, która umoĝliwiïaby prowadzenie rozmowy na bliski Ci temat — dziÚki temu zyskasz wiÚkszÈ pewnoĂÊ siebie. W 1957 roku psycholog Leon Festinger stworzyï teoriÚ dysonansu poznawczego, zgodnie z którÈ ludzie wykazujÈ skïonnoĂÊ do dopatrywania siÚ konsekwencji w swoich przekonaniach, poglÈdach i ogólnie we wszystkim, co stanowi przedmiot ich poznania. Gdy pojawia siÚ rozbieĝnoĂÊ lub niespójnoĂÊ miÚdzy postawÈ a zacho- waniem, musi dojĂÊ do jakiejĂ zmiany, aby ten dysonans zostaï usuniÚty. Zdaniem dr. Festingera o sile dysonansu poznawczego decydujÈ dwa czynniki: liczba przekonañ stanowiÈcych ěródïo dysonansu, doniosïoĂÊ tych przekonañ. Festinger stwierdziï równieĝ, ĝe istniejÈ trzy sposoby eliminacji dysonansu poznawczego (socjotechnicy, nadstawiaÊ uszu!): zmniejszyÊ doniosïoĂÊ przekonañ stanowiÈcych ěródïo dysonansu, dodaÊ nowe, zgodne przekonania, które bÚdÈ górowaÊ nad przekonaniami stanowiÈcymi ěródïo dysonansu, zmieniÊ przekonania stanowiÈce ěródïo dysonansu na takie, które tego dysonansu powodowaÊ juĝ nie bÚdÈ. W jaki sposób socjotechnik moĝe wykorzystaÊ te informacje? Socjotechnikowi wcielajÈcemu siÚ w rolÚ wymagajÈcÈ pewnoĂci siebie nie moĝe tej pewnoĂci zabrak- nÈÊ, poniewaĝ w przeciwnym razie automatycznie wykreuje dysonans poznawczy. Taki dysonans natychmiast wyostrza czujnoĂÊ ofiary i utrudnia nawiÈzywanie relacji, budowanie zaufania i czynienie postÚpów. PowstajÈ bariery, które wpïywajÈ na zmianÚ zachowañ drugiej osoby, która musi w jakiĂ sposób zrównowaĝyÊ postrze- gany dysonans — w takiej sytuacji moĝna niemal z caïÈ pewnoĂciÈ stwierdziÊ, ĝe Twoja rola siÚ nie sprawdzi. Jednym ze sposobów przeciwdziaïania temu zjawisku jest dodawanie kolej- nych, zgodnych przekonañ, aby w koñcu przewaĝyïy one nad tymi stanowiÈcymi ěródïo dysonansu. Czego ofiara moĝe siÚ spodziewaÊ po roli, w którÈ siÚ wcielasz? Poleć książkęKup książkę 110 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI Dowiedz siÚ tego, a bÚdziesz w stanie dotrzeÊ do jej umysïu i emocji, zaszczepiajÈc tam dziaïania, sïowa i postawy, które zbudujÈ nowy system przekonañ, potÚĝniejszy od dotychczasowego, stanowiÈcego ěródïo wÈtpliwoĂci. DoĂwiadczony socjotechnik moĝe siÚ równieĝ pokusiÊ o próbÚ zmiany tych przekonañ, które stanowiÈ ěródïo dysonansu, na takie, które jego ěródïem juĝ nie bÚdÈ. Z pewnoĂciÈ jest to trudniejsze, warto jednak opanowaÊ tÚ niezwykle przy- datnÈ umiejÚtnoĂÊ. Niewykluczone na przykïad, ĝe Twój wyglÈd zewnÚtrzny nie bÚdzie odpowiadaÊ wyobraĝeniom ofiary na temat tego, jak powinien wyglÈdaÊ czïowiek, za którego siÚ podajesz. Przypomnij sobie serial Doogie Howser, lekarz medy- cyny. Problem Doogiego polegaï na tym, ĝe ze wzglÚdu na mïody wiek „rola” lekarza do niego nie pasowaïa. To znakomity przykïad dysonansu poznawczego, który odczuwaïy jego „ofiary”, a który udawaïo siÚ zmieniÊ poprzez podejmowanie okre- Ălonych dziaïañ lub posïugiwanie siÚ okreĂlonÈ wiedzÈ. Podobnie jak w poprzed- nim przykïadzie, socjotechnik moĝe uzgodniÊ swojÈ rolÚ z przekonaniami ofiary poprzez oddziaïywanie na jej postawy, dziaïania, a w szczególnoĂci wyobraĝenie o samej roli. Ostatnio podczas konferencji Defcon 18 miaïem okazjÚ zaobserwowaÊ inny przy- kïad. Wchodziïem w skïad zespoïu, który podczas tej konferencji zajmowaï siÚ organizacjÈ swego rodzaju „socjotechnicznych podchodów”. Wielu uczestników zabawy decydowaïo siÚ wejĂÊ w rolÚ pracownika. Kiedy zadawaliĂmy im pytanie na przykïad o numer identyfikatora pracowniczego, wiÚkszoĂÊ z nich zaczynaïa okazywaÊ zdenerwowanie lub po prostu siÚ rozïÈczaïa. DoĂwiadczonym socjotech- nikom udawaïo siÚ natomiast wyeliminowaÊ ten jawny dysonans poznawczy. Poda- wali numer identyfikatora znaleziony w sieci lub korzystali z innych metod, aby przekonaÊ ofiarÚ, ĝe nie potrzebuje tej informacji. DziÚki temu udawaïo siÚ wyrobiÊ w ofierze odpowiednie przekonania. ZdajÚ sobie sprawÚ, ĝe przedstawiam tu niezwykle techniczne rozwiÈzania bardzo prostego problemu, musisz jednak zrozumieÊ, ĝe udawaÊ moĝna tylko do pewnego momentu. Dlatego teĝ powinieneĂ rozwaĝnie wybraÊ swojÈ ĂcieĝkÚ. mwicz róĝne dialekty i posïugiwanie siÚ charakterystycznymi wyraĝeniami Nauka posïugiwania siÚ róĝnymi dialektami to doĂÊ istotna kwestia. Przyswojenie sobie innego dialektu lub akcentu innego niĝ charakterystyczny dla Twojego miejsca zamieszkania musi trochÚ potrwaÊ. Moĝe siÚ okazaÊ, ĝe nabycie charakterystycznego akcentu z poïudnia Stanów Zjednoczonych albo akcentu azjatyckiego jest bardzo trudne, a czasem wrÚcz niemoĝliwe. Uczestniczyïem kiedyĂ w szkoleniu pewnej miÚdzynarodowej korporacji sprzedaĝowej, podczas którego podano informacjÚ, Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 111 ĝe 70 Amerykanów woli sïuchaÊ osób mówiÈcych z brytyjskim akcentem. Nie potrafiÚ oceniÊ wiarygodnoĂci tych danych, wiem natomiast, ĝe sam lubiÚ sïuchaÊ tego akcentu. Juĝ po zakoñczeniu zajÚÊ miaïem okazjÚ przysïuchiwaÊ siÚ, jak kilku innych uczestników podejmuje próby mówienia z takim wïaĂnie akcentem. Brzmiaïo to okropnie. Jon, mój przyjaciel z Wielkiej Brytanii, wĂcieka siÚ za kaĝdym razem, gdy sïyszy, jak Amerykanin próbuje cytowaÊ Mary Poppins, naĂladujÈc przy tym brytyjski akcent. Gdyby sïyszaï, co wyprawiali uczestnicy tamtego szkolenia, chyba by wyszedï z siebie. Z tamtego szkolenia najlepiej zapamiÚtaïem to, ĝe dane statystyczne to jedno, a praktyka drugie. Liczby mogÈ wskazywaÊ, ĝe posïugiwanie siÚ konkretnym akcen- tem pomaga w sprzedaĝy, jednak sam fakt prowadzenia dziaïañ socjotechnicznych na poïudniu USA lub w Europie nie powoduje, ĝe ïatwo bÚdzie Ci przyjÈÊ miej- scowy akcent i podawaÊ siÚ za osobÚ „stÈd”. Aktorzy uczÈ siÚ mówiÊ z akcentem wïaĂciwym odgrywanym przez nich postaciom z pomocÈ trenerów wokalnych. Weěmy na przykïad Christiana Bale’a, aktora wywodzÈcego siÚ z Walii — sïuchajÈc go, niemal nie sposób tego stwierdziÊ. W wiÚkszoĂci filmów, w których zagraï, po prostu nie sïychaÊ jego brytyjskiego akcentu. Z kolei w filmie Zakochany Szekspir Gwyneth Paltrow udaïo siÚ mówiÊ z bardzo przekonujÈcym brytyjskim akcentem. WiÚkszoĂÊ aktorów korzysta z pomocy trenerów specjalizujÈcych siÚ w dialek- tach, którzy pomagajÈ im doskonaliÊ poĝÈdany akcent. Poniewaĝ wiÚkszoĂci socjo- techników nie staÊ na korzystanie z usïug takiego trenera, warto wiedzieÊ, ĝe na rynku pojawiïy siÚ liczne publikacje poĂwiÚcone temu zagadnieniu. DziÚki takiemu opracowaniu moĝesz szybko opanowaÊ podstawy nabywania nowych akcentów — przykïadem moĝe byÊ tu ksiÈĝka Evangeline Machlin pt. Dialects for the Stage. Jest to co prawda jedna ze starszych pozycji, jednak zamieszczone w niej wskazówki nie tracÈ na aktualnoĂci: Znajdě materiaïy z nagraniami ludzi mówiÈcych z oryginalnym akcentem, którego chciaïbyĂ siÚ nauczyÊ. KsiÈĝki takie jak Dialects for the Stage czÚsto zawierajÈ materiaïy audio z nagraniami wielu róĝnych akcentów. Spróbuj powtarzaÊ nagrane wypowiedzi i Êwicz tak dïugo, aĝ bÚdziesz brzmiaï tak samo jak na nagraniu. Kiedy nabierzesz juĝ nieco pewnoĂci siebie, nagraj wïasnÈ wypowiedě z danym akcentem, abyĂ mógï jÈ potem odsïuchaÊ i skorygowaÊ bïÚdy. Opracuj scenariusz i Êwicz nowo nabyty akcent w rozmowach z partnerem. Mów z nowo nabytym akcentem w miejscach publicznych i uwaĝnie obserwuj reakcje ludzi. Poleć książkęKup książkę 112 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI Róĝnych dialektów i akcentów jest bez liku. OsobiĂcie stosujÚ fonetyczny zapis stwierdzeñ, które mam zamiar wygïosiÊ. To pozwala mi ÊwiczyÊ ich odczytywanie i gïÚboko zapisywaÊ je w swojej gïowie, dziÚki czemu potem mój akcent brzmi bardziej naturalnie. Powyĝsze wskazówki pomogÈ socjotechnikowi w opanowaniu obcego dialektu do perfekcji albo przynajmniej w skutecznym posïugiwaniu siÚ nim. JeĂli nie uda Ci siÚ opanowaÊ danego dialektu, zawsze moĝesz osiÈgnÈÊ pewne efekty, uczÈc siÚ wyraĝeñ czÚsto uĝywanych w danym regionie. Udaj siÚ w jakieĂ miejsce publiczne, gdzie bÚdziesz mógï przysïuchiwaÊ siÚ rozmowom innych ludzi, na przykïad do restauracji albo do centrum handlowego. Tak naprawdÚ moĝe to byÊ dowolne miejsce, w którym spotyka siÚ grupki osób prowadzÈce rozmowy. Przy- sïuchuj im siÚ uwaĝnie i wychwytuj charakterystyczne zwroty i sïowa. JeĂli jakieĂ frazy powtórzÈ siÚ w kilku róĝnych rozmowach, spróbuj uwzglÚdniÊ je w swojej roli, w którÈ chcesz siÚ wcieliÊ — dziÚki temu zyskasz na wiarygodnoĂci. Przypo- minam jednak o przygotowaniach i Êwiczeniach. Nie lekcewaĝ telefonu W ostatnich latach internet zdominowaï bardziej „poĂrednie” aspekty dziaïañ socjo- technicznych, kiedyĂ jednak nieodïÈcznym elementem aktywnoĂci w tym obszarze byï telefon. Zmiana ta spowodowaïa, ĝe wielu socjotechników nie poĂwiÚca wystar- czajÈco duĝo uwagi potencjalnym zastosowaniom telefonu, a mogÈ one okazaÊ siÚ niezwykle skuteczne. Niniejszym chciaïbym jednak podkreĂliÊ, ĝe telefon nadal pozostaje jednym z najskuteczniejszych narzÚdzi dostÚpnych socjotechnikowi i ĝe nie powinien on ograniczaÊ siÚ w korzystaniu z niego tylko dlatego, ĝe internet daje wiÚksze moĝ- liwoĂci unikania osobistego kontaktu. Socjotechnik przygotowujÈcy atak z wykorzystaniem telefonu moĝe wykazywaÊ nieco inne podejĂcie, poniewaĝ bÚdzie wychodziï z zaïoĝenia, ĝe ïatwiej byïoby sko- rzystaÊ z internetu. W przygotowanie ataku socjotechnicznego przez telefon powi- nieneĂ wïoĝyÊ dokïadnie tyle samo wysiïku, dokïadnie tak samo rzetelnie gromadziÊ informacje i dokïadnie tak samo intensywnie ÊwiczyÊ, jak gdybyĂ dziaïaï z wyko- rzystaniem internetu. Pracowaïem kiedyĂ z niewielkÈ grupÈ osób, z którÈ miaïem ÊwiczyÊ prowadzenie rozmów telefonicznych. WskazaliĂmy odpowiednie metody, ton gïosu, tempo mówienia, a takĝe konkretne zwroty i sïowa, których naleĝaïo uĝywaÊ. PrzygotowaliĂmy zarys scenariusza rozmowy (wiÚcej szczegóïów na ten temat juĝ za moment), a nastÚpnie rozpoczÚliĂmy sesjÚ. Pierwsza osoba siÚgnÚïa po sïuchawkÚ, poïÈczyïa siÚ z kimĂ i pomyliïa kilka pierwszych linijek. MÚĝczyzna byï do tego stopnia zaĝenowany i wystraszony, ĝe po prostu siÚ rozïÈczyï. Jedna Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 113 bardzo waĝna uwaga: Twój rozmówca po drugiej stronie nie wie, co masz zamiar powiedzieÊ, dlatego tak naprawdÚ nie moĝesz „pomyliÊ tekstu”. Tego rodzaju sesje Êwiczeniowe pomogÈ Ci nauczyÊ siÚ radziÊ sobie z „nieoczekiwanym”, czyli z tym, co siÚ wydarzy, kiedy niechcÈcy odbiegniesz od przygotowanego scenariusza. JeĂli nie dysponujesz grupÈ partnerów, z którymi mógïbyĂ ÊwiczyÊ i doskonaliÊ swoje umiejÚtnoĂci w tym zakresie, bÚdziesz musiaï wymyĂliÊ coĂ innego. Spróbuj dzwoniÊ do rodziny i znajomych. Przekonaj siÚ, w jakim stopniu uda Ci siÚ ich zma- nipulowaÊ. Moĝesz równieĝ nagrywaÊ swoje wypowiedzi imitujÈce rozmowÚ telefo- nicznÈ, a nastÚpnie odsïuchiwaÊ je i sprawdzaÊ efekty. Moim zdaniem zdecydowanie warto posïugiwaÊ siÚ przygotowanym wczeĂniej zarysem scenariusza. Oto przykïad: zaïóĝmy, ĝe musisz zadzwoniÊ do swojego dostawcy usïug telefonicznych lub dostawcy mediów. Firma pomyliïa coĂ z rachun- kami albo napotkaïeĂ pewne problemy z samÈ usïugÈ i zamierzasz siÚ poskarĝyÊ. WyjaĂniasz sytuacjÚ pracownikowi obsïugi klienta i mówisz mu, jak bardzo jesteĂ rozczarowany i zdenerwowany zaistniaïymi trudnoĂciami. Pracownik firmy nie robi dla Ciebie absolutnie nic, stwierdza natomiast mniej wiÚcej coĂ takiego: „Firma X,Y Z dokïada wszelkich starañ, aby ĂwiadczyÊ usïugi najwyĝszej jakoĂci. Czy odpowiedziaïem juĝ na wszystkie pana pytania?”. Gdyby siedzÈcy po drugiej stro- nie truteñ choÊ przez chwilÚ zastanowiï siÚ nad tym, co mówi, musiaïby zdaÊ sobie sprawÚ, jakie to gïupie. Mam racjÚ? WïaĂnie do takich sytuacji dochodzi jednak, gdy ktoĂ posïuguje siÚ Ăcisïym scenariuszem zamiast zarysem scenariusza. Zarys zostawia miejsce na „artystycznÈ i kreatywnÈ swobodÚ wyrazu”, dziÚki której moĝesz rozmawiaÊ bardziej elastycznie i nie martwiÊ siÚ tym, co musisz powiedzieÊ w nastÚp- nej kolejnoĂci. Telefon to jedno z najskuteczniejszych narzÚdzi umoĝliwiajÈcych bïyskawiczne uwiarygodnienie roli oraz zapewnienia sobie dostÚpu do ofiary. Przez telefon moĝesz udawaÊ praktycznie wszystko. Weě pod uwagÚ nastÚpujÈcy przykïad: gdybym chciaï do Ciebie zadzwoniÊ i w ramach uwiarygodnienia mojej roli daÊ Ci do zro- zumienia, ĝe przebywam w biurze peïnym ludzi, mógïbym posïuĝyÊ siÚ po prostu odpowiedniÈ ĂcieĝkÈ audio ze strony Thriving Office (www.thrivingoffice.com). Znaj- dziesz tam na przykïad Ăcieĝki zatytuïowane „Busy” (gwar) i „Very Busy” (duĝy gwar). Oto, co na temat tego rozwiÈzania majÈ do powiedzenia jego twórcy: „To niezwykle przydatna pïyta CD z mnóstwem děwiÚków i odgïosów, które ludzie spodziewajÈ siÚ usïyszeÊ w duĝej, ruchliwej firmie. W ten sposób zapewnisz sobie natychmiastowÈ wiarygodnoĂÊ. Proste i skuteczne! Gwarancja sukcesu!”. Juĝ samo powyĝsze zdanie sugeruje potencjaï socjotechniczny tej metody — „z mnóstwem děwiÚków i odgïosów, które ludzie spodziewajÈ siÚ usïyszeÊ w duĝej, ruchliwej firmie”. Od razu widaÊ, ĝe materiaïy zostaïy przygotowane z myĂlÈ o zaspokajaniu oczekiwañ rozmówców i budowaniu wiarygodnoĂci (przynajmniej Poleć książkęKup książkę 114 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI w oczach ofiary, na skutek zaspokojenia jej oczekiwañ), a takĝe automatycznego zdobywania zaufania. Warto mieÊ równieĝ ĂwiadomoĂÊ, ĝe oszukanie systemu identyfikacji numerów nie stanowi wiÚkszego problemu. Moĝesz skorzystaÊ w tym celu z usïug w rodzaju SpoofCard (www.spoofcard.com) lub rozwiÈzañ „domowej roboty”. Twoja ofiara moĝe myĂleÊ, ĝe dzwonisz do niej z gïównej siedziby konkretnej firmy, z Biaïego Domu albo z lokalnego banku. DziÚki tego rodzaju usïugom moĝesz wywoïywaÊ wraĝe- nie, ĝe dzwonisz z dowolnego miejsca na Ăwiecie. W rÚkach socjotechnika telefon staje siÚ Ămiertelnym narzÚdziem. Naucz siÚ z niego korzystaÊ i traktowaÊ go z naleĝytym szacunkiem, a znaczÈco poszerzysz swój zestaw praktycznych rozwiÈzañ pomocnych we wchodzeniu w rolÚ. Zadaj sobie trud zdobycia odpowiednich umiejÚtnoĂci w tym zakresie, poniewaĝ przydadzÈ siÚ one przy róĝnych atakach socjotechnicznych. Im prostsza rola, tym wiÚksze szanse na sukces „Im proĂciej, tym lepiej” — znaczenia tej zasady nie sposób przeceniÊ. JeĂli przy- gotowana rola okaĝe siÚ na tyle zïoĝona, ĝe pominiÚcie jednego szczegóïu zakoñczy siÚ klÚskÈ caïego projektu, moĝesz bezpiecznie zaïoĝyÊ, ĝe tak siÚ wïaĂnie stanie. Zadbaj o to, aby Twoja historia, fakty i szczegóïy byïy jak najprostsze, poniewaĝ korzystnie wpïynie to na TwojÈ wiarygodnoĂÊ. Dr Paul Ekman, znany psycholog i badacz ludzkich kïamstw, jest wspóïautorem artykuïu z 1993 roku, zatytuïowanego Lies That Fail. Oto fragment tego tekstu: Nie zawsze dysponuje siÚ wystarczajÈcym czasem, aby z góry przygotowaÊ sobie konkretne stwierdzenia, a nastÚpnie przeÊwiczyÊ je i zapamiÚtaÊ. Nawet w sytuacji, w której czasu na przygotowania nie brakuje i moĝna szczegóïowo sformuïowaÊ plan kïamstwa, kïamca moĝe nie byÊ na tyle bystry, aby przewidzieÊ wszystkie moĝliwe pytania, które mogÈ zostaÊ mu zadane. W zwiÈzku z tym nie bÚdzie miaï przygotowanych wszystkich niezbÚdnych odpowiedzi. Nawet najwiÚksza inteligencja moĝe okazaÊ siÚ niewystarczajÈca, poniewaĝ pewne nieprzewidziane zmiany okolicznoĂci mogÈ obnaĝyÊ zaplanowane kïamstwo, które w innych warunkach doskonale by siÚ sprawdziïo. Potencjalna zmiana okolicznoĂci to nie jedyny problem. Niektórzy kïamcy majÈ problemy z przypomnieniem sobie wszystkich kïamstw, które wygïosili wczeĂniej, w zwiÈzku z czym napotykajÈ trudnoĂci z szybkim i naturalnym udzielaniem odpowiedzi, które pokrywaïyby siÚ z ich wczeĂniejszymi stwierdzeniami. Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 115 Ten krótki fragment najlepiej wyraĝa przekonanie, ĝe im proĂciej, tym lepiej. Jeĝeli bÚdziesz próbowaï wejĂÊ w rolÚ tak skomplikowanÈ, ĝe juĝ jeden bïÈd moĝe CiÚ zdemaskowaÊ, zapamiÚtanie caïej tej roli okaĝe siÚ niemal niemoĝliwe. Twoja rola powinna byÊ naturalna i niczym siÚ nie wyróĝniaÊ. Powinna byÊ ïatwa do zapa- miÚtania. JeĂli bÚdzie to dla Ciebie coĂ naturalnego, zdecydowanie ïatwiej bÚdzie Ci przypomnieÊ sobie wszystkie fakty i stwierdzenia wygïoszone podczas wczeĂniej- szego wchodzenia w tÚ rolÚ. Opowiem teraz historiÚ, która potwierdza znaczenie zapamiÚtywania nawet najdrobniejszych szczegóïów. Pewnego razu postanowiïem spróbowaÊ swoich siï w sprzedaĝy. Zostaïem przydzielony do menedĝera ds. sprzedaĝy, od którego mia- ïem nauczyÊ siÚ podstaw wykonywania tej pracy. PamiÚtam, jak po raz pierwszy udaïem siÚ z nim do klienta. Kiedy zjawiliĂmy siÚ na miejscu, przed wyjĂciem z samochodu powiedziaï mi: „PamiÚtaj: Becky Smith poprosiïa o dodatkowe ubez- pieczenie. Zaoferujemy jej polisÚ XYZ. Patrz i ucz siÚ”. Przez pierwsze trzy minuty menedĝer zwracaï siÚ do kobiety per Beth lub Betty. Za kaĝdym razem, gdy uĝywaï zïego imienia, zachowanie kobiety zmieniaïo siÚ. Za kaĝdym razem cichutko go poprawiaïa: „Becky”. SÈdzÚ, ĝe moglibyĂmy rozdawaÊ zïoto w sztabkach, a ona i tak by powiedziaïa: „Nie!”. Tak bardzo znie- chÚcaïo jÈ to, ĝe mój przeïoĝony nie moĝe zapamiÚtaÊ jej imienia, iĝ w ogóle nie chciaïa go sïuchaÊ. Powyĝsza historia najlepiej dowodzi tego, ĝe trzeba za wszelkÈ cenÚ dbaÊ o pro- stotÚ faktów, aby ich nie pomyliÊ. Oprócz zapamiÚtywania faktów powinieneĂ skoncentrowaÊ siÚ równieĝ na tym, aby wszelkie szczegóïy miaïy jak najmniejsze znaczenie. Wejdě w prostÈ rolÚ, a scenariusz sam zacznie siÚ rozwijaÊ, poniewaĝ ofiara wykorzysta wïasnÈ wyobraěniÚ w celu wypeïnienia wszelkich luk. Nie próbuj ponad miarÚ rozbudowywaÊ roli, za to koniecznie pamiÚtaj o istotnych szczegóïach, poniewaĝ to od nich zaleĝy, jak ofiara odbierze TwojÈ rolÚ. Z drugiej strony warto zwróciÊ uwagÚ na pewnÈ ciekawostkÚ: sïawni prze- stÚpcy i oszuĂci stosujÈ czÚsto metodÚ, w ramach której celowo popeïniajÈ kilka bïÚdów. WychodzÈ z zaïoĝenia, ĝe „nikt nie jest doskonaïy”, a wiÚc pojedyncze pomyïki powodujÈ, ĝe ofiara czuje siÚ bezpieczniej. JeĂli postanowisz spróbowaÊ tego rozwiÈzania, uwaĝaj, jakie bïÚdy popeïniasz — choÊ dziÚki temu rozmowa wydaje siÚ bardziej naturalna, zwiÚkszasz w ten sposób stopieñ skomplikowania roli. Nie szafuj tÈ metodÈ, a kiedy juĝ siÚ na niÈ zdecydujesz, pamiÚtaj o prostocie. Pozwól, ĝe podsumujÚ ten fragment kilkoma przykïadami sytuacji z moich wïasnych audytów lub audytów, którym miaïem okazjÚ siÚ przyglÈdaÊ. Na skutek niezwykle udanej telefonicznej próby wywoïywania pewien anonimowy socjotech- nik uzyskaï nazwÚ firmy zajmujÈcej siÚ wywozem odpadów i nieczystoĂci. Po kilku Poleć książkęKup książkę 116 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI chwilach spÚdzonych w sieci mÚĝczyzna ten dysponowaï zupeïnie dobrym logo, nadajÈcym siÚ do wydruku. W internecie znajdziesz dziesiÈtki firm, które wydru- kujÈ Ci takie logo na koszulkach lub czapkach z daszkiem. Kilka minut zabawy z szablonami i koszulka oraz czapka zostaïy zamówione. Kilka dni póěniej, ubrany w opatrzony logotypami strój i podkïadkÈ do notowania w rÚce, nasz socjotechnik stanÈï przed budkÈ straĝników firmy obranej za cel. „Witam, jestem Joe z ABC Waste. Dzwoniï ktoĂ z waszego dziaïu zakupów i prosiï, abyĂmy przysïali kogoĂ do sprawdzenia uszkodzonego Ămietnika na tyïach. Odbiór Ămieci wypada jutro, wiÚc jeĂli nie uda mi siÚ naprawiÊ kontenera, jutro Ămieciarka przywiezie nowy. MuszÚ jednak najpierw przyjrzeÊ siÚ temu uszkodzo- nemu pojemnikowi”. Straĝnik bez chwili wahania stwierdziï: „W porzÈdku. Aby wjechaÊ na teren, bÚdziesz potrzebowaï tego identyfikatora. Przejedě tÚdy i zajedě od tyïu, bo tam stojÈ kontenery na Ămieci”. Socjotechnik zapewniï sobie wïaĂnie moĝliwoĂÊ przeprowadzenia dïugiego i szcze- góïowego przeszukania Ămieci, poniewaĝ jednak chciaï maksymalnie wykorzystaÊ swoje szanse, postanowiï zadaÊ decydujÈcy cios. Spojrzaï w swoje dokumenty i stwier- dziï: „Z mojej notatki wynika, ĝe chodzi o jeden z kontenerów na dokumenty i stary sprzÚt elektroniczny. Gdzie je znajdÚ?”. „Jedě tÈ samÈ drogÈ, znajdziesz je w trzeciej alejce”, odparï straĝnik. „DziÚki”. Prosta rola, uwiarygodniona odpowiednim strojem i „rekwizytami” (jak pod- kïadka pod dokumenty), a przede wszystkim prosty i ïatwy do zapamiÚtania sce- nariusz — wszystko to zadecydowaïo o tym, ĝe socjotechnik wypadï w swojej roli niezwykle wiarygodnie i odniósï sukces. Do czÚsto stosowanych ról naleĝy równieĝ rola pracownika obsïugi technicznej. W tym wypadku wystarczy koszulka polo, spodnie koloru khaki oraz niewielka torba na laptopa. Wielu socjotechników stosuje to wcielenie, ĝeby dostaÊ siÚ na teren firmy, poniewaĝ „technikom” na ogóï udostÚpnia siÚ wszystko, przy czym nie nadzoruje siÚ ich pracy szczególnie uwaĝnie. ObowiÈzuje tutaj ta sama zasada: pamiÚtaj o prostocie, a Twoja rola bÚdzie bardziej rzeczywista i wiarygodna. Rola powinna robiÊ wraĝenie odgrywanej spontanicznie Rozwaĝania na temat spontanicznoĂci roli, w którÈ zamierzasz wejĂÊ, odwoïujÈ siÚ w zasadzie do moich uwag na temat posïugiwania siÚ raczej zarysem scenariusza zamiast sztywnym skryptem. Zarys pozostawia socjotechnikowi wiÚcej swobody, a skrypt czyni z niego niemal robota. ½ródïem spontanicznoĂci jest równieĝ posïu- giwanie siÚ rzeczami i historiami, które stanowiÈ przedmiot Twoich faktycznych Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 117 zainteresowañ. Szkodzisz swojej wiarygodnoĂci za kaĝdym razem, gdy ktoĂ zadaje Ci pytanie, a Ty odpowiadasz przydïugim „Hmmm”, zaczynasz siÚ intensywnie zastanawiaÊ lub nie znajdujesz inteligentnej odpowiedzi. OczywiĂcie nie brakuje ludzi, którzy najpierw mówiÈ, a dopiero potem myĂlÈ — nie chodzi zatem o to, abyĂ odpowiadaï w ciÈgu jednej sekundy, lecz o to, abyĂ zawsze miaï wiarygodnÈ odpowiedě albo dobry powód, dla którego nie potrafisz jej udzieliÊ. Podczas pewnej rozmowy telefonicznej zostaïem zapytany o informacjÚ, którÈ nie dysponowaïem. Odpowiedziaïem wówczas: „ChwileczkÚ”, po czym odchyliïem siÚ do tyïu i zaczÈïem udawaÊ, ĝe krzyczÚ do mojej wspóïpracowniczki: „Jill, czy moĝesz poprosiÊ Billa, ĝeby podrzuciï mi zamówienie naszego klienta XYZ? DziÚki!”. W tym samym czasie, w którym „Jill” zdobywaïa dla mnie ten dokument, mnie udaïo siÚ uzyskaÊ niezbÚdne dane i problem dokumentu juĝ nigdy nie powróciï. Opracowaïem krótkÈ listÚ sposobów, które pozwalajÈ zachowywaÊ siÚ bardziej spontanicznie: Nie myĂl o tym, jak siÚ czujesz. To bardzo waĝna wskazówka. Kiedy wchodzisz w rolÚ i zaczynasz za duĝo myĂleÊ, pojawiajÈ siÚ emocje, a od nich juĝ prosta droga do strachu, podenerwowania lub niepokoju. Wszystkie te czynniki mogÈ staÊ siÚ przyczynÈ Twojej poraĝki. Zamiast podenerwowania i lÚku moĝesz doĂwiadczyÊ takĝe nadmiernej ekscytacji, przez którÈ równieĝ moĝesz popeïniÊ wiele bïÚdów. Nie traktuj samego siebie zbyt powaĝnie. To Ăwietna wskazówka natury ogólnej, znajduje jednak zastosowanie takĝe w kontekĂcie socjotechnicznym. JesteĂ profesjonalistÈ, specjalistÈ w dziedzinie bezpieczeñstwa, masz powaĝnÈ pracÚ i zajmujesz siÚ powaĝnÈ problematykÈ. JeĂli jednak nie nauczysz siÚ ĂmiaÊ z wïasnych bïÚdów, moĝesz zamknÈÊ siÚ w sobie lub staÊ siÚ zbyt nerwowy, a przez to straciÊ zdolnoĂÊ radzenia sobie nawet z najmniejszymi wybojami na drodze. Nie chcÚ przez to sugerowaÊ, ĝe powinieneĂ traktowaÊ kwestie bezpieczeñstwa jak ĝarty. Nie moĝesz jednak wychodziÊ z zaïoĝenia, ĝe ewentualna poraĝka bÚdzie dla Ciebie jednoznaczna z poraĝkÈ ĝyciowÈ — w ten sposób bowiem nakïadasz na siebie presjÚ, która sprowadzi na Ciebie wïaĂnie to, czego siÚ najbardziej obawiasz. Drobne poraĝki mogÈ staÊ siÚ punktem wyjĂcia do wielkich sukcesów — musisz siÚ tylko nauczyÊ je wykorzystywaÊ. Naucz siÚ rozpoznawaÊ to, co ma znaczenie. OsobiĂcie wolÚ formuïowaÊ tÚ radÚ nastÚpujÈco: „Uwolnij siÚ od wïasnych myĂli i w koñcu idě do ludzi” — to moim zdaniem jeszcze lepsza sugestia. Socjotechnik moĝe planowaÊ trzy ruchy naprzód, a w miÚdzyczasie pominÈÊ jakiĂ istotny szczegóï, przez co caïa rola moĝe siÚ rozpaĂÊ. Staraj siÚ jak najszybciej identyfikowaÊ Poleć książkęKup książkę 118 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI istotne materiaïy i informacje znajdujÈce siÚ wokóï Ciebie, bez wzglÚdu na to, czy chodzi o mowÚ ciaïa Twojej ofiary, wypowiadane przez niÈ sïowa, mikroekspresje (wiÚcej szczegóïów na ten temat znajdziesz w rozdziale 5.). Wszystkie te informacje powinieneĂ uwzglÚdniÊ przy planowaniu ataku wybranÈ metodÈ. PamiÚtaj równieĝ, ĝe ludzie potrafiÈ stwierdziÊ, iĝ ktoĂ tylko udaje, ĝe ich sïucha. Poczucie, ĝe nawet te mniej istotne sïowa nie spotykajÈ siÚ z aktywnym odbiorem, w przypadku wielu osób okazuje siÚ bardzo powaĝnym czynnikiem zniechÚcajÈcym. Kaĝdy z nas z pewnoĂciÈ ma doĂwiadczenia w interakcjach z osobami, których najwyraěniej w ogóle nie interesuje to, co mamy do powiedzenia. Druga osoba moĝe mieÊ zupeïnie dobry powód, dla którego jej myĂli biegnÈ innym torem, nie zmienia to jednak faktu, ĝe tracimy ochotÚ na rozmowÚ z niÈ. Koniecznie sïuchaj, co ma do powiedzenia Twoja ofiara — sïuchaj jej bardzo uwaĝnie, a wychwycisz pewne niezwykle istotne dla niej szczegóïy. ByÊ moĝe przy okazji usïyszysz coĂ, co pomoĝe Ci odnieĂÊ sukces. Staraj siÚ zdobywaÊ nowe doĂwiadczenia. Koncepcja ta odnosi siÚ do porady, którÈ znajdziesz w tej ksiÈĝce ze cztery miliony razy: Êwicz. Zdobywanie doĂwiadczenia w drodze Êwiczeñ i prób moĝe zadecydowaÊ o sukcesie lub poraĝce roli, w którÈ chcesz wejĂÊ. Trenuj spontanicznoĂÊ na rodzinie, przyjacioïach i zupeïnie obcych osobach, kierujÈc siÚ wyïÈcznie jednym celem: zachowywaÊ siÚ spontanicznie. NawiÈzuj rozmowy z luděmi — uwaĝaj tylko, ĝeby nie wypaĂÊ na nagabywacza. Proste, codzienne rozmowy mogÈ pomóc Ci poczuÊ siÚ pewniej w okazywaniu spontanicznoĂci. Powyĝsze wskazówki mogÈ bez wÈtpienia zapewniÊ socjotechnikowi przewagÚ w kwestii wchodzenia w rolÚ. UmiejÚtnoĂÊ zachowywania siÚ w sposób spontaniczny to prawdziwy dar. We wczeĂniejszych fragmentach tego rozdziaïu wspominaïem o swojej rozmowie z Tomem Mischke, który ma bardzo ciekawe podejĂcie do tego tematu. Powiedziaï on, ĝe stara siÚ zawsze kreowaÊ zïudzenie spontanicznoĂci opa- kowanej przygotowaniem i próbami. mwiczy i próbuje tak dïugo, aĝ kreowana rola sprawia wraĝenie spontanicznego zlepku talentu i poczucia humoru. Przedstaw ofierze logiczny wniosek lub zaproponuj dalsze dziaïanie Moĝesz w to wierzyÊ lub nie, ale fakt pozostaje faktem: ludzie lubiÈ, gdy im siÚ mówi, co majÈ robiÊ. Wyobraě sobie, ĝe idziesz do lekarza. Ten CiÚ bada, nanosi trochÚ informacji na wykres, po czym stwierdza: „W porzÈdku. Do zobaczenia za Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 119 miesiÈc”. To nie do pomyĂlenia. Nawet gdyby miaïy to byÊ zïe wieĂci, ludzie chcÈ usïyszeÊ, co powinni robiÊ dalej. Socjotechnikowi moĝe zaleĝeÊ na tym, ĝeby po zakoñczeniu rozmowy jego ofiara podjÚïa konkretne dziaïania albo czegoĂ zaniechaïa. Moĝe siÚ równieĝ zda- rzyÊ, ĝe socjotechnik uzyska wszystko, na czym mu zaleĝaïo, i teraz chce siÚ juĝ tylko ewakuowaÊ. Bez wzglÚdu na to, w jakich okolicznoĂciach siÚ znalazïeĂ, przed- staw ofierze jakiĂ logiczny wniosek lub zaproponuj dziaïania, które pozwolÈ jej wypeïniÊ ewentualne luki. Podobnie jak lekarz nie moĝe zbadaÊ pacjenta i odesïaÊ go do domu bez ĝadnych dalszych wskazówek, tak samo osoba podajÈca siÚ za pracownika obsïugi tech- nicznej nie moĝe wejĂÊ na teren firmy, a potem go opuĂciÊ, nic nikomu nie mówiÈc, ale uprzednio sklonowawszy bazÚ danych — ludzie zaczÚliby siÚ zastanawiaÊ, co siÚ wïaĂciwie wydarzyïo. KtoĂ moĝe zechcieÊ zadzwoniÊ do „firmy zapewniajÈcej wsparcie techniczne” i zapytaÊ, czy przysïany wïaĂnie pracownik miaï jakieĂ kon- kretne zadanie. W najlepszym razie taka sytuacja wywoïuje zdziwienie. Tak naprawdÚ wystarczy, ĝe powiesz mniej wiÚcej coĂ takiego: „Sprawdziïem serwery i naprawiïem system plików. W ciÈgu nastÚpnych kilku dni powinniĂcie zauwa- ĝyÊ wzrost szybkoĂci rzÚdu okoïo 22 ”. DziÚki temu ofiara bÚdzie miaïa poczucie, ĝe „dostaïa coĂ w zamian za swoje pieniÈdze”. Z punktu widzenia socjotechnika najtrudniej jest nakïoniÊ ofiarÚ do podjÚcia jakiegoĂ dziaïania juĝ po tym, gdy on opuĂci dane miejsce. Jeĝeli dziaïanie to ma kluczowe znaczenie dla zakoñczenia audytu zabezpieczeñ, byÊ moĝe powinieneĂ zastanowiÊ siÚ nad moĝliwoĂciÈ samodzielnego podjÚcia danej czynnoĂci. WróÊmy do historii opowiadajÈcej o spotkaniu w izbie handlowej, którÈ przytoczyïem w roz- dziale 3. Gdybym chciaï, aby ofiara skontaktowaïa siÚ ze mnÈ póěniej za pomocÈ poczty elektronicznej, mógïbym powiedzieÊ: „Oto moja wizytówka. Czy mógïbyĂ w poniedziaïek wysïaÊ mi e-mailem dodatkowe szczegóïy na temat firmy XYZ?”. Ofiara albo by speïniïa mojÈ proĂbÚ, albo poszïa do biura i zapomniaïa o caïej spra- wie, a wtedy caïy mój plan spaliïby na panewce. Dlatego lepiej powiedzieÊ coĂ takiego: „ChÚtnie uzyskaïbym od Ciebie pewne dodatkowe informacje. Czy mógï- bym w poniedziaïek do ciebie zadzwoniÊ albo wysïaÊ ci maila z proĂbÈ o te dane?”. Formuïowane proĂby powinny pasowaÊ do roli, w którÈ wchodzisz. Jeĝeli wcie- lasz siÚ w pracownika obsïugi technicznej, nie moĝesz rozstawiaÊ ludzi po kÈtach, mówiÈc im, co majÈ robiÊ, a czego im nie wolno — w koñcu to Ty pracujesz dla nich. JeĂli podajesz siÚ za kuriera UPS, nie moĝesz ĝÈdaÊ dostÚpu do serwerowni. Jak juĝ wspominaïem wczeĂniej, na doskonalenie roli mogÈ skïadaÊ siÚ równieĝ inne dziaïania, jednak te wymienione w tym rozdziale powinny zapewniÊ kaĝdemu socjotechnikowi solidny fundament pod opracowanie w peïni wiarygodnej roli. Poleć książkęKup książkę 120 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI ByÊ moĝe zastanawiasz siÚ teraz, co z tego wszystkiego wynika. W jaki sposób socjotechnik moĝe stworzyÊ odpowiednio przygotowanÈ, wiarygodnÈ, pozornie spontanicznÈ i prostÈ rolÚ — rolÚ, która bÚdzie równie skuteczna w dziaïaniu osobistym, jak i przez telefon, oraz która pozwoli osiÈgnÈÊ zamierzone efekty? Zapoznaj siÚ z dalszÈ czÚĂciÈ rozdziaïu. Przykïady skutecznego wchodzenia w rolÚ Jeĝeli chcesz nauczyÊ siÚ kreowaÊ udane role, przyjrzyj siÚ dwóm historiom udanych ról, które zostaïy z powodzeniem opracowane i zastosowane przez socjotechników. Ostatecznie obaj zostali przyïapani i wïaĂnie dziÚki temu moĝemy dziĂ te historie opowiedzieÊ. Przykïad nr 1 — Stanley Mark Rifkin Stanleyowi Markowi Rifkinowi przypisuje siÚ najwiÚkszy skok na bank w historii Stanów Zjednoczonych (Ăwietny artykuï na jego temat znajdziesz na stronie www. social-engineer.org/wiki/archives/Hackers/hackers-Mark-Rifkin-Social-Engineer-furtherInfo. htm). Rifkin byï komputerowym maniakiem, który prowadziï we wïasnym miesz- kaniu niewielkÈ firmÚ konsultingowÈ specjalizujÈcÈ siÚ w dziedzinie IT. W gronie jego klientów znalazïa siÚ firma, która serwisowaïa komputery Security Pacific Bank. PiÚÊdziesiÚciopiÚciopiÚtrowa siedziba gïówna banku Security Pacific National Bank w Los Angeles sprawiaïa wraĝenie prawdziwej fortecy ze szkïa i granitu. Lobby strzegli ubrani na ciemno straĝnicy, a klienci wpïacajÈcy i wypïacajÈcy pie- niÈdze przez caïy czas znajdowali siÚ pod czujnym okiem ukrytych kamer. Budynek wydawaï siÚ nie do zdobycia, wiÚc jakim cudem Rifkin ukradï stamtÈd 10,2 miliona dolarów, nigdy nie dotykajÈc broni, nie trzymajÈc w rÚku nawet dolara i nie biorÈc nikogo na muszkÚ? Bankowe procedury zwiÈzane z wykonywaniem przelewów wydawaïy siÚ odpo- wiednio zabezpieczone. Transakcje byïy autoryzowane zmienianym codziennie kodem numerycznym, który znali wyïÈcznie upowaĝnieni pracownicy. Kody te zamieszczano na tablicy ogïoszeñ w bezpiecznym pomieszczeniu, do którego dostÚp miaïy wyïÈcznie „osoby upowaĝnione”. Oto fragment artykuïu, o którym wspominaïem powyĝej: W paědzierniku 1978 roku Rifkin zjawiï siÚ w Security Pacific, a pracownicy banku bez problemu rozpoznali w nim specjalistÚ ds. komputerów. NastÚpnie Rifkin wjechaï windÈ na poziom D, gdzie znajdowaïo siÚ pomieszczenie zwiÈzane z obsïugÈ przelewów. Sprawiaï wraĝenie uprzejmego mïodego Poleć książkęKup książkę WCHODZENIE W ROL}, CZYLI JAK ZOSTAm KIMKOLWIEK 121 czïowieka, wiÚc udaïo mu siÚ przekonaÊ pracowników, aby wpuĂcili go do pomieszczenia, w którym znajdowaï siÚ tajny kod autoryzacji przelewów na dany dzieñ. Rifkin zapamiÚtaï kod i wyszedï, nie wzbudzajÈc ĝadnych podejrzeñ. Niedïugo potem pracownicy banku z pomieszczenia zwiÈzanego z wykonywaniem przelewów odebrali telefon od mÚĝczyzny, który przedstawiï siÚ jako Mike Hansen, pracownik miÚdzynarodowego oddziaïu tego samego banku. Zleciï on wykonanie rutynowego przelewu Ărodków na rachunek w nowojorskim banku Irving Trust Company, podajÈc oczywiĂcie tajny kod autoryzacyjny. Wszystko wydawaïo siÚ byÊ w zupeïnym porzÈdku, wiÚc Security Pacific dokonaï przelewu Ărodków do banku w Nowym Jorku. Przedstawiciele banku nie wiedzieli jednak, ĝe mÚĝczyzna podajÈcy siÚ za Mike’a Hansena to w rzeczywistoĂci Stanley Rifkin, który za pomocÈ wewnÚtrznego kodu autoryzacyjnego obrabowaï wïaĂnie bank na kwotÚ 10,2 miliona dolarów. Niniejszy scenariusz stanowi niezwykle wdziÚczny temat do rozwaĝañ, na razie skoncentrujmy siÚ jednak na samej roli. Przyjrzyjmy siÚ szczegóïowo temu, co musiaï zrobiÊ Rifkin: Musiaï byÊ pewny siebie i zachowywaÊ siÚ na tyle swobodnie, ĝeby nikt nie zakwestionowaï jego prawa do przebywania w pomieszczeniu, w którym dokonywano przelewów. Gdy zadzwoniï w celu zlecenia przelewu, musiaï przedstawiÊ wiarygodnÈ historiÚ i dysponowaÊ szczegóïami na jej poparcie. Musiaï zachowywaÊ siÚ na tyle spontanicznie, aby odpowiednio reagowaÊ na wszelkie pytania, które mogïy siÚ pojawiÊ. Musiaï radziÊ sobie na tyle sprawnie, ĝeby nie wzbudziÊ ĝadnych podejrzeñ. Rola ta wymagaïa szczegóïowego planowania i przemyĂlenia najmniejszych detali. Rifkin zostaï schwytany dopiero wtedy, gdy odwiedziï swojego byïego wspól- nika — dopiero wtedy jego rola zawiodïa. Po fakcie ludzie, którzy go znali, nie kryli zdumienia: „To niemoĝliwe, ĝeby Mark byï zïodziejem. Wszyscy go uwielbiajÈ”. Nie ulega wÈtpliwoĂci, ĝe Rifkin dobrze przygotowaï swojÈ rolÚ. Dysponowaï znakomicie przemyĂlanym i prawdopodobnie wielokrotnie przeÊwiczonym pla- nem. Wiedziaï, co zamierza osiÈgnÈÊ, a potem znakomicie wszedï w swojÈ rolÚ. W kontaktach z obcymi luděmi radziï sobie Ăwietnie. Noga powinÚïa mu siÚ dopiero, kiedy spotkaï siÚ z dawnym wspóïpracownikiem. MÚĝczyzna usïyszaï o napadzie w wiadomoĂciach, zestawiï fakty i zawiadomiï policjÚ. Poleć książkęKup książkę 122 SOCJOTECHNIKA. SZTUKA ZDOBYWANIA W’ADZY NAD UMYS’AMI Co ciekawe, po wyjĂciu z aresztu za kaucjÈ Rifkin obraï sobie na cel kolejny bank, posïugujÈc siÚ tym samym planem. Tym razem okazaïo siÚ, ĝe zostaï wysta- wiony przez tajniaka. Zostaï ujÚty i spÚdziï osiem lat w wiÚzieniu federalnym. Rifkin jest bez wÈtpienia „czarnym charakterem”, jednak na podstawie jego historii moĝesz siÚ bardzo wiele nauczyÊ na temat wchodzenia w rolÚ — choÊby tego, ĝe rola powinna byÊ jak najprostsza i ĝe warto wykorzystaÊ w niej to, na czym siÚ znasz. Rifkin miaï zamiar zainwestowaÊ skradzione Ărodki w dobra nie do wytropienia, a mianowicie w diamenty. Najpierw musiaï jednak zostaÊ pracownikiem banku, aby ukraĂÊ pieniÈdze, nastÚpnie wcieliÊ siÚ w rolÚ powaĝnego nabywcy diamentów, aby pozbyÊ siÚ gotówki, a w koñcu sprzedaÊ diamenty, aby pozyskaÊ niepodej- rzanÈ gotówkÚ na bieĝÈce potrzeby. Jego rola nie zakïadaïa posïugiwania siÚ wyjÈtkowymi strojami ani sposobami mowy. Rifkin musiaï jednak odegraÊ najpierw pracownika banku, potem powaĝ- nego nabywcÚ diamentów, a na koniec powaĝnego ich sprzedawcÚ. W ramach tego przekrÚtu Rifkin zmieniaï role trzy-, cztero-, a moĝe nawet piÚciokrotnie. Byï w tym na tyle dobry, ĝe udaïo mu siÚ oszukaÊ niemal wszystkich. Rifkin doskonale znaï swój cel i przystÈpiï do realizacji swoich planów z zacho- waniem wszystkich opisanych powyĝej zasad. OczywiĂcie nie moĝna zapominaÊ, ĝe Rifkin prowadziï dziaïalnoĂÊ przestÚpczÈ, jednak jego umiejÚtnoĂÊ wchodzenia w rolÚ bez wÈtpienia moĝe budziÊ podziw. Gdyby wykorzystaï swoje uzdolnienia w bardziej szczytnym celu, prawdopodobnie mógïby byÊ Ăwietnym sprzedawcÈ czy aktorem albo z powodzeniem zaangaĝowaÊ siÚ w ĝycie publiczne. Przykïad nr 2 — Hewlett-Packard W 2006 roku „Newsweek” opublikowaï niezwykle ciekawy artykuï (www.social- engineer.org/resources/book/HP_pretext.htm). W duĝym skrócie chodziïo o to, ĝe Patricia Dunn, wiceprezes firmy HP, zatrudniïa zespóï specjalistów ds. bezpieczeñstwa, którzy pozyskali do wspóïpracy zespóï detektywów, a ci z kolei posïuĝyli siÚ metodÈ wchodzenia w rolÚ w celu uzyskania billingów telefonicznych. Zatrudnieni profe- sjonaliĂci odegrali role czïonków zarzÈdu HP oraz role dziennikarzy, a wszystko po to, aby wykryÊ rzekom
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Socjotechnika. Sztuka zdobywania władzy nad umysłami
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: