Шрифт:
Интервал:
Закладка:
• потянуться и подышать;
• общение;
• отказ от использования сценариев.
Важно помнить: даже если вы отлично подготовились, ваши планы могут нарушить непредвиденные обстоятельства, а они есть всегда. Это значит, что вам может попасться сверхнаблюдательный сотрудник, дотошный охранник или, вообще, закрытая на замок дверь. Иными словами, вы всегда должны быть готовы проявить гибкость.
Прежде чем пускать в дело фишинговый e-mail, я первым делом отправляю его самому себе и паре коллег, чтобы собрать обратную связь. Кроме того, прошу коллег перейти по ссылке или открыть приложенный документ, чтобы убедиться: все работает. Перед вишингом я обязательно проверяю, есть ли в моем распоряжении необходимые фоновые звуки, отображаются ли нужные данные на моем экране. Плюс к этому всегда совершаю тестовый телефонный звонок, чтобы убедиться: со спуфингом[13] все в порядке. Когда нужно отправить вирусное СМС-сообщение, я сначала посылаю его коллегам или самому себе, чтобы удостовериться: с форматированием все в порядке, ссылка рабочая. Если же мне нужно попасть в здание заказчика, стараюсь заранее довести до совершенства монолог, который планирую произносить перед охранниками и другими встреченными во время операции людьми. Также я наизусть запоминаю все детали еще до выезда на площадку. И конечно, проверяю «боеготовность» камер и другого оборудования, которое беру с собой.
Пол Келли, протеже доктора Экмана (о котором я уже писал во второй главе), однажды сказал: «Совершенная практика ведет к совершенству на практике». Тренируйтесь делать то, что вам нужно, чтобы добиться готовности на уровне мышечной памяти.
Именно практика зачастую определяет, что вас ждет: успех или неудача. Во время выполнения одного заказа я уже прибыл на место, достал оборудование из багажника и только тогда обнаружил, что в камере села батарейка. Я не проверил ее заранее. Пришлось использовать камеру в телефоне. Я очень переживал, сработает ли она, когда нужно, хватит ли заряда и не вызову ли я подозрений тем, что странно держу свой мобильный.
Кому-то это может показаться глупым, но во время задания я посвящаю несколько минут тому, чтобы потянуться и сделать несколько глубоких вдохов. Кроме того, в зависимости от степени внутреннего напряжения, я могу на несколько минут даже принять властную позу, чтобы почувствовать себя увереннее в ходе атаки (в восьмой главе мы поговорим о таких позах подробнее).
Я всегда сообщаю необходимую информацию своим клиентам. Например, перед проведением фишинговой кампании обязательно предупреждаю контактное лицо о том, что атака состоится завтра. (Хотя, конечно, все зависит от условий заказа: в некоторых случаях я делаю это только постфактум.) То же самое касается и вишинга. Причем этот момент крайне важен в случае, если в ходе атаки я планирую имперсонацию. Я договариваюсь с контактным лицом о том, когда буду на месте, чтобы в случае, если что-то пойдет не так, можно было обратиться к нему.
Так, один раз меня поймали «с поличным». Хотя нет, не совсем так: сам клиент попросил меня сообщить охраннику, что я провел пентест — но уже после того, как я справился бы с задачей. Я несколько раз повторил, что считаю эту идею неудачной, но заказчик настоял на своем. В результате случилось вот что.
Я притворился специалистом по починке пресса для мусора и успешно проник на территорию компании, причем находился там столько, сколько мне требовалось, совершенно без сопровождения. На выходе я сказал охраннику:
— Сэр, прежде чем я уйду, мне нужно кое-что сообщить вам. Меня зовут Крис, а не Пол, как написано на бейдже. И я не тот, за кого себя выдавал. Я провожу так называемые пентесты: проверяю безопасность здания и эффективность систем защиты.
Лицо охранника покраснело от ярости, он потянулся к электрошокеру.
— Вы кто? Меня что, теперь уволят? — прошипел он.
Я попытался успокоить мужчину:
— Ну что вы, об увольнении речи не идет. Это всего лишь проверка, чтобы руководство компании могло разработать новые инструкции и усовершенствовать систему безопасности.
Но охранник не слушал меня, он вызвал по рации главу службы безопасности и нажал на кнопку, блокирующую двери, чтобы я никуда не убежал.
Когда пришел его начальник, охранник злобно начал описывать ситуацию, а когда я попытался вставить свои пять копеек, раздраженно закричал:
«С вами, Крис, Пол или как вас там, никто сейчас не разговаривает!»
Я ответил:
— Сейчас я покажу вам один документ, прочтите его, пожалуйста.
Я достал из кармана и отдал ему письмо, которое называю «спасающей от тюрьмы бумагой». В нем было подробно описано, кто я, что делаю и кто мне это разрешил. Кроме того, внизу значились номера телефонов людей, которые могли подтвердить мои слова.
Но, прочитав письмо, начальник охраны спросил:
— А как мне проверить, не подделка ли ваше письмо? А, Крис?
— Отличный вопрос. Вы можете позвонить по одному из указанных в нем номеров, — ответил я насколько мог убедительно.
— По этим номерам я звонить не буду. На том конце провода может оказаться ваш подельник, сидящий в фургоне неподалеку.
(«Черт, — подумал я. — А ведь он прав. Надо будет учесть это при подготовке к следующей операции. Спасибо, мистер начальник службы безопасности».)
— Я лучше позвоню человеку из руководства, которого знаю лично.
Он сделал это, и я услышал голос его знакомого в трубке: «Ничего я не знаю ни про какой пентест. Вызывай полицию!»
Меня отвели в служебный офис и заперли там в кладовом шкафу (серьезно!). К счастью, в спешке охранники забыли отобрать у меня телефон и отмычки. Так что через несколько минут я выбрался из шкафа, открыл дверь офиса, вышел в коридор и уже оттуда дозвонился своему контактному лицу, попросил его сейчас же разобраться с возникшей ситуацией. К счастью, днем ранее я предупредил его о планируемой атаке. Вскоре я уже уходил восвояси, причем обошлось даже без применения электрошокера.
Эта история показывает, почему так важно в нужное время сообщать нужным людям нужную информацию. Да, это звучит слишком обобщенно, ведь в нашей работе нет стандартных ситуаций: каждый клиент в каждой конкретной ситуации предъявляет нам свои требования и диктует особые правила. И одни клиенты гораздо больше нуждаются в обратной связи, чем другие. Так что просто помните: вы — профессиональный социальный инженер, и ваша задача заключается в том, чтобы клиент остался доволен.