Саппорт
Moderators-
Публикации
123 -
Зарегистрирован
-
Посещение
-
Дней в лидерах
1
Тип публикации
Профили
Форум
Календарь
Tickets
Новости
Blogs
Файлы
Магазин даркнет
Галерея
- Изображения
- Комментарии к изображениям
- Отзывы к изображению
- Альбомы
- Комментарии к альбому
- Отзывы к альбому
Даркнет видео
Musicbox
Все публикации пользователя Саппорт
-
Фишинг на сегодняшний день является одним из самых распространенных видов социальной инженерии. По сути фишинг это выведывание информации для доступа к банковским счетам доверчивых пользователей. Он распространен в тех странах, где пользуются популярностью услуги интернет-банкинга. Чаще всего "фишеры" используют поддельные электронные письма, якобы присылаемые банком, с просьбой подтвердить пароль или уведомление о переводе крупной суммы денег. Примечание Само слово "фишинг" происходит от английского fishing, что, в свою очередь, переводится как рыбалка. Такое название этому виду мошенничества дали потому, что он на самом деле очень напоминает рыбалку, так как фишер по сути забрасывает наживку (вернее, несколько сотен наживок) и ждет, пока на нее кто-то "клюнет". Суть фишинга сводится к следующему. Злоумышленник заставляет пользователя предоставить ему какую-либо секретную информацию: информацию о банковских счетах, кредитных картах и т. д. Самое важное в том, что жертва совершает все эти действия абсолютно добровольно, — фишеры хорошие психологи и действуют четко. Выделяют три основных вида фишинга: • почтовый; • онлайновый; • комбинированный. Почтовый фишинг появился первым, — об этом виде мошенничества общественность узнала еще в 1996 году. Примечание Тогда сразу несколько тысяч клиентов провайдера America Online получили электронные письма от "представителя компании" с просьбой выслать логин и пароль для входа в систему. И многие выслали. Суть почтового фишинга в том, что жертве отправляется электронное письмо, в котором содержится просьба выслать те или иные конфиденциальные данные. К примеру, от имени интернет-провайдера с похожего (или идентичного) почтового адреса отправляется письмо, в котором написано, что по провайдеру нужно узнать логин и пароль для доступа в Интернет указанного пользователя, так как сам провайдер по тем или иным техническим причинам (база "рухнула") этого сделать не может. Более интересный пример связан с одним известным американским банком, клиенты которого однажды получили сообщения о том, что на их счет пришло большое перечисление (допустим несколько десятков тысяч долларов), и в соответствии с договором, так как сумма перечисления превышает сумму в $1000, им для подтверждения получения перевода необходимо пройти по ссылке, приведенной в конце письма, и ввести всю необходимую информацию для подтверждения перевода. В противном случае перевод будет отправлен назад. Мало кто смог побороть свою жадность, и несколько тысяч клиентов банка стали объектом фишинг-атаки. Примечание Это как раз тот случай, когда социальные хакеры блестяще сыграли на одном из людских пороков — жадности. Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя (или то же самое, только в другой зоне), и создается идентичный дизайн. Примечание В качестве приманки (аттракции) товары в этих поддельных интернет-магазинах продаются практически по демпинговым ценам, что неудивительно, ведь никто ничего на самом деле реально не продает. Дальше происходит примерно следующее. Решив совершить в магазине покупку, пользователь вводит свои логин, пароль и номер пластиковой карты, после чего все эти данные становятся известными злоумышленнику. После чего мошенник незамедлительно "обнуляет" кредитную карточку жертвы. Примечание Данный вид фишинга иногда еще называют имитацией бренда (brand spoofing). Комбинированный фишинг является объединением двух предыдущих видов фишинга. Его появление вызвано тем, что почтовый и онлайновый фишинг уже достаточно устарели, да и пользователи стали грамотнее в части информационной безопасности. Поэтому фишеры придумали другую тактику. Так же как в онлайновом фишинге создается поддельный сайт, а потом как в почтовом фишинге пользователям отсылаются письма с просьбой зайти на этот сайт. Примечание Это достаточно сильный психологический ход, благодаря которому комбинированный фишинг сразу же получил огромное распространение. Дело в том, что посетители стали настороженнее, и уже немногие просто так скажут свои пароли (хотя и такие встречаются). А в комбинированном фишинге эта настороженность как раз и снимается, благодаря тому, что в письме пользователя не просят сообщать какие-либо конфиденциальные данные, а просто просят зайти на сайт. Всего то. Пользователю просто предлагается зайти на какой-либо сайт, и самому проделать все необходимые операции. Сейчас происходит самый настоящий бум фишинга. Об этом, в частности, могут свидетельствовать следующие цифры: всего с октября по январь 2005 года Федеральная комиссия США по торговле зарегистрировала более 10 млн (!) жалоб от пользователей, ставшими жертвами фишинг-атак. Общая же сумма убытков по данным этой же организации составила около $15 млрд за 2005 год. Примечание Естественно, законодательства всех стран оказались неприспособленными к этому новому виду мошенничества. Из истории Российского фишинга В России первый зарегистрированный случай фишинга датируется маем 2004 года, когда клиенты Сити-банка получили по электронной почте письма с просьбой зайти на сайт банка (лжесайт, естественно) и подтвердить номер своей карты и ПИН-код. Фишеры в своей деятельности прекрасно используют связь с теми или иными событиями. К примеру, человеку точно в его день рождения приходит поздравительная открытка, в которой написано, что ему ко дню рождения банк, клиентом которого он является, в рамках проводимой акции "День Рождения" перечислил на счет $500. Для того чтобы их получить, нужно зайти на сайт банка (поддельный, естественно) и ввести необходимую информацию. Многие не чураются использовать и такие горестные для всех события, как крупные теракты или стихийные бедствия, когда различные организации просят людей перечислять деньги в фонд помощи пострадавшим. Просят и фишеры. По тем же схемам, что мы рассматривали: зайдите на сайт, зарегистрируйтесь и спишите какую-то сумму со своего счета. Примечание На момент написания книги единственным браузером оснащенным защитой от фишинга по умолчанию является Opera, начиная с версии 8.0. В настоящее время многие IT-специалисты по всему миру заняты разработкой способов, позволяющих защититься от атак фишеров. Кроме того, что в браузерах будут создаваться черные списки фишинг-сайтов, предложено еще несколько способов. • Генераторы одноразовых паролей Поскольку суть фишинга состоит в получении паролей и банковских сведений, необходимых для доступа к электронным счетам пользователей, использование генераторов одноразовых паролей позволяет обойти этот вид мошенничества. Генератор одноразовых паролей на вид напоминает обычный небольшой карманный калькулятор. Когда пользователь заходит на сайт банка, для того чтобы получить доступ к своему счету, ему необходимо ввести показанную генератором последовательность символов. Банк применяет тот же алгоритм для создания пароля. Доступ предоставляется только в том случае, когда оба пароля совпадают. Такой пароль нельзя украсть по той простой причине, что доступ по нему можно получить только один раз. Минусы использования такой системы состоят в дополнительных расходах для клиентов. Примечание В настоящее время генераторы одноразовых паролей применяют многие банки США и Европы, а также крупные интернет-провайдеры, к примеру, провайдер AOL. • Использование USB-устройств Суть данного приема сводится к тому, что пользователь не сможет получить доступ к своему счету, если он не подключит USB-устройство к своему компьютеру. В этом случае мошенники также не смогут получить доступ к счету пользователя. Примечание Наряду с USB-устройствами предлагалось использовать также специальные карты с микросхемами, которые вставляются в считывающее устройство, подключенное к компьютеру. Однако от этого варианта отказываются, как от дорогостоящего. • Мобильное подтверждение Суть этого приема в том, что доступ к карте осуществляется только после того, как пользователь отправит со своего мобильного телефона, номер которого он сообщил банку, какое-либо сообщение SMS (Short Message Service). • Хеширование паролей конкретного Web-сайта Хеширование паролей предотвращает кражу конфиденциальных данных путем добавления к паролю информации, специфичной для того сайта, где предполагается применить пароль. Пользователь просто вводит в специальной форме свой пароль, а браузер преобразует его и добавляет необходимую информацию. Суть в том, что Web-сайту, на котором пользователь вводит пароль, этот пароль в чистом виде не сообщается, на сайт приходит уже хешированный пароль. Таким образом, даже если пользователь и введет свой пароль на фальшивом сайте, то хакеры его применить не смогут. На настоящем же сайте применяется та же схема хеширования, что и у владельца карты.
-
Информация о маркетинговых планах организации Выведать информацию о маркетинговых планах организации и сыграть на опережение — едва ли не самый лакомый кусок для любого конкурента. Сделать это с помощью методов социальной инженерии проще всего. Не надо ломать сети, обходя бесчисленные количества файрволов и искать, на какой же машине лежит этот документ с маркетинговой стратегией. Не надо подбрасывать подслушивающие устройства на собрание акционеров или на совещание у генерального директора. Не надо снимать информацию по колебаниям оконного стекла лазерным лучом… Это все очень дорогие и не всегда надежные способы. Можно воспользоваться простейшими методами социальной инженерии. Два несложных примера. Я уверил как-то одного генерального директора предприятия о том, что проникну в их компьютерную сеть, и все их маркетинговые планы украду, прочитаю, и им потом перескажу. Он посмеялся, сказав, что это невозможно, что "три межсетевых экрана, целый отдел, занимающийся защитой информации, в котором спецы классные". Не сможешь, мол. Потому что это в принципе невозможно. Но спор, как говорится, принял. Про сеть, разумеется, было сказано для отвода глаз. На самом же деле, никто ни в какие сети проникать не собирался. Все было проще. Посещение стендов предприятия на выставке Примечание Популярность социальной инженерии среди мошенников, тех, кто занимается конкурентной разведкой и тому подобным, связана, на наш взгляд, с тем, что большинство методов социальной инженерии просты. Иногда просты настолько, что их даже не интересно описывать в книге. Думаешь: ну ведь это же очевидно, какая, к черту, социальная инженерия, ведь этот прием первый раз показали в кино еще году в 50-м. А потом еще сотню раз показывали в тех или иных вариациях. На него то уж точно никто не попадется. И… парадокс, заключающийся в том, что именно на такие простые приемы как раз и попадается большинство. Но даже, когда для проведения того или иного приема требуется проведение сложной комбинации, подразумевающей неплохое владение психологией, все равно для тех, кто занимается, к примеру, конкурентной разведкой, проще применить приемы социальной инженерии, чем заниматься технической разведкой. Исходя, в том числе, и из того немаловажного фактора, что применить социальную инженерию обойдется во много раз дешевле. Для того чтобы собрать большинство информации, оказалось достаточным просто посетить стенд этой организации на ближайшей выставке их продукции. Большинство менеджеров, которые находятся у своего стенда, стоит вам проявить лишь малейшую заинтересованность, с удовольствием расскажут вам все, что они знают о продукции и дальнейших перспективах. Очень часто нужно просто стоять и внимательно слушать (или не просто слушать, а записывать на диктофон, если на память не надеетесь). Именно таким образом одна компания из Санкт-Петербурга выкрала секрет производства соусов у своих конкурентов, при этом чуть было их не разорив. Люди весьма удивительные существа, они могут молчать при пытке их сотрудниками конкурирующей фирмы, но при этом с удовольствием выложат все секреты первому встречному на выставке. Примечание Естественно, при этом вы должны выглядеть как солидный клиент, и, желательно, чтобы на вашем бейджике было что-то весьма значительное, вроде "Президент ОАО "Микрон"". Если менеджер не особо разговорчив, можно применить ряд простых уловок, нацеленных на то, что менеджер боится представить организацию в невыгодном свете (в нашей универсальной схеме — это и есть мишень. Аттракцией может являться, к примеру, ваша значимость, хоть и искусственно созданная — с помощью бейджика и поведения). К примеру, вы, представившись каким-нибудь президентом, можете спросить: "А что новенького у вас в этом году появится? Знаешь про это что-нибудь?" Кто-то сразу скажет, кто-то не скажет… Тому, кто молчит, можно сказать: "Ладно, если не знаешь, сам позвоню Марьяшевичу, у него спрошу" (фамилию гендиректора и всех остальных значимых лиц надо знать обязательно). И, уходя, пробормотать, "наприсылают черте-кого, уж на такие мероприятия могли знающего человека прислать"… Один важный момент: предыдущий вопрос, где вы так разозлились, что вам не ответили, должен быть для вас пусть и значимым, но …не очень. Потому что потом вы походите по другим стендам, через некоторое время вернетесь к интересующему вас стенду и зададите уже действительно значимый для вас вопрос: "А вот про это-то знаешь, вон у тех ребят все как хорошо написано, а вы будете такое же делать или мне сразу с ними договор заключать"? И про это, он уже с большой вероятностью расскажет, потому что боится своего влиятельного директора Марьяшевича, и расскажет даже больше, чем надо. Примечание Но если уж обозвались президентом, то и выглядеть должны, как президент. Это совершенно не значит, что нужно обвешаться перстнями, цепочками, наоборот — одеты вы можете быть скромно: вы уже и так значительный человек, и вам уже незачем производить впечатление. Но одеты должны быть со вкусом, быть очень опрятными и вести себя значительно: как президент. Немного подробнее об этом — далее в примечании "О важности вживания в роль". …После того, как было немало узнано от менеджера, я пошел брать интервью у сотрудников предприятия. Примечание Мне только единственный раз встретился менеджер, который, хоть и был крайне доброжелателен, но ничего сверх того, что было можно, не сообщил. Менеджер оказался …генеральным директором этого предприятия, который иногда любил вот так "выйти в народ". Интервью с ключевыми лицами Взять интервью — это один из самых простых, но вместе с тем и самых привлекательных способов узнать о том, что творится на предприятии: какие маркетинговые планы, кто против кого дружит, кто кого обидел… Способ действительно простой, но вместе с тем очень действенный. Мишень здесь — чувство собственной значимости людей. Люди хотят чувствовать свою значимость, об этом еще Карнеги превосходно написал, и, чтобы удовлетворить это чувство, нередко забывают обо всем, о любой безопасности. Поэтому интервью с удовольствием дают многие (особенно если это интервью для телевидения). А для социального хакера такое прикрытие очень надежно и выгодно, так как позволяет, не особо стесняясь, задавать практически любые вопросы без риска вызвать подозрение. Для того чтобы интервьюируемый перешел к интересующему вас вопросу, его следует слегка "задеть", для чего иногда достаточно сказать фразу типа "Но вот у организации А (называете конкурирующую организацию), в газете "Вести России" сказано, что их продукция по техническим характеристикам намного превосходит аналогичную продукцию, производимую на вашем предприятии?" чтобы интервьюируемый бросился защищать честь родного предприятия и рассказал все, что он знает о данной продукции. Это уже потом он бросится искать номер этой газеты, чтобы своими глазами убедиться в нахальности конкурентов, и не найдет он этот номер, конечно. Да и газету с таким названием не найдет. Для пущей убедительности можно иногда преднамеренно для интервью распечатать единственный экземпляр данной газеты специально для интервьюируемого или создать сайт газеты, на котором во время интервью продемонстрировать упомянутую вами статью. Конечно, в сумме проработка таких мелочей может занять время и повлечь финансовые затраты, но если дело того стоит, то чем больше таких мелочей предусмотрено, тем лучше. Выглядит гораздо эффектнее и практически сводит к нулю какие-либо подозрения, даже если они были вначале. Примечание Извлечение полезной информации из разговора с кем-то, кто не подозревает, что является объектом вытягивания информации, называется скрытым допросом. Скрытый допрос — это серия приемов, позволяющих ненавязчиво получить нужную информацию. Этой тактикой пользуются психологически грамотные продавцы, которые продают свой товар, психотерапевты, чтобы узнать информацию о пациенте, и многие другие. Естественно, пользуются ей и социальные хакеры. Часто бывает выгодным и обратный подход, когда вы не нападаете на интервьюируемого, а, наоборот, разыгрывая из себя "технического дурака", просите объяснить ту или иную деталь. Это тоже весьма действенный способ. Примечание Я полностью верю тому, что немалую часть информации многие и их и наши разведчики берут из газет. Я также верю в то, что слова одного из наших сограждан, которого осудили за шпионаж, что все "секреты" он брал сугубо из газетных материалов — это правда. Вообще, по разным мнениям, около 90% всей закрытой информации разведчики всех мастей и рангов получают из открытых источников. Мне рассказывали, что многие директора после того, как узнавали, что их сотрудники (иногда на уровне заместителей) понарассказывали в интервью, бросались обрывать телефоны редакций и предлагать любые блага, только бы это интервью не выходило. Таким образом, побывав на выставке, взяв за пять дней 10 интервью, попив с некоторыми особо благожелательными интервьюируемыми пива в баре и поговорив "за жизнь", а также почитав все газеты за последние полгода, в которых сообщалось о деятельности этого предприятия, я знал практически все, включая интимные стороны деятельности высшего руководства, о чем этому руководству и доложил в своем отчете. Примечание Забегая вперед, заметим, что в терминах трансактного анализа, вы в этом случае ведете общение по трансакции Дитя — Родитель (о трансактном анализе мы подробно будем говорить в главе 5). Вы находитесь в роли Дитя, отводя интервьюируемому роль Родителя. А куда деваться мудрому Родителю, кроме как не научить Дитя всему, что он сам знает? Трансакция Дитя — Родитель прекрасно подходит для начала многих манипуляций, и об этом мы тоже будем говорить в главе 5, в которой изложены основные положения трансактного анализа. Вспомните об этом примере, когда будете изучать эту главу. В том же случае, когда вы сказали интервьюируемому, что, мол, у конкурентов то продукция получше вашей будет, вы проводили обратный прием, и отвели себе роль нападающего Родителя, а того, кто давал интервью, загнали в роль Дитя, заставив оправдываться. Иначе говоря, ваше общение проходило по линии Родитель — Дитя. Спор был выигран, а руководство глубоко задумалось. Потом мы вместе придумывали как минимизировать последствия подобных атак. Которые, правда, и атаками-то сложно назвать. Никто не прорывал оборону противника, рискуя собственной жизнью, никто никого не вводил в транс, и вообще ничего противозаконного не делалось. Все было абсолютно легально и весьма просто. Но от того не менее страшно, потому что вот так, когда крупицы информации начинают складываться в мозаику, может получиться хорошая бомба, которая в умелых руках таких дел натворить может… Примечание Кроме интервью полезно выполнить и ряд сопутствующих мероприятий. Обязательно постойте в курилках, потолкайтесь у главного выхода. Однажды мы выехали к клиенту, на одно предприятие, а я забыл пропуск, и пару часов мне пришлось поскучать в ожидании коллеги у главного вестибюля предприятия. Так за эти пару часов я, сам того не желая, немало узнал о деятельности предприятия и о тех проблемах, которые у него на данный момент есть. Простые правила, позволяющие избежать данный вид атак Существует два очень простых правила, которые позволяют избежать данного вида атак. • Правило первое. Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности. К сожалению, нередко это правило не соблюдается, и часто бывает так, что любой сотрудник знает не меньше генерального директора. Что, конечно же, не просто неверно, а очень опасно. • Правило второе. Применяемое в том случае, если у кого-то из сотрудников возникнет желание с кем-то поделиться той информацией, которую ему положено знать по должности. В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной. Именно так — "ответственность вплоть до уголовной", так как все другие виды наказания (взыскания, штрафы и пр.) легко обходимы. Подумаешь, штраф какой-то. Его же не сотрудник будет платить, а та организация, которая, скажем, заказала ему вашу клиентскую базу данных, потому что к сумме счета за свои "услуги" ваш "сотрудник" просто добавит сумму штрафа. Большинство людей не умеют хранить секреты Если вы руководитель какого угодно масштаба и ранга, запомните одно из самых важных правил, выполнение которого на много процентов обезопасит вас от многих социоинженерных атак. Правило такое: подавляющее большинство людей не могут хранить даже свои сокровенные секреты, не говоря уже о чужих. Если вы наедине поделитесь какой-либо информацией с сотней лучших сотрудников, предупредив каждого, что информация сугубо секретна, можете быть уверены, что 90 человек ее непременно "сольют на сторону". По самым разным причинам. Кто-то по глупости житейской, кто-то жене за вечерним чаем, кто-то "по пьяни", кого-то будет переполнять чувство собственной значимости, потому что "сам генеральный доверился и рассказал" и об этом, конечно же, нужно рассказать друзьям, которым никто никогда такой важной информации не доверял… Причин тут много. И они не главное — важен результат: большинство не могут хранить секреты. И, конечно, одно из качеств хорошего руководителя, — это умение разбираться в людях, которое полезно хотя бы для того, чтобы из этой сотки выделить те пять-десять человек, которым действительно не страшно довериться. Воровство клиентских баз данных Примечание И еще. Небольшое добавление ко второму правилу. Вы можете себя не ограничивать в средствах запугивания своих сотрудников на предмет того, что с ними будет после того, как они что-то своруют в вашей организации. Потому что некоторых работников удержать от дурных поступков может только страх. Так как страх за свое дальнейшее будущее для многих это именно то единственное чувство, которое сильнее страсти к деньгам. Несмотря на то, что достоянием гласности являются только единичные факты воровства клиентских баз данных, количество даже известных широкой публике случаев за последнее время значительно выросло. Для нас наиболее интересно то, что большинство хищений информации связано с использованием методов социальной инженерии. Наиболее просто добыть клиентские базы данных — это воспользоваться беспечностью сотрудников, работающих на предприятии. Нередко счета фактуры и прочие документы валяются на столах у сотрудников, которые еще имеют привычку выходить из своего кабинета минут на 10 — 30, так что, если и не надо, со скуки все пересмотришь. В некоторых магазинах, допустим по продаже офисной техники, мебели и т. д., многие продавцы оформляют счета, отвернувшись к своему компьютеру, а то, что я, к примеру, могу быть сотрудником конкурирующей фирмы, и мне ничто не мешает постоять за спиной и посмотреть список клиентов, это никого не волнует. Однажды одной даме, которая слишком долго оформляла мою покупку (в компьютерном магазине), я сказал: "Девушка, я вижу, что вы еще не очень освоились с 1С-предприятием, давайте, я вам помогу". Девушка с удовольствием приняла мою просьбу, встала из-за компьютера и …вообще ушла на 15 минут. Вероятно, пить чай. Что еще интереснее, ни один из сотрудников, которые туда-сюда сновали мимо меня (ее компьютер стоял в центре магазина), не поинтересовался, чего это собственно я (посторонний человек) за ним сижу. Примечание Причина того, что достоянием гласности становится лишь малый процент таких хищений в том, что фирмы, естественно, не желают портить свою репутацию, признаваясь в собственной беспечности. Случаи, когда похищаются клиентские базы данных, пользуясь беспечностью работающих на предприятии кадров, очень нередки. К примеру, для начала можно представиться сотрудником фирмы, которая устанавливает базы данных, и, проникнув таким образом за компьютер, или просто спросив у сотрудников, узнать, какие базы данных уже установлены на пользовательских машинах. А если повезет, то заодно их и скачать. Можно поступить так, как было в одной энергетической компании Санкт-Петербурга (этот случай мы описывали в главе 1), когда человек, представившись другом заболевшего сотрудника (системного администратора), сказал, что друг попросил его сегодня заменить. Хотя выяснить, друг попросил или кто-то еще, можно очень просто: позвонив своему сотруднику и перепроверив информацию. Правда, можно поступить хитрее и действительно сделать так, что друг подтвердит эту информацию. Можно ведь просто стать на некоторое время другом системного администратора. Пусть и не лучшим. Главное, чтобы этой дружбы было достаточно для того, что когда он действительно заболеет (или просто по каким-то причинам не сможет прийти на работу), он обратился за помощью к кому нужно. К другу, то есть, который только этого и ждет. Или не просто ждет, а пытается форсировать ситуацию. К примеру, вам вдруг неожиданно пришла повестка в военкомат, и, надо же какое совпадение, в тот вечер, когда вы обнаружили ее в своем ящике, вы как раз шли к себе домой вместе с другом попить пивка. — Ой, е…, — говорите вы "другу", — мне же завтра обязательно нужно быть на работе. Чего же делать то… А друг он на то и друг, чтобы подстраховать товарища в нужную минуту. — Да ерунда, — говорит он вам, — дел-то на три копейки. Давай я завтра вместо тебя схожу и все сделаю. Позвони своему боссу, предупреди, что, так, мол, и так, у меня такая ситуация и вместо меня придет мой хороший товарищ. И, радуясь, как удачно все разрешилось, вы вместе с "другом" со спокойной душой идете пить пиво. Можно на месяц устроиться в фирму, у которой надо украсть базы, менеджером по продажам. И уйти из нее на второй день, сказав, что не устроил коллектив вообще и директор в частности. Примечание Один из самых простых способов своровать нужную базу данных. Таким образом одна московская часовая мастерская своровала клиентскую базу данных у своего конкурента. Цена вопроса составила около $1500. Ну и, наконец, самый распространенный тип кражи баз данных, это их "уход" с предприятия вместе с сотрудниками, как это произошло некоторое время назад с одной московской фирмой по продаже мебели, когда все ключевые менеджеры ушли и открыли свое дело. Аналогичная ситуация случилась недавно в Санкт-Петербурге у крупной компании, занимающейся продажей сотовых телефонов. В обоих случаях только умение директоров договариваться с партнерами, которым они объяснили ситуацию, помогло спасти дело. Известен случай в Новосибирске, когда из компании, занимающейся корпоративной поставкой компьютеров, ушли ключевые менеджеры и создали собственную фирму, естественно, под работу с теми клиентами, которых они обслуживали, трудясь в прежней организации. Примеры приводить можно долго. Как же защититься от воровства клиентских баз? Самое простое — соблюдать те правила защиты, о которых мы говорили в предыдущем разделе, дополнив их еще несколькими. Итак. • Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности. • В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной. Примечание Еще раз повторимся, что этот пункт является одним из самых важных в защите компании от подобных случаев. В трудовом договоре с сотрудником должно быть четко прописано, во-первых, что является предметом коммерческой тайны, и, во-вторых, какие неприятности ожидают сотрудника, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Сотруднику нужно четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона "О коммерческой тайне" работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые по мнению работодателя составляют предмет коммерческой тайны предприятия, и за разглашение которых он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона сотрудник обязан будет возместить причиненные фирме убытки, возникшие в результате разглашения им конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Специально же для тех, кому этого мало, можно влезть в юридическую казуистику и пояснить, что клиентскую базу данных, вообще-то, можно рассматривать как средство производства, которое является собственностью работодателя. Из чего следует, что воровство этой базы можно уже рассматривать как воровство чужого имущества, что является предметом соответствующей статьи уже Уголовного кодекса (ст. 159 УК РФ). Кроме того, можно сообщить сотруднику, что при большом желании за хищение базы данных вы можете инициировать его судебное преследование аж по четырем статьям Уголовного кодекса: уже упомянутой ст. 159 ("Кража"), ст. 272 ("Несанкционированный доступ к компьютерной информации"), ст. 183 ("Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну") и ст. 146 ("Нарушение авторских и смежных прав"). Практика показывает, что когда перед людьми появляется возможность за кражу информации получить уголовное преследование, они становятся намного осмотрительнее в своих действиях. • Посторонние люди не должны иметь простого доступа в офис. • Если в комнате находятся посторонние, сотрудники ни при каких условиях не должны выходить из комнаты. • Нередко бывает так, что доступ к клиентской базе имеет практически любой сотрудник, так как база лежит на общем Doc-сервере, к которому не имеет доступа разве что уборщица. Конечно, такого быть не должно. Доступ к клиентской базе данных должны иметь только те служащие, которым это положено по должности. Это всем известное правило, согласно которому, чем меньше лиц имеет доступ к конфиденциальной информации, тем меньше вероятность, что эта самая информация "уйдет на сторону". Замечание Многие эксперты в области конкурентной разведки приводят еще правило, согласно которому все компьютеры, которые имеют доступ к клиентской базе, не должны иметь выхода в Интернет, быть без дисководов, приводов CD- и DVD-ROM, USB-входов, с них нельзя ничего распечатать и т. д. На наш взгляд, это правило, во-первых, не реальное, так как подобные меры просто очень сильно затруднят работу, а, во-вторых, ни к чему не приводящее, поскольку в этом случае компьютеры тогда должны быть еще и без мониторов, чтобы нельзя было перефотографировать информацию с экрана монитора. В настоящее время некоторые эксперты склоняются к тому, что уменьшить потери от воровства клиентских баз с компьютеров поможет внедрение систем CRM (систем управления и учета взаимоотношений с клиентами).
-
Финансовые махинации …Была весна, была любовь. Бухгалтер фирмы средней руки Наташа была беззаветно влюблена в юношу Илью. Такого прекрасного, такого милого, такого обаятельного. Они с ним случайно встретились в ночном клубе, и там она узнала, что Илья недавно приехал в их город получать образование на вечернем отделении финансового факультета. Бывший слесарь, руки золотые. "Ну и что, что слесарь", — рассуждала Наташа, — "выучится скоро и будет финансистом". Коллега, можно сказать. В общем, затевалась большая свадьба, а впереди была только любовь и много всего приятного, что с этим связано. А при чем же здесь финансовые махинации, спросите вы? А при том, что в планы Наташи жестко вмешалась реальная жизнь, в которой кроме любви бывает еще и жестокий обман. И однажды она узнала, что с ее компьютера был осуществлен перевод на счет некоей фирмы немалой суммы денег. Она точно помнила, что ничего такого не делала, да и вообще девушка это была старательная и без вредных привычек. В общем, шок. Который усугублялся тем, что ее любимый Илья вдруг куда-то исчез. Между прочим, о том, что эту аферу провернул именно Илья, догадались не сразу, потому что никому в голову не могло прийти, что такой обаятельный, такой милый, такой отзывчивый вот так вот может. Что же произошло? А произошел классический сюжет. Обаятельный Илья влюбил в себя Наташу для того, чтобы воспользоваться ее служебным положением. История очень часто происходящая, только цели разные. В данном случае целью было воровство денег. Примечание Мишень воздействия в данном случае — потребность Наташи в любви. Аттракция, естественно, любовные ухаживания Ильи за Наташей. Кроме того, аттракцией здесь также является и показ серьезности своих намерений (как помним, готовилась свадьба). И вот, дождавшись удобного момента, когда он был один в рабочий день в кабинете Наташи, он перевел деньги туда, куда хотел. О том, как это делается, она сама ему рассказала, потому что он спрашивал, мотивируя свои вопросы тем, что ему это интересно для образования (он же, как помним, на финансовом факультете учился, да и вообще, все, что связано с легендированием, в данном случае сделано очень грамотно). Во время же этих бесед Илья выяснил, где лежат дискеты с ЭЦП (Электронно-цифровая подпись) главбуха и директора. Была ли Наташа дурочкой? Нет, не была. Хотя бы потому, что в Илью за те несколько месяцев, что он был рядом с Наташей, влюбились почти все сотрудники фирмы, включая директора, который лично благословил их быструю свадьбу и готов был в скором будущем взять Илью в штат своей фирмы. И потому, что она, по большому счету не виновата в том, что деньги во многих наших фирмах переводятся по упрощенной процедуре. Как по правилам должен происходить перевод денег? Нужно, к примеру, перевести какую-то сумму. Приходит главный бухгалтер, вставляет дискетку со своей ЭЦП, потом вставляет свою дискету директор. И только после этого деньги переводятся, так как наличие ЭЦП и директора и главбуха — необходимое условие для перевода денег. И если бы все делать по правилам, то такая атака, конечно же, немыслима. Но… даже самая мелкая фирма может делать в день до десяти переводов. А теперь представьте, что директор каждый раз будет бегать и вставлять свою дискету. А если фирма не мелкая? Да он фирму скорее закроет, чем таким самоистязанием будет заниматься. Поэтому очень нередко, когда обе дискетки с ЭЦП просто лежат в столе у того бухгалтера, который переводит деньги. Как было и в описанном случае. А что было Илье? А ничего не было. Потому что он после того, как все сделал, сразу куда-то уехал. То ли в другой город, то ли в другую страну. Паспорт, естественно, был поддельным, у него вообще этих паспортов было больше, чем в паспортном столе. Примечание Оставим за скобками дальнейшее развитие или возможное развитие этой ситуации, так как нам оно, в принципе, не важно. Деньги могли быть и переведены, а потом обналичены, а могли и не успеть их обналичить, потому что сотрудники фирмы оперативно "откатили ситуацию". История финансовых махинаций знает примеры и того и другого вариантов развития событий. Для нас важен сам факт доступа к компьютеру, с которого осуществлялись банковские переводы, и факт осуществления этого перевода, т. е. тот этап работы, который связан с социальным хакерством был сделан, и сделан успешно. Разговор же о том, какими способами можно успеть обналичить деньги до того, как фирма (И/ИЛИ компетентные органы, если им сообщили об инциденте) начнет принимать меры, как можно сделать так, чтобы успеть обналичить деньги и т. д., выходит за рамки данной книги. Честно сказать, универсальных рекомендаций, позволяющих защититься от данного вида атак, не существует. Эта история с точностью до небольших вариаций не раз происходила и наверняка еще не раз произойдет. Многие авторы в похожих случаях говорят мол, нужно быть внимательнее, нужно четко следовать инструкциям и подобные вещи просто будут невозможны. Мы с этими словами, конечно же, полностью согласны, но, увы, это только слова. Не имеющие никакого отношения к реальной жизни слова. А если дело поставлено серьезно, и им занимаются серьезные люди, знающие, как такие дела делаются, можно гарантировать, что на эту удочку попадутся процентов 90 населения. А многие — еще и не один раз. Поэтому не будем опускаться до банальностей и честно скажем: гарантированных способов защиты нет. А теперь представьте на секунду, что влюбили не девушку Наташу, а директора. И представьте последствия. Причем сделать все это не очень сложно: определяется психотип человека, на основании чего выясняется, какие девушки (или юноши) ему (ей) нравятся — и через некоторое время жертва находит "ту единственную и неповторимую любовь, о которой всю жизнь мечтала". Излюбленный метод мошенников всех времен и народов. И очень действенный метод, потому что является атакой, основанной на физиологических потребностях человека. О физиологических потребностях мы здесь говорим более шире, чем принято, и понимаем под этими потребностями не только, скажем, потребность в еде, сексе и прочее, а также потребность в любви, потребность в деньгах, потребность в комфорте и т. д. и т. п. И вот, когда мишенью является одна из таких потребностей, дело плохо. В том смысле, что очень сложно. А умные социальные инженеры в качестве мишеней выбирают именно такие потребности. Рассмотренная нами атака — как раз из этой категории, когда в качестве мишени воздействия была выбрана потребность в любви. Давно известно, что в крупных городах России существуют целые агентства, которые содержат обольстительниц самого разного вида на самый разный, в том числе и изощренный, вкус. Цель их существования — получение прибыли путем "развода" богачей мужского пола. Действительно, зачем строить достаточно сложную комбинацию, как в только что приведенном примере, когда можно сделать все легче: влюбить в себя до беспамятства богатого человека, который сам по своей доброй воле будет переводить денежки на твой счет. Незачем нанимать орду хакеров, проворачивать финансовые аферы, балансировать на грани закона, — все можно сделать так, что человек сам отдаст деньги и отдаст их добровольно. Схема работы такая. На первом этапе сотрудники агентства выясняют все, что только можно о "клиенте": какую пищу предпочитает, какие книги, каких девушек, какие машины, какую музыку, — в общем все. Здесь действуют по принципу, что информация лишней быть не может. Это делается для того, чтобы в соответствии со вкусами жертвы, подобрать для него ту единственную и неповторимую, от которой он просто физиологически не сможет отказаться. Действительно, ну какой мужчина откажется от женщины, которая мало того что в его вкусе и красоты неписанной, но и страстная поклонница футбола (как и он сам, естественно), да еще и болеет за ту же самую команду. И, — о ужас, когда он как-то раз подвез ее на машине, она с сожалением и с некоторым кокетством констатировала: — Володя, вот если бы не одно, но, я могла бы сказать, что ты мужчина моей мечты. — Какое НО? — слегка насторожившись, но, придав тону игривость, спрашивает банкир Володя. — Ты не любишь классику… — Почему? Почему ты так решила, — слегка запнувшись, и уже без всякой игривости в голосе спросил он. — А ты вечно крутишь какую-то попсу в машине, а классику ни разу не включил, а я попсу терпеть не могу. — Что же ты раньше не сказала, ведь я тоже люблю классику, просто боялся тебе в этом признаться, думал, что сочтешь меня не современным. — Какая, к чертям, современность, все эти "Муси-пуси, трали-вали, поцелуй меня же Люся, пока нас не разорвали", — с ехидством пропела она, — от этой нынешней классики жить не хочется. То ли дело Бетховен… Все эти трали-вали в сравнении с ним… "Мой любимый композитор", — подумал он, а вслух спросил: — А что тебе больше всего у Бетховена нравится? — Соната до-минор, наверное, — ответила она, на мгновенье задумавшись. "Моя любимая соната, — думает он, — о, ужас… Нет, таких совпадений не может быть. Я первый раз встретил красивую и современную девушку, от которой я и так почти без ума, и которой еще вдобавок нравится классика, и, более того, даже в классике наши вкусы совпали. А, впрочем, почему я так думаю? Разве я не заслужил того, чтобы мне господь послал ту единственную и неповторимую? Разве мало я детям помогал, деньги в детдом № 5 перечислял? Может это и есть та награда за добрые дела, о которой говорят умные авторы в умных книжках, над которыми мои друзья только цинично посмеиваются. Может на фиг все? Может рискнуть? Ну что жена… С ней никогда и раньше то общего не было, а сейчас, ошалев от моих денег, вообще перестала всем интересоваться, сидит только дома, обрюзгла вся… Тьфу, смотреть неприятно. Да еще служба безопасности докладывает, что вроде она с кем-то на стороне, с каким-то программистом молодым, которому женщины "в соку" нравятся. Черта с два, женщины ему нравятся. Видать жить не на что, вот и выманивает у моей дуры мои деньги. А может и эта, которая рядом, тоже из-за денег? А ну-ка мы ее сейчас спросим…" — Марин, извиняюсь за нескромный вопрос, а ты чем занимаешься? — Володь, я директор модельного агентства. Володь, если ты подозреваешь, что я специально подсела к тебе в машину для того, чтобы тебя соблазнить, то это решается просто. Останови машину, пожалуйста. Вот здесь, если не сложно. — Да, что ты, Марина! Я просто ради интереса… "Бог мой, она словно читает мои мысли", — подумал он. "Идиот. Тебе, Володя, уже не банком надо заведовать, а в Кащенку идти добровольно сдаваться, чтобы вылечили тебя там от твоей подозрительности. Я не могу ее просто так высадить. Чтобы она вот так просто ушла в никуда, и, возможно, мы больше никогда не увидимся. Нет, нельзя упускать такое счастье", — продолжал он думать, перестраиваясь в крайне правый ряд. "А как же дети?" — спросил строгий внутренний голос. — "Что ты скажешь детям, когда разрушишь семью?". "Дети уже выросли и вполне самостоятельны", — ответил он внутреннему голосу, — "детям уже тех денег, которые я им даю, не хватает для того, чтобы бегать за всеми "юбками", и они не должны быть на меня в обиде, я тоже имею право на любовь, а ведь для них я сделал не так уж и мало. Дети учатся в престижных вузах, три раза в год отдыхают за границей, я спонсирую их любовные похождения, наконец. А дети, к слову, ни разу не поинтересовались, как у папы дела". — Марин, — наконец решился он, — а ты не против, если мы сегодня посидим в каком-нибудь уютном ресторанчике? — Володь, если честно, то против. — Почему? — Нет, я не прочь провести с тобой вечер, мне первый раз встретился мужчина, который совмещает богатство с любовью к сонате до-минор. А я много общалась с людьми, которые намного богаче, чем я, и что-то от всех от них оставалось какое-то никудышное впечатление. А ты какой-то другой… И мне хочется, если честно, побыть с тобой хоть на чуть-чуть, но дольше, даже врать не буду. Но просто я не люблю рестораны… — Марин, да если честно, я тоже их ненавижу! Давай тогда в мою вторую квартиру, в которой я люблю иногда наедине с самим собой побыть. А? Сейчас позвоню, привезут еды, вина, посидим вечерочек… — Нет, давай я лучше чего-нибудь на скорую руку сама сготовлю. Я очень люблю готовить, но, увы, теперь не часто получается самой это делать, а тут такой случай. — Я согласен, если ты, конечно, этого сама хочешь. А что ты будешь готовить, если не секрет? — Секрет. Увидишь. Я сготовлю свое любимое блюдо. Сверим наши вкусы, как говорится. "Терпеть не могу таких сюрпризов, сейчас сготовит что-то, что есть не сможешь, и придется себя пересиливать, лучше бы пригласить мою кухарку, чтобы она сготовила то, что я лю…"… — Мариночка, это что же за блюдо такое, — закричал он, не додумав до конца свою мысль, когда Марина вошла в гостиную со свежеприготовленным "коронным блюдом". — Володь, незачем так кричать. Это всего лишь лосось в икорном соусе. — Откуда… Откуда ты узнала? — Что узнала? — Что это мое любимое блюдо? — Да?! Если честно, даже не подозревала. Володя, как, оказывается, у нас с тобой много общего… А это, заметь, и мое любимое блюдо, меня научил готовить папа, он офицером служил на тихоокеанском флоте, и иногда по праздникам баловал нас этим деликатесом. …Вот примерно так, все и происходит с некоторыми вариациями. Не буду дальше рассказывать о том, как развивались отношения Володи и Марины. Скажем лишь о том, что потом Володя добровольно перечислял огромные суммы на счет Марины, чтобы она себе ни в чем не отказывала, бросил семью, и даже уговорил Марину оставить свое модельное агентство, чтобы она как можно чаще была с ним. Его счастье бы очень омрачилось, узнай он о том, что сорок процентов с перечисленных им сумм Марина переводила держательнице агентства, "шахине", как они ее между собой называли. И ту машину, которую подарил ей Володя, она тоже должна была продать, после разрыва с ним, или найти сорок процентов ее стоимости в денежном эквиваленте, чтобы отдать их "шахине". Не знал Володя и того, что встреча его с Мариной была подстроена по всем правилам разведки. Что неполадка в ее авто была сымитирована, и то, что он в этот момент оказался рядом с ней, тоже было подстроено. Не знал он и того, что вариантов таких случайных встреч — масса. Не знал он и того, что скоро перестанет быть управляющим банком, так как те данные, которые собрала на него Марина, уже переданы "шахине", которая за приличную сумму продала их тем людям, которые спали и видели, чтобы Владимир Анатольевич перестал быть богатым управляющим банком, а стал бы бедным дворником. Ну, и, естественно, он не подозревал о том, что после того, как в его делах случится крах, он станет очень раздражительным человеком, чем и воспользуется Марина, чтобы его покинуть. Теперь уже очень состоятельной женщиной, так как тех денег, которые она "выкачала" из, теперь уже несчастного, Володи, ей хватит на очень долгое время безбедного существования, даже за минусом тех процентов, которые отдавались "шахине". Социальные хакеры — доки в организации "случайных встреч". Ряд приемов заимствован ими, в основном, из арсенала спецслужб, но и в собственной изобретательности многим не откажешь. Конечно, за обольстительницами, о которых мы в данный момент говорим, стоит немало "бойцов невидимого фронта", которые все эти спектакли и ставят. Потому что операция "случайная встреча" — немаловажный этап во всей этой большой игре и планируют ее с учетом рекомендаций психологов, которые на основе данных первого этапа достаточно точно прогнозируют психо- и социотип жертвы и предсказывают поведение клиента в той или иной ситуации. Ведь один "клиент" может "поплыть" сразу после первой встречи, а к другому, более упорному, и подозрительному подходец нужен, — с ним несколько раз нужно встречаться, с ним во время первой беседы вообще ни о чем серьезном говорить не стоит. Значит, нужно, чтобы девушка, которую жертва "случайно" подвозит, "случайно" забыла в его машине свой сотовый телефон, к примеру. Желательно, той же самой модели, что и он предпочитает. Ну чтобы был повод встретиться. А третий, скажем, вообще в свои машины никого не сажает. Значит, нужно у ворот его дома подвернуть ножку или упасть в обморок. И падают, и хорошо падают, потому это все заранее не раз репетируется. А четвертого чужие обмороки, даже в исполнении очень красивых девушек, мало волнуют, потому как человек очень жестокий и предпочитает "стерв", а не размазюнь, в обмороки шлепающихся в дело и не в дело. Этому устраивается автомобильная подстава, при которой автомобиль девушки врезается в его крутое авто. Он, конечно, сидит в машине, ждет, пока его охрана разберется с "нарушившим правила дорожного движения", и вдруг слышит гортанный женский голос: "Эй, вы бодигарды, кыш отседова. Говорите, сколько я вашему папаше должна, берите деньги, и проваливайте, не мешайте мне наслаждаться моей нелегкой женской долей. А вашему недоумку за рулем скажите, чтоб убирался на своем авто крутом подальше, как только бабу за рулем увидит". Слушает жестокий человек Петр Семенович, владелец нескольких крупных автозаправок в центре столицы и одного небольшого нефтезаводика, этот низкий гортанный голос и уже подсознательно понимает, что этот голос принадлежит "стерве его мечты". И решает он на нее своими глазами взглянуть. И после этого он — пропал. Потому что, как взглянул, уже сознательно понял, что это именно та девушка, которая снилась ему ночами. А для пятого, кроме денег помешенного еще на рукопашном бое и чувстве собственной значимости, устраивается спектакль, в котором участвует девушка его мечты и несколько крутых на вид и неопрятных мужланов. Эти мужланы пристают вон к той красивой девушке, и о, боже, даже рвут на ней платье. Естественно, в зоне видимости "клиента". И решает он броситься в драку и помочь девушке, и бросается и только зубы из-под его кулаков тренированных вылетают, и разлетаются хулиганы в разные стороны от его ударов (потому что проинструктированы на тему того, что "чем дальше и красивее улетят, тем выше гонорар за выступление"). Девушка, естественно, его благодарит сквозь слезы, и он, ее, естественно, подвозит (ну куда ж она в разорванном платье-то сама пойдет), и, конечно, всю дорогу поет ему оды на тему "какой он мужественный, и как он ловко вон тех гадов, которые ее чуть было не…". Примечание Примерно такие же спектакли, кстати, нередко устраивают некоторые кандидаты перед выборами. Подкупают какую-нибудь шпану, которой говорят, что мол "как вон то авто увидите, сразу бросайтесь… Да не под авто, под авто другие бросаться будут, а на любую красивую девушку. И начинайте ее бить. Без травм, но чтоб кричала. Ясно? А как из этого авто выбежит человек в белых брюках и белом пиджаке, и начнет бить вас, вы ему сразу не поддавайтесь, а тоже слегка помутузьте. Он в курсе и в обиде не будет. А после того, как он вас всех изобьет, чтоб врассыпную бросились с этого места, желательно с криками и стонами, и… Да не домой раны зализывать, он сильно бить не будет, а на вокзал. И чтоб вас до такого-то числа в городе не было. Вот билеты. Все понятно? И если хоть кому слово… Ну, не глупые, сами понимаете". Дальше все идет по плану: завидя авто, "хулиганы" бросаются на девушку, наш герой в белом ее героически вытаскивает из лап "бесчинствующих подростков", пресса, конечно же, тут как тут. Как пресса узнала? А никак. Просто она случайно рядом снимала какой-то репортаж из жизни города, о чем в штабе кандидата, естественно, знали. После этого на всех полосах газет и в первых минутах городских новостей показывают кандидата после драки, в уже не белом пиджаке, утешающего девушку, ставшую "жертвой нападения". Потом берут интервью у кандидата, где он скромно улыбается и говорит, что "он всегда таким по жизни был". Потом сама девушка дает много интервью, в которых чистосердечно (ей же никто не платил) говорит, что "не знаю как другие, но я точно проголосую за Бориса Викторовича, хотя бы просто в знак благодарности. Никто не подошел, а он… Спасибо ему".
-
Основные отличия социальной инженерии от социального программирования
Саппорт добавил тему в Социальная инженерия
Кроме социальной инженерии, мы будем еще употреблять термин "социальное программирование", которое, хотя и кажется на первый взгляд похожим на социальную инженерию, на самом деле от нее очень отличается. Тому, чтобы прекратить эту путаницу в терминах, и посвящен этот раздел. Социальную инженерию можно определить как манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации. Социальное программирование же может применяться безотносительно от какого-либо взлома, а для чего угодно, к примеру, для обуздания агрессивной толпы или обеспечения победы какого-либо кандидата на очередных выборах, или наоборот, для очернения кандидата и для того, чтобы миролюбивую толпу сделать агрессивной. Важно то, что здесь уже речи о той или иной ЭВМ нет и в помине. Таким образом, термин социальная инженерия мы будем употреблять тогда, когда речь идет об атаке на человека, который является частью компьютерной системы, как это показано на рис. 1.1. Примечание Социальное программирование можно назвать наукой, которая изучает методы целенаправленного воздействия на человека или группу лиц с целью изменения или удержания их поведения в нужном направлении. Таким образом, по сути, социальный программист ставит перед собой целью овладение искусством управления людьми. Основная концепция социального программирования состоит в том, что многие поступки людей и их реакции на то или иное внешнее воздействие во многих случаях предсказуемы. Вещь, вообще говоря, очень интересная. Но в большинстве своем это действительно так. Общая схема методов работы социальных программистов представлена на рис. 1.3. Иногда кроме термина социальная инженерия употребляется также термин обратная социальная инженерия. Суть в том, что при обратной социальной инженерии вы человека напрямую ни к чему не принуждаете, а создаете такие условия, что он сам к вам обращается. К примеру, если вам нужно прийти в организацию под видом телефонного мастера, вы можете просто прийти и начать проверять телефонные коробки. Это в данной терминологии — социальная инженерия. А можно поступить и по-другому. Вы создаете такую ситуацию, при которой в какой-то конкретной организации вас знают как телефонного мастера. После этого вы ждете, когда что-то случиться с телефонами, или сами делаете с ними что-то, и спокойно ждете, когда вам позвонят и попросят прийти. Это и есть обратная социальная инженерия. Таким образом, не вы сами куда-то ни с того ни с сего приходите, а вас просят прийти. Конечно, второй случай намного предпочтительнее, т. к. снимает с вас вообще все подозрения. Грамотные социоинженерные подходы именно так и строятся, поэтому этот термин мы считаем излишним, и его употреблять не будем. Рис. 1.3. Общая схема методов работы социальных программистов В социальном программировании разработка схемы воздействия идет с конца, т. е. от нужного итога. Приведу один очень простой и очень нехороший пример. Пускай есть некто, к примеру, заместитель, которому ну очень мешает начальник. Допустим, этот заместитель знает, что у его начальника больное сердце и слабые сосуды, и тот, у которого больное сердце, очень любит "приложиться к рюмочке". Родственники, конечно, чуть не по пятам ходят и эту рюмочку отбирают, и это даже действует. А наш зам. начальника теми или иными способами начинает того, у которого больное сердце, целенаправленно спаивать. В конце концов, сосуды не выдерживают. Геморрагический инсульт. Зам. начальника стал начальником. На похоронах рыдал больше всех, да и потом остался самым близким другом семьи. Несмотря на то, что фактически убил главу семейства. Чем методы социального программирования прекрасны для преступников, что о них либо вообще никто никогда не узнает, как в вышеописанном примере, либо даже если кто-то о чем-то догадывается, привлечь к ответственности такого деятеля очень сложно. Ну нет у нас в уголовном кодексе статьи "Доведение до инсульта". А если б и была — пойди, докажи, что все так и было, ведь "доведенный" все делал сугубо добровольно, будучи дееспособным, в гипноз его никто не вводил, электромагнитными лучами никакими не облучал… Это мы рассмотрели достаточно классическую и очень простую схему отрицательного применения социального программирования. В разных вариациях эта схема действует с глубокой древности, если вспомнить историю. В данном случае нужный итог — физическое устранение соперника. Итак, цель сформулирована. Дальше проработаны психофизические характеристики, в результате которой выяснена склонность к выпивке и наличие хронических сердечно-сосудистых заболеваний. Затем разрабатывается мера воздействия (чрезмерное употребление алкоголя), которая при правильном применении и дает запланированный результат. Очень важно то, что поведение человека естественно для него самого. Что и интересно. Для этого и производится расчет психофизических характеристик. Потому что иначе это было бы не социальное программирование. Ведь, когда маньяк-убийца, к примеру, уже выбрал себе жертву и собирается ее убить, он тоже знает о будущем поведении жертвы того, что она еще сама о себе не знает (что ее скоро не будет на этом свете). Но, согласитесь, поведение жертвы в этом случае вряд ли можно называть естественным: сложно представить, что встречи с маньяками это ее естественное времяпрепровождение. Таким образом, социальное программирование, это когда вы искусственно моделируете ситуацию под конкретного человека, в которой вы знаете, как этот человек поступит, исходя из знания психотипа этого человека. То же самое относится и к группе людей. Социальное программирование базируется на следующих психологических концепциях: Примечание В главе 3 мы рассмотрим еще несколько примеров именно социального программирования, например, проанализируем, какими способами можно усмирить агрессивную толпу, а также подумаем о том, каким образом с помощью методов социального программирования можно было учинить скандально известный недавний "соляной кризис". • трансактном анализе (см. главу 6); • социологии (науке о поведении людей в группах) (см. главу 8); • нейролингвистическом программировании (см. главу 7); • сценарном программировании (см. главу 6); • психологической типологии (см. приложение 2). Социальное программирование, в отличие от социальной инженерии, имеет более обширную область применения, т. к. работает со всеми категориями людей, независимо от того, частью какой системы они являются. Социальная же инженерия всегда работает только с человеком, который является частью компьютерной системы, хотя методы в том и другом случае используются аналогичные. Другое важное различие состоит в том, что социальная инженерия — это почти всегда отрицательная область применения, социальное программирование же, как и любая область знания, имеет и положительную и отрицательную область применения. Одним из примеров отрицательной области применения социального программирования является как раз социальная инженерия. Поэтому, когда мы будем говорить о манипулировании человеком в том случае, когда он является частью компьютерной системы, или просто носителем секретной информации, которую требуется похитить, мы будем говорить о социальной инженерии, а в том случае, когда будет идти речь об управлении людьми вообще, мы будем говорить о социальном программировании. Наша книга — о социальной инженерии, но иногда, чтобы лучше была понятна суть многих методов, мы будем делать набеги в социальное программирование. В заключение разговора о социальном программировании приведем известный пример о том, как искусно можно манипулировать людьми. Однажды один гроссмейстер получил по почте письмо, в котором неизвестный ему человек, представившись молодым начинающим шахматистом, предложил сыграть дистанционную партию в шахматы. Дистанционную, потому что ходы отправлялись по почте. За выигрыш гроссмейстеру была обещана очень большая сумма денег, а если будет ничья, или, упаси бог, гроссмейстер проиграет, то деньги платит он. Правда, в два раза меньшую сумму, чем ту, которую получит он сам, если проиграет молодой шахматист. Гроссмейстер, не долго думая, согласился. Заключили пари, и стали играть. Уже с первых ходов знаменитый гроссмейстер понял, что "на халяву" заработать денежку не удастся, потому что уже первые ходы выдавали в молодом шахматисте перспективного мастера. В середине мачта гроссмейстер потерял покой и сон, постоянно просчитывая следующие ходы противника, который оказался не просто перспективным мастером, а очень большим мастером. В конце концов, через немалое время, гроссмейстеру едва удалось свести партию вничью, после чего он обрушил на молодого человека кучу комплиментов и предложил ему не деньги, а свою поддержку, сказав, что с такими талантами сделает его чемпионом мира. Но молодой шахматист сказал, что всемирная слава ему не нужна, и что просит всего лишь выполнить условия пари, т. е. выслать выигранные им деньги. Что гроссмейстер и сделал, скрепя сердце. А где же здесь манипулирование, спросите вы? А манипуляция здесь в том, что против гроссмейстера играл не молодой человек, а …другой великий гроссмейстер, который получил от молодого человека точно такое же письмо и точно так же согласился "быстренько подзаработать". На точно таких же условиях: за выигрыш ему платит большую сумму молодой человек, а за проигрыш или ничью платит гроссмейстер молодому человеку. В результате два великих шахматиста около полугода сражались между собой, а молодой "талантливый шахматист", выражаясь современным языком, работал почтовым ретранслятором, т. е. лишь пересылал их письма друг другу. А потом, в результате ничьи, оба гроссмейстера отправили деньги …этому молодому человеку. -
Все атаки социальных хакеров укладываются в одну достаточно простую схему (рис. 1.2). Рис. 1.2. Основная схема воздействия в социальной инженерии Итак, сначала всегда формулируется цель воздействия на тот или иной объект. Примечание Эта схема носит название схема Шейнова. В общем виде она приведена в книге белорусского психолога и социолога В.П. Шейнова, долгое время занимавшегося психологией мошенничества. В немного измененном нами виде эта схема подходит и для социальной инженерии. Затем собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия. После этого наступает этап, который психологи называют аттракцией. Аттракция (от лат. attrahere — привлекать, притягивать) — это создание нужных условий для воздействия социоинженера на объект. Принуждение к нужному для социального хакера действию обычно достигается выполнением предыдущих этапов, т. е. после того, как достигнута аттракция, жертва сама делает нужные социоинженеру действия. Однако в ряде случаев этот этап приобретает самостоятельную значимость, к примеру, тогда, когда принуждение к действию выполняется путем введения в транс, психологического давления и т. д. Примечание Под "объектом" здесь и далее мы будем иметь в виду жертву, на которую нацелена социоинженерная атака. Вслед за В.П. Шейновым, проиллюстрируем данную схему на примере рыбной ловли. Мишень воздействия в данном случае — потребность рыбы в пище. Приманкой служит червяк, кусок хлеба, блесна и т. д. А аттракция — это создание условий, необходимых для успешной рыбной ловли: выбор нужного места ловли, создание тишины, выбор нужной насадки, прикорм рыбы. Принуждение к действию, это, допустим, рывки удилищем, благодаря которым червяк или другая насадка дергается и рыба понимает, что пища может и уйти и надо действовать активнее. Ну а с итогом все понятно. Другой пример: подкуп сотрудника. Здесь мишень — потребность сотрудника предприятия в деньгах. О том, что он в них нуждается и что с большой вероятностью "примет предложение", узнается на этапе сбора информации. Аттракцией может быть, к примеру, создание таких условий, при которых сотрудник будет в деньгах очень нуждаться. Теперь кратко остановимся на таком популярном виде преступлений, как кража баз данных. Примечание Эти условия часто создаются умышленно. Банальный пример — ехал сотрудник на машине и "слегка попал в аварию", после которой и машину надо ремонтировать, и тому джипу, в который он врезался, деньги заплатить. Количество таких "дорожных подстав" сейчас выросло неимоверно, и исполнителей найти не сложно. Каких только баз сейчас не найдешь: и базы МГТС, и базы Центробанка, и базы Пенсионного фонда, и базы БТИ, и базы МВД с ГИБДД, и базы по прописке… В настоящий момент эксперты спорят о том, к какому виду преступлений относить кражу клиентских баз данных. С одной стороны, данный вид преступлений, вроде бы, по мнению многих экспертов, относится к преступлениям в области IT. Те, кто так считают, исходят из того простого положения, что базы данных хранятся на жестких дисках серверов, и, значит, если их украли, то это преступление в IT. Но с другой стороны, это не совсем так, потому что большинство краж совершаются с использованием методов социальной инженерии. Примечание Кража баз данных — это одна из основных областей применения социальной инженерии. Разговор о кражах баз данных мы продолжим также и в главе 2. Кто и каким способом ворует базы данных? Если в ответ на этот вопрос вы услышите, что их воруют хакеры, взламывая корпоративные серверы государственных органов и крупных компаний — не верьте этому. Это не так. Все гораздо проще и прозаичнее. Воруют их обыкновенные люди, не пользуясь, в большинстве случаев, никакими сложными приборами, если таковым не считать обыкновенный накопитель Flash Drive, подключаемый к порту USB. Как мы уже говорили, примерно в 80 случаях из 100 информацию воруют не по техническому каналу, а по социальному. Таким образом, это не хакеры сидят ночи напролет и взламывают серверы, а, скажем, обидевшийся системный администратор уволился. Но не один, а вместе со всеми базами данных и всей информацией о предприятии. Или за умеренную плату сотрудник компании сам "сливает" на сторону информацию о компании. Или просто пришел человек со стороны, представился лучшим другом системного администратора, и сел налаживать "глючную" базу данных, потому что лучший друг нынче болен. После его ухода эта база действительно стала работать лучше, но — в другом месте. Если вы считаете, что это очень тривиально и проходит только в маленьких и совсем уж беспечных компаниях, то вы зря так считаете. Совершенно недавно именно так похитили ценную информацию в одной из весьма крупных питерских компаний, работающих в области энергетики. И таких примеров очень много. Тот факт, что основной канал утечки информации — социальный, задачу защиты информации крайне сильно усложняет. Потому что вероятность утечки по техническому каналу в принципе можно свести к нулю. Можно сделать сеть очень защищенной, что никакая атака извне ее "не прошибет". Можно вообще сделать так, что внутренняя сеть учреждения не будет пересекаться с внешней, как это сделано в российских силовых ведомствах, к примеру, где внутренние сети не имеют выхода в Интернет. Кабинеты руководства и все кабинеты, в которых проводятся важные совещания, следует оборудовать средствами защиты от утечки информации. Никто ничего на диктофон не запишет — мы поставили подавители диктофонов. По радиоканалу и каналу побочных электромагнитных излучений никто ничего не прослушает — поставили генератор радиошума. Виброакустический канал тоже перекрыли, невозможен и лазерный съем информации по колебаниям оконного стекла, через вентиляционные шахты тоже никто ничего не услышит. Телефонные линии защитили. …Итак, все сделали. А информация все равно "сделала ноги". Как, почему? А люди унесли. Без всяких сложных технических манипуляций. В очередной раз сработал тот самый пресловутый и навязший в зубах человеческий фактор, о котором все вроде бы и знают, и о котором все стараются забыть, живя по принципу "пока гром не грянет…". Заметьте: похитить информацию из сетей государственных органов по техническому каналу практически невозможно. А она, тем не менее, похищается. И это является еще одним доказательством того, что, в основном, информацию похищают с использованием людей, а не технических средств. Причем похищают иногда до смешного просто. Мы проводили аудит одного крупного предприятия нефтехимической отрасли на предмет организации в нем защиты информации. И выяснили интересную штуку: доступ к столу секретаря генерального директора могла иметь любая ночная уборщица. И имела, судя по всему. Вот такая демократия царила на этом предприятии. А бумаг на этом столе столько было разбросано, что по ним можно было составить представление почти обо всей нынешней деятельности предприятия и о планах его развития на ближайшие 5 лет. Оговоримся еще раз, что это действительно крупное предприятие, с солидной репутацией и миллионными оборотами. В долларовом эквиваленте, конечно. А защита информации была поставлена… Впрочем, никак она не была поставлена. Еще один интересный социоинженерный канал утечки информации — это различные выставки, презентации и т. д. Представитель компании, который стоит у стенда, из самых лучших побуждений, ради того, чтобы всем понравиться, нередко выдает самые сокровенные секреты компании, которые ему известны, и отвечает на любые вопросы. Я не раз это говорил многим своим знакомым директорам, и один из них в шутку предложил мне подойти к представителю его компании на ближайшей выставке и попытаться таким образом что-нибудь этакое у него выведать. Когда я принес ему диктофонную запись, он, можно, сказать, плакал, потому что одна из фраз звучала примерно так: "А вот недавно наш директор еще ездил в Иран…". Этот способ добычи информации, кстати, используется немалым количеством фирм. …К сожалению, многие люди крайне беспечны, и не хотят заботиться о сохранности информации. Причем часто даже в очень крупных организациях это "не хотение" простирается от самых рядовых сотрудников до генерального директора. И при таком раскладе один системный администратор или начальник службы безопасности, будь они даже полными параноиками, помешанными на защите информации, ситуацию не спасут. Потому что на данный момент, увы, даже те из руководителей, которые понимают, что информацию защищать надо, не всегда осознают еще одну вещь: что защита информации должна быть системной, т. е. проводится по всем возможным каналам утечки. Вы можете сколько угодно защищать компьютерную сеть, но если люди получают низкую зарплату и ненавидят предприятие, на котором они работают, хлеще, чем советский народ гитлеровских оккупантов, то на эту защиту можно даже не тратить денег. Другой пример несистемности можно нередко наблюдать, ожидая приема у дверей какого-нибудь директора. Очень нередки случаи, когда те, кто конструирует систему безопасности, не учитывают такую вещь: директора имеют свойство говорить громко, иногда срываясь на крик. Двери же в кабинет генерального директора часто настолько звукопроницаемы, что совещающихся в "генеральском" кабинете можно слушать, совершенно не напрягаясь, даже если они говорят шепотом. Как-то я[1] приехал в Москву к одному "близкому к телу" директору проконсультироваться с ним на предмет, что же ожидает дальше нашу отрасль. А у него как раз случилось важное незапланированное совещание, и меня попросили подождать. Посидев 15 минут у его кабинета, я понял, что узнал гораздо больше того, что хотел узнать, и в принципе можно уезжать. Остался только из приличия. Пикантность ситуации в том, что когда дошла очередь до меня, на мои вопросы директор почти не ответил, говоря, что, мол, сам понимаешь, очень конфиденциально, я и сам пока не очень-то в курсе… И так далее. Тем не менее, я его очень горячо и любезно поблагодарил. Примечание Подробнее о том, как выведывается информация на презентациях — в главе 2. …Возвращаясь к базам данных, содержащих конфиденциальные сведения, следует отметить, что после вышенаписанного полностью понятно, кто и как их крадет. Обыкновенные люди их крадут. Очень часто — сами же сотрудники предприятий. Недавно вот осудили таможенника в чине подполковника, который снабжал рынок таможенными базами данных. В соседнем регионе поймали за руку начальника отдела налоговой инспекции, который за умеренную плату сливал данные местным криминальным браткам. И так далее. Для чего их воруют и кому это нужно? Нужно это многим. От млада до велика. Нужно как рядовым гражданам, так и "финансовым акулам". Если начать с граждан, то не вдаваясь в глубинные рассуждения об особенностях русского менталитета, скажем лишь, что пока в справочных службах наших "телекомов" сидят крикливые и всем недовольные барышни, то даже самому законопослушному и честному человеку гораздо проще для своих нервов пойти и купить эту базу номеров телефонов организаций на рынке пиратского ПО, чем позвонить на справочную службу. Это по понятным причинам нужно всем тем, кто занимается конкурентной разведкой. Это нужно криминалитету. К примеру, каждый уважающий себя угонщик автомобилей имеет базу ГИБДД. Криминалу также немаловажно знать, не обделяют ли его те, кого он "крышует". Домушники находят себе жертв с помощью баз данных. Это нужно финансовым гигантам, практикующим практику рейдерских наездов. …Продолжать можно долго. В общем, рынок обширен и спрос на продукцию есть. А спрос всегда рождает предложение. Это один из основных законов экономики. Если есть спрос, обязательно, рано или поздно, дорогое или дешевое, но предложение будет. Каким бы этот спрос не был. Даже если этот спрос очень кощунственный, к примеру, спрос на детские органы. Страшнее спрос сложно придумать. А все равно предложение есть. Что уж тут говорить про какие-то базы данных. Примечание Рейдерские наезды — это такая практика в новой российской истории, при которой, грубо говоря, большая компания прибирает к рукам те компании, которые меньше с помощью так называемых рейдеров. Допустим, некая большая компания захотела купить какую-то другую компанию, которая поменьше. Для этого она делает заказ рейдерам, — людям, которые построят план захвата компании и его исполнят. Подробно о рейдерах рассказано в главе 2. Можно ли вообще прекратить воровство баз данных? На государственном уровне это можно сделать, наверное, только ужесточив наказание за данное преступление. Хотелось бы посмотреть на того, кто осмелился бы своровать какую-то базу в советские времена. Правда, "ужесточив", это не совсем тот термин: дело в том, что сейчас базы данных можно красть практически безнаказанно. Ну чего стоит любому сотруднику практически любой структуры вынести эту самую базу? Правильно — ничего не стоит. В худшем случае уволят. Но это еще надо умудриться попасться. Дошло до того, что согласно публикации в "Комсомольской правде" от 03.03.06 базами данных приторговывает даже Московский центр экономической безопасности, который, судя из названия, должен эти самые базы охранять. Поэтому, как всегда, на государство, конечно, стоит уповать, но рассчитывать на него не стоит. И некоторые компании сами, не дожидаясь государства, пошли другими путями. К примеру, по пути дискредитации этого рынка и тех, кто на нем работает. Проще говоря, сливают обыкновенную "дезу", действуя по принципу, если государство не может нас защитить, то приходится самим учиться играть в шпионские игры. И многие неплохо учатся. Я знаю случай, когда одна компания, узнав, что ее "заказали", сама подготовила всю необходимую информацию, которую и украл злоумышленник. Когда "заказчик" понял, в чем дело, он, говорят, был вне себя. А цена вопроса была высока. История умалчивает, что было с теми, кто эту информацию добывал, но, по слухам, после этого случая количество желающих, в том числе и сотрудников, добывать конфиденциальную информацию о деятельности этой компании резко уменьшилось. Примечание В настоящее время цена вопроса на воровство одной базы данных крупного предприятия составляет около $2000. Кстати, хотя и говорят, что нет подзаконных актов, направленных на то, чтобы прекратить воровство баз данных, дело, зачастую, совсем не в них. Да, с подзаконными актами действительно проблема. Но в большинстве краж, как мы уже говорили ранее, виноваты сами организации. Кстати, в судах практически нет обращений от организаций, у которых крадут информацию. Что объясняется одной простой вещью: никто не хочет выносить сор из избы. Что, в общем-то, понятно, но, с другой стороны, очень сильно упрощает дело злоумышленникам. Дело еще и в том, что даже в том случае, когда фирме точно известно, что ее сотрудник похитил информацию, и она желает подать на этого сотрудника в суд, вероятность того, что фирма выиграет дело очень мала. По причине все той же беспечности: очень минимальное количество фирм оформляет договоры с сотрудниками должным образом, т. е. так, чтобы в нем было прописано, что сотрудник ознакомлен с тем, что имеет дело с конфиденциальной информацией и что ему будет за то, если он эту информацию разгласит.
-
Социальная инженерия — один из основных инструментов хакеров XXI века
Саппорт добавил тему в Социальная инженерия
В начале февраля 2005 года многие специалисты по информационной безопасности нашей страны ждали выступления К. Митника, известного хакера, который должен был рассказать о том, какую опасность представляет собой социальная инженерия, и какими методами пользуются социальные инженеры (которых мы в дальнейшем будем называть социальными хакерами). Увы, ожидания не очень-то оправдались: Митник рассказал лишь об основных положениях социальной инженерии. И много говорил о том, что методы социальной инженерии используют преступники всего мира для получения самой различной засекреченной информации. По мнению многих участников встречи, слушать было интересно, т. к. человек действительно очень обаятельный, но никаких особых тайн раскрыто не было. То же самое можно сказать и о его книгах — никаких особенных откровений там нет. Мы совершенно не исключаем, что Митник это все прекрасно знает, более того, мы даже в этом почти уверены, только, к сожалению, он ничего из того, что действительно знает, не рассказывает. Ни в своих выступлениях, ни в книгах. Примечание Кевин Митник — известный хакер, которому противостояли лучшие эксперты по защите информации из ФБР, и осужденный в 90-х годах правосудием США за проникновение во многие правительственные и корпоративные секретные базы. По мнению многих экспертов, Митник не обладал ни значительной технической базой, ни большими познаниями в программировании. Зато он обладал искусством общения по телефону в целях получения нужной информации и того, что сейчас называют "социальной инженерией". В результате таких недоговорок социальная инженерия представляется этаким шаманством для избранных, что не так. Более того, есть еще один важный момент. Во многих описаниях атак пропускаются целые абзацы, если не страницы. Это мы вот к чему. Если взять конкретно схемы некоторых, наиболее интересных атак, и попытаться их воспроизвести согласно написанному, то, скорее всего, ничего не выйдет. Потому что многие схемы К. Митника напоминают примерно такой диалог. Примечание Что, наверное, в общем-то, и неудивительно, т. к. ФБР взялось тогда за него очень плотно, показав, кто в доме хозяин, и нервы ему подергали изрядно. Было и множество объяснений, и запрет на работу с ЭВМ в течение нескольких лет, и тюремное заключение. Не стоит удивляться тому, что после таких перипетий он стал весьма законопослушным человеком, и не будет не то какие-то секретные базы похищать, но даже и о не секретных вещах станет говорить с большой осторожностью. — Вася, дай пароль, пожалуйста! — Да на! Жалко мне, что ли для хорошего человека. Разбор же этой "атаки" напоминает примерно следующее: "Вася дал социальному хакеру, потому что он с рождения не умел говорить "Нет!" незнакомым людям. Поэтому основной метод противодействия социальным инженерам — это научиться говорить "Нет"". …Может быть, эта рекомендация и подходит для Америки, но, боюсь, что не для России, где большинство скорее не умеют говорить "Да", а "Нет" у всех получается весьма неплохо. Действительно, есть тип людей, которые органически не могут отказать другому человеку, но, во-первых, таких людей немного, а всех остальных нужно к такому состоянию подводить. А о том, как подводить, не сказано ни слова. Вот примерно это и имеется в виду, когда мы говорим, что у Митника нередко пропускаются целые абзацы. Можно допустить, что первая фраза могла иметь место в начале, а вторая — в конце разговора. Но между ними было еще очень многое и самое интересное. Потому что, чтобы все было так просто, нужно человека погрузить либо в глубокий гипноз, либо вколоть ему "сыворотку правды". Но даже если это так и было, то об этом тоже нужно писать. Примечание О психологической типологии и о том, как эти знания использовать в социальной инженерии, мы подробно поговорим в приложении 2. В жизни же происходит, как правило, по-другому. И пароли говорят, и базы выносят, не потому что не просто "нет" ответить не могут, а потому что "нет" отвечать бывает, …очень не хочется. А для того, чтобы человеку, который владеет какой-то серьезной информацией, очень сложно было ответить "нет", нужно его подвести к такому состоянию. Проследив за ним, скажем, в течение недельки. Вдруг что интересное обнаружиться? Может он сам "засланный казачок" или по вечерам на конкурентов подрабатывает, а может дело то вообще серьезнее обстоит: по вечерам он подрабатывает не на конкурентов, а ходит в публичный дом …для людей с нетрадиционной сексуальной ориентацией, и, будучи для всех прочих примерным семьянином, очень не хочет, чтобы об этом кто-то узнал. Вот имея примерно такую информацию, к нему же можно смело подходить и говорить: — Вася, а ну скажи-ка мне все пароли, которые знаешь. И доступ мне в свою сеть открой, чтобы я время попусту не терял. И вот в этом случае уже очень многие Васи ответят: — Да на, пожалуйста. И пароли дам и доступ открою. Жалко мне, что ли для хорошего человека… На языке разведчиков это называется "вербовка". И если вдруг в вашей организации все куда-то исчезает, все пароли кому-то известны, подумайте о том, не сел ли кто "на хвост" кому-то из ваших сотрудников. Вычислить того, на кого сели, и тех, кто сел, обычно бывает не сложно. Умные сотрудники служб безопасности, кстати, прежде чем доверять людям ключевые посты, обычно очень сильно его проверяют на предмет, скажем так, слабых сторон кандидата на должность. И следят за ним, и тесты всякие умные устраивают, чтобы знать, что за человек работать пришел. …Это вступление написано не для того, чтобы покритиковать К. Митника — каждого из нас есть за что покритиковать — а для того, чтобы показать, что в социальной инженерии не все так просто, как это иногда преподносится, и относиться к этому вопросу нужно серьезно и вдумчиво. Теперь, после этого вступления, как говорится, давайте начнем. Компьютерная система, которую взламывает хакер, не существует сама по себе. Она всегда содержит в себе еще одну составляющую: человека. Образно выражаясь, компьютерную систему можно представить следующей простой схемой (рис. 1.1). Рис. 1.1. Основные варианты взлома компьютерной системы (человек — с карикатуры Х. Бидструпа) Задача хакера состоит в том, чтобы взломать компьютерную систему. Поскольку, как мы видим, у этой системы две составляющие, то и основных путей ее взлома соответственно два. Первый путь, когда "взламывается компьютер", мы назовем техническим. А социальной инженерией называется то, когда, взламывая компьютерную систему, вы идете по второму пути и атакуете человека, который работает с компьютером. Простой пример. Допустим, вам нужно украсть пароль. Вы можете взломать компьютер жертвы и узнать пароль. Это первый путь. А пойдя по второму пути, вы этот же самый пароль можете узнать, попросту спросив пароль у человека. Многие говорят, если правильно спросить. По мнению многих специалистов, самую большую угрозу информационной безопасности, как крупных компаний, так и обычных пользователей, в следующие десятилетия будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. Хотя бы потому, что применение социальной инженерии не требует значительных финансовых вложений и досконального знания компьютерных технологий. Так, к примеру, Рич Могулл, глава отдела информационной безопасности корпорации Gartner, говорит о том, что "социальная инженерия представляет из себя более серьезную угрозу, чем обычный взлом сетей. Исследования показывают, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут происходить благодаря социальной инженерии, а не электронному взлому. Следующее десятилетие социальная инженерия сама по себе будет представлять самую высокую угрозу информационной безопасности". Солидарен с ним и Роб Форсайт, управляющий директор одного из региональных подразделений антивирусной компании Sophos, который привел пример "о новом циничном виде мошенничества, направленного на безработных жителей Австралии. Потенциальная жертва получает по электронной почте письмо, якобы отправленное банком Credit Suisse, в котором говорится о свободной вакансии. Получателя просят зайти на сайт, представляющий собой почти точную копию настоящего корпоративного сайта Credit Suisse, но в поддельной версии представлена форма для заполнения заявления о приеме на работу. А за то, чтобы рассмотрели заявление, "банк" просил пусть символические, но деньги, которые требовалось перевести на такой-то счет. Когда же деньги перевели весьма много человек, сумма получилась уже не столь символическая. Фальшивый сайт сделан столь мастерски, что экспертам потребовалось время, чтобы убедиться, что это подделка. Стоит признать, что злоумышленники применили довольно хитрую комбинацию технологий. Их цель — самые нуждающиеся члены общества, т. е. те, кто ищет работу. Это как раз те люди, которые могут поддаться на такого рода провокацию", — говорится в словах Форсайта. Энрике Салем, вице-президента компании Symantec, вообще считает, что такие традиционные угрозы, как вирусы и спам, — это "проблемы вчерашнего дня", хотя компании обязательно должны защищаться и от них. Проблемой сегодняшнего дня Салем называет фишинг с использованием методов социальной инженерии. Почему же многие исследователи считают, что социальная инженерия станет одним из основных инструментов хакеров XXI века? Ответ прост. Потому что технические системы защиты будут все больше и больше совершенствоваться, а люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами, и будут самым слабым звеном в цепочке безопасности. Вы можете поставить самые совершенные системы защиты, и все равно бдительность нельзя терять ни на минуту, потому что в вашей схеме обеспечения безопасности есть одно очень ненадежное звено — человек. Настроить человеческий брандмауэр, иначе говоря файрвол(firewall), — это самое сложное и неблагодарное дело. К хорошо настроенной технике вы можете не подходить месяцами. Человеческий брандмауэр нужно подстраивать постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: "Безопасность — это процесс, а не результат". Очень простой и часто встречающийся пример. Пусть вы директор, и у вас очень хороший сотрудник, который, по вашему мнению, ну уж никогда ничего никому не продаст и никого не продаст. В следующем месяце вы понизили ему зарплату, скажем, по тем или иным причинам. Пусть даже эти причины весьма объективны. И ситуация резко изменилась: теперь за ним глаз да глаз, потому что он места себе не находит от обиды, он уже вас убить готов, что уж тут говорить о каких-то внутрикорпоративных секретах. Примечание Подробно о фишинге — в главе 2. Замечу также, что для того, чтобы заниматься обеспечением безопасности, особенно в части настройки "человеческих файрволов", нужно обладать устойчивой нервной и психической системой. Почему, вы поймете из следующей прекрасной фразы А. Эйнштейна, которую мы, вслед за Кевином Митником, не можем не повторить: "Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчет первой". -
В августе 98 года команда The Cult Of The Dead Cow выпустила пакет для удаленного администрирования – Back Orifice (BO). Честно говоря, я не очень обрадовался, когда услышал эту новость, так как я к этому времени уже писал «троянские кони». А после выхода BO люди все чаще и чаще стали задумываться о той опасности, которую несут в себе файлы неизвестного происхождения. Именно это помешало мне так же успешно продвигать свои творения несчастным юзерам – все теперь стали бдительными. Antiviral Toolkit Pro, самый популярный в России антивирусный пакет, теперь стоит практически у 80 процентов всего населения Рунета, и он знает все известные и кучу малоизвестных троянов. Так как же обмануть невинного пользователя сети и антивирусный пакет? Выбор составляющих backdoor Нет смысла говорить, что для добычи информации или доступа часто может понадобиться backdoor, который будет запущен там, где вам надо. Если выбран метод использования backdoor, то сразу же забудьте обо всех тех «неземных благах», которые несут в себе самые популярные трояны мира – BO, BO2K, NetBus Pro, Sub7, Donald Dick и прочие. Любой троян, про который знают более чем 5 человек, является неудачным. Помните, что самый эффективный троян, который может быть использован хакером – его личный троян, ну или, на крайний случай, тот, который написал хакерский друг-гуру. При составлении структуры трояна хакер должен забыть о всяких интересных и "полезных" вещах, таких как открывание cd-rom, выключение монитора, чат с жертвой. Backdoor нужен для того, что определяет его название – back door – незаметный проход, задняя дверь. Пишется он для того, чтобы получить доступ, манипулировать информацией, красть ее. Backdoor создается только для того, что нужно хакеру и ничего иного. В этом случае никакой антивирус не скажет про эту замечательную программу, что она backdoor. Мне понадобилось как-то узнать пароль root на одном UNIX. По стандартному методу мышления мне надо ломать саму машину, где стоит UNIX. Но она очень хорошо защищена, и это не так легко сделать, если вообще возможно. Но если вспомнить про человеческую незащищенность и социальную инженерию, то все UNIX-машины становятся доступны. Я сделал следующее: написал backdoor под Windows, который делал буквально следующее: он записывал все набранное на клавиатуре и давал доступ к диску. Все! Ничего лишнего. Получился этакий FTP-сервер с логой, того, что написано на компьютере. После этого я скачал все файлы с рабочей станции этого человека и взял логу того, что он писал. Этого оказалось достаточно, потому что там был аккаунт на UNIX-машину и пароль root. Его пароль был прописан в почтовом клиенте. А пароль root лежал в логе (когда он удаленно заходил на его сервер, он вводил этот пароль). В итоге была взломана машина UNIX. Хотя никакие стандартные методы проникновения замечены не были. Вывод: хакеру нужно думать более глобально, не ограничивать свое внимание только на объекте (жертве), а думать обо всех машинах в сети и о тех людях, которые сидят за этими машинами. Так вот, поэтому практически во многих ситуациях нам достаточно прочитать веб-сайт жертвы и написать backdoor. После этого, определить: к чему и для чего необходимо получить доступ. Если надо всего лишь скопировать всю информацию и то, что вводил пользователь с клавиатуры – можно ограничиться упрощенным FTP-сервером и кей-логгером. Мне этого хватит. Если есть желание постоянно наблюдать за жертвой, то можно встроить еще функцию screenshot, чтобы смотреть на экран жертве. Или же встроить поддержку socks-соединения, чтобы работать не напрямую, а через socks-сервер, таким образом обезопасить себя. Можно также обеспечить шифрование передаваемых данных и проверку паролем доступа к backdoor жертвы и добавить, если это необходимо, удаленное управление реестром. Plug-ins На начальном этапе жертве посылается только база. Такая база, которая вообще нечего не умеет. Но к ней можно подключиться и пристраивать плаг-ины. Можно это сделать в виде отдельных exe-файлов, а можно в виде dll. И в зависимости от того, что хакеру нужно на данном этапе, он подсоединяется к своему трояну-базе и вводит команду: скачать плаг-ин file manager, чтобы управлять файлами. Он качает и тут же устанавливает его, а хакер работает. Можно пойти еще дальше. В программу встраивается своеобразный скрипт, где прописано, чтобы в каждый четверг она скачивала определенный плаг-ин с какого-то URL, ставила и запускала его. Плаг-ин, совершив какую-либо работу и отослав результат своей работы хакеру на e-mail, удаляется. А взломщик, уже читая результат работы одного плаг-ина, перестраивает скрипт на тот лад, который ему необходим. При достаточном терпении можно очень долго манипулировать этой машиной и быть незамеченным. Ведь почему те юзеры, у которых не стоят антивирусы, догадываются о том, что с их компьютером что-то не так? Потому что злоумышленник часто бывает нетерпелив и поэтому перегружает машину жертвы так сильно, что это становится заметно невооруженным взглядом. Профессионалы терпеливы. Stealth-backdoors Теперь рассмотрим такую немаловажную вещь, как стелс-технологию. Заключается она в том, чтобы обмануть пользователя во время установки трояна и в тех случаях, когда юзер обнаружит троян и захочет его удалить. Мы не будем рассматривать такие принципы стелса, когда код трояна постоянно меняется, как в полиморфном вирусе. Я слышал, что разработчикам Donald Dick удалось сделать такое, но я в этом сомневаюсь. Реально полиморфного трояна создать нельзя. Создатели BO2K тоже во время разработки пытались сделать его полиморфным. Максимум, что им удалось – разбить троян на несколько частей. Итак, приступим. Возьмем небольшую программу, которая занимает от 15 до 35 килобайт в зависимости от языка и компилятора. Эта программа ничего не отсылает по почте и к ней нельзя подключиться. Это специально делается для того, чтобы обезопасить сохранность этой программы от злобных реверс-инженеров. При запуске, а лучше через неделю после запуска, она соединяется с прописанным в ней FTP- или WWW-сервером. Скачивает с него некую модифицированную программу (например, internat.exe - переключение кодировки) с встроенным троянцем. Я делал так: клал на FTP-сервер несколько версий этого internat: w95en.exe – w95 англ., w95ben.exe – w95 OSR2 англ., w95ru.exe – w95 рус., w95bru.exe – w95 OSR2 рус., w98en.exe – w98 англ., w98ru.exe – w98 рус., w98seen.exe – w98 SE англ., w98seru.exe - w98 SE рус., w2ken.exe – w2000 англ., w2kru.exe – w2000 рус. и качал соответствующий. После скачивания эта первоначальная программа заменяет родной internat программой, которая скачалась и удаляется. При перезагрузке он запускается как internat.exe, его даже видно в task list. Ни у кого нет подозрений. При этом порты он никакие не открывает, но раз в 30 минут принимает почту с определенного аккаунта, который в нем прописан. Если почта есть, он проверяет ее принадлежность к себе, если принадлежность обнаруживается, то он исполняет команды, которые там указаны. Например, запустить FTP-сервер или скачать программу из сети и ее запустить. Или удалиться. Или закачать лог-файл на FTP-сервер. Все, что угодно. Второй вариант такой. Небольшая программа (30-60 кб) при запуске соединяется с прописанным в ней FTP-сервером, скачивает с него некую модифицированную программу (например, internat.exe - переключение кодировки) со встроенным троянцем. При перезагрузке соединяется со специальным сервисом, который злоумышленник запускает на какой-нибудь UNIX-машине, ждет команд от него, и уже на тот сервер посылает свои команды. При этом на машине жертвы никак не смогут узнать, какой именно хакерский IP-адрес. Поэтому вычислить хакера будет крайне тяжело, только через промежуточный сервер. А если промежуточный сервер запускать на каком-нибудь сервере, который не играет для взломщика никакой роли (например, взломанный shell-box), то он в любой момент сможет удалить всю информацию на нем. И наконец, третий вариант. Небольшая программа (60 кб) при запуске соединяется с прописанным в ней FTP-сервером, скачивает с него полный комплект модифицированных программ, которые заменяют все стандартные утилиты (wordpad, internat, notepad, calc, image, write, explorer, scandisk, solitaire). При этом даже если кто-либо обнаружит, что-то в одной программе и заменит ее, будут работать другие. Желательно, чтобы в каждой из них был разный принцип работы (один через UNIX-box, другие через e-mail, третьи напрямую и т.д.). При этом, когда начинает работать другой, они шлют е-mail с извещением, каким образом ведет себя пользователь, и какие программы он запускает. Можно пойти дальше и заразить dll системы. В которых при вызове любой функции выполнялись бы и хакерские функции тоже. Сетевые соединения Как я борюсь с тем, что многие постоянно смотрят программой netstat свои текущие соединения? Все очень просто. В сети валяется исходник netstat, написанный на С. Нужно просто переписать его так, чтобы соединения с определенных адресов или на определенные порты не показывались. Можно пойти еще дальше. Взять и переписать dll winsock, т.к. существуют программы, которые показывают соединения, обращаясь напрямую к winsock. Исходный код winsock также можно легко найти в Сети.
-
Сегодня тебе предстоит познакомиться с теорией взлома. Вобще самый лучший админ - это хакер. Точно так же можно сказать, что самый лучший хакер - это злой админ . Этот текст представлен прежде всего как руководство по защите твоей системы. И помни про существование закона, в котором предусмотрены не хилые наказания за информационный вандализм! Приступим: Допустим, что у тебя есть какой-то сервер, который ты хочешь взломать или протестировать на защищенность от взлома. С чего нужно начинать? Что сделать в первую очередь? Сразу очень много вопросов и ни одного ответа. Четкой последовательности действий нет. Взлом - это творческий процесс, а значит, и подходить к нему приходиться творчески. Нет определенных правил и нельзя все подвести под один шаблон. Зато есть несколько рекомендаций, которых желательно придерживаться. Самое первое, с чего начинается взлом или тест системы на дырявость - сканирование портов. Для чего? А для того, чтобы узнать, какие сервисы/демоны установлены в системе. Каждый открытый порт - это сервисная программа установленная на сервере, к которой можно подключиться и выполнить определенные действия. Например, на 21-м порту висит FTP сервис. Если ты сможешь к нему подключиться, то тебе станет доступной возможность скачивания и закачивания на сервер файлов. Но это только если ты будешь обладать соответствующими правами. Первое, что нужно просканировать - первые 1024 порта. Среди них очень много стандартных сервисов типа FTP, HTTP, Telnet и т.д. Все открытие порты - это дверь с замочком для входа на сервер. Чем больше таких дверей, тем больше вероятность, что какой-то замок не выдержит натиска и откроется.У хорошего админа открыты только самые необходимые порты. Например, если это WEB-сервер не предоставляющий доступ к почте, то нет смысла держать сервисы почтовых серверов. Хороший сканер портов не только говорит номер открытого порта, но и показывает название установленного на нем сервиса. Желательно, чтобы сканер умел сохранять результат своей работы в каком-нибудь файле. Если этой возможности нет, то придется переписать все вручную и положить на видное место. В дальнейшем тебе пригодиться каждая строчка твоих записей. После этого можешь сканировать порты свыше 1024. Здесь стандартные сервисы встречаются редко. Зачем же тогда сканировать? А вдруг кто-то до тебя уже побывал здесь и оставил открытую дверку или протроянил сервак. Большинство троянов держат открытыми порты свыше 1024, поэтому если ты админ и нашел открытый порт с номером больше 1024, необходимо сразу насторожиться. Ну а если ты взломщик, то необходимо узнать имя трояна и найти для него клиентскую часть. На этом взлом может закончиться, потому что ты уже получил полный доступ к серваку без особых усилий . Определяем ОС: Теперь мы знаем, какие двери у сервера открыты и чем мы можем воспользоваться. Но этого мало, потому что мы знаем какие есть двери, но не знаем, как их открыть. Сканирование - это всего лишь самый начальный этап, который тебе еще ничего особенного не сказал. Самое главное перед взломом - определить, какая ОС стоит на серваке. Желательно знать и версию, но это удается не всегда, да и на первых парах изучения системы можно обойтись без конкретизации. Для определения версии я могу посоветовать Shadow Scan. Не могу сказать, что она лучшая, но и к разряду худших отнести ее не имею права. Помимо определения ОС, прога умеет определять версии установленных сервисов. Это тебе может очень сильно помочь. Допустим, что ты узнал, что на серваке установлен WEB-сервер. Ты даже узнал, что ОС именует себя как "Окошки". Ты можешь предположить, что WEB-сервер именует себя как IIS, но это предположение может тебя обмануть. Для окошек есть реализация сильнейшего сервера Apache. А так как взлом разных серверов производиться по разному, то тебя должно в первую очередь волновать, кто именно сидит на 80-м порту - IIS или Apache. Единственный недостаток Shadow Scan - именно при определении версии ОС некоторые релизы Shadow Scan вылетали в синий экран. Но в последней версии этот баг вроде исправлен.Адрес этой распрекрасной тулзы ты можешь найти во врезке "Download". Юзаем порты : Итак, теперь ты знаешь, какая на сервере установлена ОС, какие порты открыты, и какие именно серверы висят на этих портах. Вся эта инфа должна быть у тебя записана в удобном для восприятия виде, хоть в файле, хоть на бумаге. Не ленись всю собранную инфу записывать и собирать в одну кучу. Помни, что даже компьютерные мозги иногда дают сбои, а человеческие делают это регулярно. Самое интересное, что чаще всего забывается самое необходимое. Ну а после взлома не поленись уничтожить, иначе ты облегчишь работу нашей доблестной милиции. Все записал? Ну, на этом можно остановить взлом. У тебя есть достаточно инфы для простейшего взлома по уже пройденным другими хаксорами следам. Просто посещай регулярно www.securityfocus.com. Здесь ты должен поискать информацию о дырявости установленных на серванте жертвы сервисов и самой ОС. Уже давно известно, что большая часть серверов (по некоторым данным 70%, а по некоторым 90%) в инете просто не латаются. Поэтому проверь все найденные эксплоиты на жертве, возможно, что-то подойдет. Если сервер хорошо залатан, то придется ждать появления новых дыр и експлоитов к установленным на сервере сервисам. Как только увидишь что-нибудь интересное, сразу качай експлоит и юзай свежую дырку, пока админ ее не залатал. Тестирование безопасности : Практически каждый день специалисты по безопасности находят в разных системах недочеты и откровенно говоря дыры или даже пробоины в системе безопасности. Все эти пробоины выкладываются в отчетах BugTraq на разных серверах. Я тебе уже посоветовал посещать www.securityfocus.com, чтобы следить за новостями, и сейчас не отказываюсь от своих слов. Новинки действительно надо смотреть на этом сервере, но ведь есть еще ворох старых дыр, которые могли быть, и не залатаны на сервере. Как же поступить с ними? Не ужели придется качать все эксплоиты и ручками проверять каждую пробоину? Ну конечно же нет. Существует громадное количество прог для автоматизации тестирования сервера на залатанность. Ты думаешь я должен посоветовать тебе какую-нибудь определенную прогу? Нет, я этого делать не буду, потому что все программы хороши. Не существует такой тулзы, в которой была бы база абсолютно всех потенциальных дыр. Поэтому качай все, что попадется под руку. Возможно что-то тебе и пригодиться. Взлом WWW-серванта : При взломе WWW-серванта есть свои особенности. Если на сервере крутятся CGI страницы, то взлом такого серванта нужно начинать совершенно по-другому. Для начала нужно просканировать его на наличие дырявых CGI скриптов. Ты не поверишь, но опять же по исследованиям крутых дядек, в инете громадное количество скриптов дырявые. Дырявость скриптов связана с тем, что для кодинга страничек используется Perl. Я ничего не имею против этого языка, но он сейчас достиг уровня универсала. На нем можно делать практически все, а не только форматировать текст. Поэтому в Perl очень много потенциально опасных функций. Но это не так страшно. Страшнее, когда ты можешь этим функциям передавать свои данные, когда скрипты не проверяют введенную пользователем инфу, а в чистом виде передают параметры в опасные функции. Другие языки (PHP, ASP и др) тоже имеют потенциально опасные функции, просто там их или поменьше, или они имеют дополнительную защиту. Единственный более менее защищенный язык - Java, который очень сильно тормозит систему, из-за чего его не охотно используют WEB-мастера. Я не собираюсь тебя лечить карявостью языков кодинга, потому что главная корявость - руки программера. Из-за громадной нехватки спецов в нашей любимой области, кодингом стали заниматься все кому не лень. Многие программеры самоучки даже не пытаются задуматься о безопасности. А тебе это только на руку. И так, твоя главная задача - запастись парочкой хороших CGI-сканеров. Какой лучше? Ответ однозначный - ВСЕ. Даже в самом плохом сканере может оказаться инфа о такой уязвимости, о которой не известно даже самому крутому. А главное, что по закону подлости именно эта уязвимость окажется доступной на серваке. Я советую тебе скачать побольше сканеров, поищи в иНете =). Серп и молот : Там где не возможно взломать сервер с помощью мозгов, всегда можно воспользоваться чисто русским методом - серпом и молотом. Это не значит, что серп нужно представлять к горлу админа, а молотком стучать по макушке. Просто всегда можно воспользоваться тупым подбором паролей. Давай снова обратимся к статистике. Все исследовательские конторы пришли к одному и тому же выводу, что большинство ушастых выбирают в качестве пароля имена своих любимых собачек, кошечек, даты рождения или номера телефонов. Так что хорошо подобранный словарь может сломать практически любую систему, потому что везде есть ламеры. Ты до сих пор еще не веришь мне? Давай вспомним знаменитейший червь Морриса, который проникал в систему, взламывая ее по словарю. Словарь был достаточно маленький и состоял менее чем из ста слов. Помимо этого, червь использовал в переборе слова из словаря установленного в системе. Там тоже слов не так уж много. И вот благодаря такому примитивному алгоритму, червь смог поразить громаднейшее число компов и серваков. Это был один из самых массовых взломов!!! Взлом по словарю очень часто используется для взлома мыльников, FTP паролей и другой чешуи. Но прежде чем приступать к такому взлому, советую хорошо отредактировать словари имен и паролей. Очень важно знать, какую систему ты взламываешь. Например, если это оконный сервер, то желательно, чтобы среди логинов был "Администратор". Ну а если это *nix система, то обязательно должен присутствовать "root", а все логины типа "Администратор" можно послать куда подальше. Неплохо было бы вставить в словарь любые имена и пароли используемые по умолчанию для разных сервисов. Очень часто админы забывают или просто ленятся поменять пароли на сервисы, которые запущены, но они ими не пользуются. Эта лень очень часто проявляется у админов окошек и это связано с тем, что в окошках уровень знаний спецов намного ниже. Например, я очень много встречал MS SQL Server 7.0 c логином по умолчанию в "sa" и абсолютно без пароля. Наверно поэтому M$ собирается убрать этот логин уже в следующей версии своего сервера баз данных. Для тупого перебора я опять могу посоветовать Shadow Scan (ну люблю я эту тулзу, что тут поделаешь). В нем есть очень хороший генератор словарей и реализованы подборщики по всем основным протоколам. Взлом локалки : В локалке есть свои особенности. Например, если она построена на основе коаксиала или витой пары соединенной через хабы, то весь сетевой трафик обязательно проходит через твою машину. Почему же ты его не видишь? Просто ОС и сетевуха сговорились и не показывает тебе чужой трафик. Но если очень сильно захотеть, то можно воспользовавшись снифером пронюхать все данные проходящие мимо твоей сетевой карточки. Сейчас в сети можно скачать громадное количество сниферов и примочек к ним. Я опять не буду советовать тебе что-то конкретное, потому что лично я не могу выделить однозначного лидера среди сниферов. Разные версии заточены под разные нужды, и тут нужно выбирать именно из этого соображения. Если ты конкретно ищешь пароли, то тебе нужен тот, что умеет выделять информацию о регистрации из общего трафика сети. Троянус : Самый тупой и самый ненадежный в отношении админов способ. Хотя админы и бывают ламерами, но на такие шутки уже никто не катит. Но кто сказал, что в сетке существуют только админы? Есть еще куча ламеров с большими привилегиями и маленькими мозгами. Вот именно их и надо троянить. Как забрасывать троян? Самый распространенный способ - почтовый ящик. Просто даешь трояну какое-нибудь заманчивое имя и отправляешь письмо жертве. Если он запустит твой трой, то считай, что ты царь и бог на его компе. Теперь тебе будет доступно все, что может для тебя сделать твой боевой конь. Какое дать имя, чтобы заинтересовать ламера? Очень просто, окна очень часто прячут расширения всех зарегистрированных в системе типов файлов. В этом случае, если ты назовешь файл как Anna_Kurnikova.jpg.exe, окна спрячут последнее расширение и любой лам подумает, что видит картинку. Для большей надежности, файл лучше всего назвать даже так: Anna_Kurnikova.jpg...........exe. В этом случае, если даже расширение не прячется по умолчанию, его все равно видно не будет Любое письмо с трояном желательно снабдить хорошим текстом, чтобы заинтересовать чела запустить находящийся в нем файл. Итог : Эта статья не претендует на полноту, но я постарался дать все необходимые начальные сведения. Просто нас очень часто упрекают, что мы забываем про начинающих, и очень часто грузят вопросами типа: "Как взломать сервант?". Теперь ты сможешь залезть в танк и катиться дальше вместе с нами. Я заведомо не затрагивал тему получения халявного инета, потому что тут очень много своих особенностей. Но один из возможных способов я все же описал - трояны. Вообще, этот способ практически универсальный и может использоваться везде. Я так же надеюсь, что продвинутые челы тоже смогли найти для себя нечто интересное или новое. Покедова, надеюсь еще увидимся. Дополнительная инфа : http://www.cert.ru/ - хороший сервант по известным дырам. Радует, что он на русском, а огорчает редкость обновления и не все дыры описываются. http://www.cert.org - то же самое, что и предыдущее, только на английском языке. http://www.securityfocus.com - это я тебе уже рекомендовал, поэтому просто напоминаю. http:/www.void.ru -отличный сервант на русском языке. Можешь сделать его стартовой страницей. Не верь глазам своим!: Сейчас мы поговорим о том, как различные проги определяет семейство ОС установленной на серваке. Для этого есть несколько способов: 1. По реализации протокола TCP/IP. Разные корпорашки по разному реализуют стек протоколов в своих ОС. Программа просто анализирует ответы на запросы от сервера и делает вывод об установленной ОС. В основном этот вывод расплывчатый типа Windows или Linux. Точную версию таким образом сказать невозможно. Допустим, что прога сказала, что на серваке установлен Linux, но какой именно дистрибутив тебе никто не скажет. А ведь дыры в разных дистрибутивах разные и поэтому такая инфа - это только половина необходимого тебе для взлома сервера. 2. По ответам разных сервисов. Допустим, что на сервере жертвы есть анонимный доступ по FTP. Тебе нужно всего лишь присоединиться к нему и посмотреть сообщение приглашения в систему. По умолчанию, в качестве приглашения используется надпись типа "Добро пожаловать на сервер FreeBSD4.0 версия FTP клиента Х.ХХХ". Если ты такое увидел, то можно и радоваться и плакать, потому что это может быть и правдой.Если надпись приглашения отражает действительность, то админ - лох со стажем. Нормальный админ всегда изменяет приглашение по умолчанию. А вот хороший админ может написать и ложное сообщение. Например, на сервере с Windows 4.0 можно увидеть приглашение в Linux. В этом случае можно безуспешно потратить очень много времени в попытках сломать окна через дыры Linux. Поэтому не особо доверяй надписям и старайся перепроверить любыми другими способами. 3. Социальная инженерия. Если ты хочешь взломать сервант хостинговой компании, то можно отправить письмо админу с запросом об установленных у него серверах. В основном админы или служба поддержки не скрывают эту инфу, но бывают случаи и вранья. Возможно, что эта инфа будет лежать даже на главной странице сервера, но даже это следует проверить. Чтобы тебя не надули, обязательно обращай внимания на используемые на сервере сервисы, например, в Linux врят ли будут крутиться страницы созданные по технологии ASP. Hack-Download : В этой врезке я постараюсь дать тебе список всех программ, которые тебе понадобятся при тестировании системы на дырявость. CyD NET Utils - всегда можно скачать с сайта www.cydsoft.com/vr-online. эта программа писалась не для взлома а для тестирования локальных сетей на работоспособность и безопасность. Так что если ты админ, то желательно иметь эту прогу в своем арсенале. В CyD NET Utils присутствует удобный сканер портов, пингер, WhoIs и многое другое. Результат работы можно всегда можно сохранить файл или распечатать. Shadow Scan - отличная прога с большим количеством возможностей для тестирования системы на вшивость. Что-то говорит мне, что написана нашими братьями по разуму из ближней Украины. NT Crack - прога проверки NT на вшивость. Если ты хочешь взломать оконный сервер, то эта прога должна быть в твоем арсенале. Ну а если хочешь защитить NT, то тем более. NT Bugs - достаточно приличного размера описание багов оконного сервера. Если ты владеешь буржуйским языком, то просто обязан иметь ее в своем арсенале. LC4 - самый знаменитый и крутейший подборщик паролей для NT. Retina Network Security Scanner (http://www.eeye.com/) - хороший сканер безопасности. Вот не знаю я, и за что я в него такой влюбленный ? Короткий словарик : Демон - серверная программа, которая работает в фоне и предназначена для выполнения каких-либо действий. Этот термин применяется в *nix средах. Там названия таких прог в основном отличаются тем, что в конце имени стоит буква "d". Представим себе демон WEB сервера. Это должна быть прога, которая висит в памяти и ждет подключения на 80-й порт (это по умолчанию). Как только кто-то подсоединился, демон начинает принимать запросы и отвечать на них. Но демоны бывают не только сетевые, потому к сетевым, например, невозможно отнести демон печати. Сервисы - это то же самое, что и демоны, только так называют те же проги в окошках. Експлоит - прога, которая умеет пользоваться какой-нибудь уязвимостью сервака. Если он написан под *nix, то может поставляться в исходных кодах. В этом случае, перед использованием потребуеться компиляция. Порт - Каждая сетевая программа при старте открывает для себя любой свободный порт. Есть и зарезервированные типа FTP это 21-й порт, HTTP это 80 порт и т. д. Теперь представим ситуацию, что на сервере запущено два сервиса: FTP и WEB. Это значит, что на сервере работает две программы, к которым можно коннектиться. Теперь ты хочешь присоединиться к FTP серверу и посылаешь запрос по адресу ХХХ.ХХХ.ХХХ.ХХХ и на порт 21. Сервер получает такой запрос и по номеру порта определяет, что твой запрос относиться именно к FTP серверу, а не WEB. Так что сетевые порты - это что-то виртуальное, что увидеть невозможно. Если бы не было портов, то комп не смог бы определить для кого именно пришел твой запрос. Троян - прога, которая незаметно сидит в системе жертвы и позволяет тебе управлять его компом.
-
1. Запретите или сделайте невозможным то,что не разрешено явным образом. 2. Всегда устанавливайте пароль,сделайте его сложным и часто меняйте(если есть что скрывать). 3. Следите за обновлениями используемого программного обеспечения. 4. Для всех типов доступа предоставляйте лишь необходимый минимум привелегиий(чем меньше тем лучше). 5. Ограничьте доверие. 6. Относитесь ко всем внешним интерфейсам с особой "параноей" (в том числе и к телефонным подключениям!). 7. Должны быть включены системы мониторинга, ведение журнала и аудита. 8. Обеспечьте возможность реагирования на проишествия,непрерывность работы. 9. Помните технология не защитит ВАС от СОЦИАЛЬНЫХ атак (Поменьше трепись о личном). 10.И вообще разработайте политику безопасности, сделайте ее полной и широко распределённой. 11. Определяйте реальный риск вторжения. 12. Изучите свои платформы и программы лучше врага. Прежде чем атаковать нужно научитья обороняться!
-
Попал в чужую колею, глубокую… В. Высоцкий На первый взгляд, этот раздел данной главы никакого отношения к социальному программированию и социальной инженерии не имеет. Однако мы включили в настоящую книгу этот раздел хотя бы по одной причине: чтобы читатель смог получше разобраться в людях, и в отношениях между ними. И, самое главное, в глубинных причинах этих отношений. Почему у одних все хорошо, а у других все плохо? Хотя, казалось бы, стартовые условия одинаковые. Почему один куда бы не устроился — у него все хорошо на работе, а у другого — все плохо? Почему к одному подошли социальные хакеры, неважно кто, хоть цыганки те же, и он им рассказал все, что знал и отдал, все что имел. А к другому пять раз подходили — а ему "как с гуся вода", знай только себе посмеивается и приглашает шестой раз попробовать. В данном разделе мы постараемся дать ответ на эти вопросы. …Иной раз кажется, что какому-то человеку на роду написано быть неудачником, а другому наоборот — счастливчиком. И это правильная фраза. Действительно, многим из нас "написано на роду". Дорогой читатель, успокойтесь… Авторы — не мистики и не фаталисты. Мы лишь просто немного знакомы с психологией. И знаем, кто пишет нам те скрипты, по которым многие из нас действуют всю жизнь. И постараемся рассказать вам об этом в данном разделе. Ясно, что атакам социальных хакеров, как правило, подвержены люди, скажем так, с точки зрения психологии не вполне полноценные. Проблемные люди, т. е. те, у кого слишком много нерешенных проблем, комплексов… Эти люди живут не по своей воле, хотя им кажется, что по своей. Они всегда выполняют чью-то чужую волю, они в "чужой колее"… …Их видно в толпе: идут, погрузившись в свои мысли, отсутствующий взгляд, неуверенная походка. Потенциальные же жертвы социальных хакеров, мошенников и преступников всех мастей. Ввести в транс такого человека не составит труда. А вот и другие — бодрая походка, трезвый взгляд, могут оценивать ситуацию. Это счастливчики, любимцы жизни. Кто же и когда пишет нам скрипты, по которым мы живем? Современная психология знает, что у человека есть подсознательный жизненный план, согласно которому он живет. Этот самый план и называется скриптом. Термин этот введен Э. Берном, основателем скриптового анализа. Скрипт (или сценарий, как его еще иногда называют) в психологии, как правило, употребляется в отрицательном смысле. Таким образом, если человек неудачник, значит, он живет в рамках какого-то сценария или скрипта. Неудачного, безусловно. Конечно, бывают и хорошие скрипты. Но психологи, имея дело в основном с плохими скриптами (счастливые люди к психологам не обращаются), употребляют слово скрипт, как правило, в отрицательном смысле. Вкладывая в это понятие то, что человек "со скриптом" уже не хозяин своей жизни, его плачевный итог уже предрешен много ранее и, чтобы он не делал, вырваться из скрипта он не сможет. Говоря языком театралов, трагический итог пьесы предрешен, у человека есть возможность лишь слегка изменить действие по ходу пьесы, но каким путем он бы не пошел, это все равно приведет его к уже известному итогу. …Берем нескольких людей и копаем яму. Неглубокую. После этого случайно взятому человеку завязываем глаза и отводим на некоторое расстояние от ямы (по прямой). Говорим, чтоб шел вперед. К яме. Суть в том, что нужно с завязанными глазами в эту яму не провалиться: остановиться сразу перед ней. А теперь смотрим, что получается. Первый пошел. Два шага сделал резво, а потом до самой ямы плелся, что твоя черепаха Тортилла. Но не упал. Подошел к самому краю, сделал шаг вперед, и почувствовал, что дальше хода нет. Второй пошел. Бегом бежит! И — ооп-па! — касается одной ногой самого края ямы и ее перепрыгивает! Да… За этого можно не беспокоиться, у него в жизни получится все и даже больше. Третий — идет ровно, спокойно, но прямо у самого края встал, подумал и дальше не пошел. С этим тоже дальше все будет нормально. А вот четвертый… Четвертый шел бодро, уверенно, с улыбкой, и упал в яму. Этого можно подозревать на наличие отрицательного скрипта. Второй раз, третий, четвертый, пятый — и все время падает. Все, почти точно — это виктим (victim) (жертва). Если виктим стопроцентный, так скажем, то можно наблюдать почти мистические вещи. Можно отвести его в сторону от ямы и сказать, чтобы ничего не боялся и шел прямо. Потому что яма в стороне и ничего ему не грозит. Ба! А прямо-то ему не идется, яма эта притягивает его как магнитом, и вот он заворачивает, заворачивает, и… И снова падает в яму. Хотя, казалось бы, шанс попасть в нее в данном случае ничтожный. И однако… В жизни этот человек будет делать примерно то же самое: из тысячи возможных решений он выберет самое неудачное. А на все удачные моменты жизни, которые ему подсказывает судьба, он будет "плевать с высокой колокольни", и попросту не замечать их. Дожидаясь того единственного момента, который самый плохой. Дожидаясь этой своей ямы… Но кроме четвертого есть еще и пятый. Мистика, но если отвести его вбок от ямы, то он все равно приходит к ней! Тест этот проводить вам совершенно необязательно, просто на его примере мы попытались лишний раз объяснить, кто такие жертвы, или виктимы, как мы условились их называть. Вот и в жизни такие люди делают то же самое. Это люди со скриптами, они не вольны распоряжаться своей жизнью… Самое интересное в нашей жизни то, что какой она будет мы решаем очень рано — в возрасте от 3 до 6 лет. Некоторые, особо одаренные, еще раньше — в период внутриутробного развития. Э. Берн говорил на эту тему примерно так: "Каждый человек в раннем детстве решает, как он будет жить в жизни, как он умрет, и этот план, который всегда с ним, где бы он ни был, и называется скриптом или сценарием.Его поведение может быть обусловлено здравым смыслом, но все важнейшие решения в его жизни уже приняты: кого он выберет в супруги, сколько будет детей и будут ли они вообще и т. д.". Скрипт — это жизненный план, сформированный в раннем детстве под влиянием родителей. Вот вам и ответ на вопрос, кто пишет нам скрипты. Родители, конечно, кто же еще… Скрипт — это та психологическая сила, которая толкает человека к его судьбе. Прочитав эти строки, читатель может подумать, что авторы ударились в глубокую философию, и, наконец, ответили на вопрос, давно мучавший все человечество: "Что наша жизнь — предрешенная кем-то судьба или мы сами строители своей жизни?" А заодно и вывели формулу жизни, по которой мы все живем. Увы, не так. Увы, потому что это сделали не авторы, а великие психологи и психотерапевты. И основателем этого направления в психологии является уже много раз упоминавшийся нами Э. Берн, а также Э. Карпмпан, М. Литвак — эти психологи много потрудились на ниве сценарного программирования. Они же и ответили на вопрос, что нужно сделать для того, чтобы самим стать строителями своей жизни, даже если до этого мы живем по написанному кем-то скрипту. Это направление в психологии называется сценарное или скриптовое перепрограммирование. Ответили они и на вопрос, кто пишет нам скрипты. Родители, как мы уже выяснили. Человеческую жизнь не нужно сводить к формулам, и все психологи в один голос твердят о том, что нормальная жизнь — это жизнь не по формуле. Нормальная жизнь — это когда человек сам хозяин своей судьбы, когда он живет разумно строя свою жизнь, с учетом действий внешних обстоятельств и жизни других людей. Однако большинство людей, увы, живут ненормально. Живут по формуле. По сценарию. …Психолог сидит в своем кабинете, хмуря лоб и изображая мудреца. Перед ним сидит робкий, на первый взгляд, юноша со стопкой листков. Юноша — это пациент, а стопка листов это его жизнеописание, начиная от момента "первой памяти" и заканчивая сегодняшним днем. Жизнеописание психотерапевт попросил его написать на предыдущей встрече, попросив писать как можно подробнее и сформулировав вопросы, на которые в этом описании жизни должны быть даны ответы. Психотерапевт прочитал жизнеописание до 7 лет, а остальное отложил. — Почему же вы не читаете дальше, ведь дальше самое интересное, — спросил юноша с некоторым раздражением. — Да нет, — задумчиво ответил психотерапевт, — самое интересное уже произошло, а что у вас было дальше, я вам сам могу рассказать. Все верно. До семи лет "движок скрипта" ("костяк скрипта") уже был создан. Дальше будет лишь его "тюнинг". Дальше ребенок будет встречать все больше и больше людей, причем именно тех, которые будут исполнителями ролей в его скрипте. Если его скрипт — скрипт неудачника, то и встречать он будет только неудачников. Вернее, он может встречать и других людей, очень удачливых, ему самому может не раз улыбаться удача, но он пройдет мимо и удачливых людей, и удачи. Потому что в его скрипте нет для них роли… И далее всю свою жизнь человек будет проигрывать свой скрипт с учетом уже новых, появившихся ролей. Примечание Смотрю на посетителей нашего форума… Есть и баловни судьбы, есть и неудачники, есть и явные антисоциальные психопаты. Всякие есть. Ведь посетители форума — это срез реальной жизни. А вот и социальный хакер с отрицательным уклоном. Уж и так нас из себя пытается вывести и эдак… Не выйдет, не старайся. Мы уже ушли от тех своих скриптов, в которых таким людям было место. Смотрим на него и даже не злимся. Наоборот — жалеем. Потому что примерно понятно, почему он такой и почему так себя ведет. Пытаемся угадать его скрипт. Скорее всего, догадка будет правильной, потому что у всех провокаторов "движок скрипта" примерно одинаков. Наблюдаем дальше. Ан нет. Смотри-ка ты, ошиблись. Это не провокатор. Вернее внешне он провокатор, но по сути своей внутренней — нет. Это человек, которому в скрипте было записано, что его все время будут бить. И все его поведение вызывающее — это не провокаторство, это желание спровоцировать свое избиение, доведя администрацию форума и некоторых посетителей "до белого каления". Не будем мы тебя бить, тебя и так бьют все кому не попадя. А вот здесь — стоп. Здесь внимательно: это к нам пришел разрушитель. Почти классический "скрипт Герострата". Этого модерировать, модерировать и модерировать. Даже то, что он пишет "по делу". Потому что нужно чтобы он быстрее ушел с форума, пускай в другом месте крушит и рушит… Как жаль, что у нас в вооруженных силах нет психологов, вон сколько генералов большезвездных с геростратовскими скриптами только по телевизору показывают… Вся цель скриптового анализа — превратить неудачников в удачливых, выяснив предварительно, согласно какого скрипта они действуют. Это и есть сценарное перепрограммирование. Вещь сложная и серьезная. Кто бы спорил… Переделать судьбу человека — это не может быть просто. Но вполне возможно. Примеров — много. Естественно, уже положительных. Примечание Сложность в сценарном перепрограммировании нередко заключается в том, что люди часто пытаются стать счастливыми совсем не для того, чтобы им стать по факту, т. е. не для того, чтобы быть счастливым и жить счастливо. А лишь только для того, чтобы стать "более успешным неудачником". Потому что если человек становится счастливчиком, ему приходится выбросить свой скрипт, а большинство людей делают это крайне неохотно. Ну что ж, пойдем дальше, — посидим на приеме у психотерапевта и посмотрим, какие скрипты бывают. Вот зашел грузный усатый дяденька. Жалуется на то, что ничего не успевает… Хоть и на машине везде ездит, а все равно ничего не успевает. На машине? Это интересно. — А у вас часто бывает так, что бензин вдруг заканчивается за 10 метров до заправки, и вам машину толкать приходится с помощью всех, кто в ней на ваше счастье оказался? — спрашивает психолог. — Да почти каждый раз такое… А откуда вы это узнали? А оттуда, что вы не первый. Не у вас одного за 10 метров до заправки кончается бензин, хотя если не сломан указатель топлива в машине, то о том, что бензин скоро может кончиться известно всегда заранее. Мы же смотрим на этот указатель, планируем "чуть позже" заехать на заправку и, как всегда, не заезжаем, отложив на потом. А потом толкаем машину, потому что бензин почему-то "вдруг внезапно" закончился. И в жизни у таких людей все точно так же. А история с бензином — это всего лишь рядовая сцена в пьесе, которую играет неудачник. Примечание Это один из ряда вопросов, которые в серьезных фирмах задают устраивающимся на работу. Часто ли у вас заканчивается бензин за 10 метров до заправки? Часто? Извините, вы нам не подходите. А вот еще девушка. Миловидная такая, но уже с какой-то фантомной печатью на лице. Так оно и есть. Девушка решила совершить самоубийство. Только скрипт, видно, "дал сбой", и она пришла к психотерапевту. Бывает такое со скриптами, недопрограммировал где-то программист… Девушка рассказывает, что "как-то вдруг почувствовала непреодолимую тягу к самоубийству". Не как-то и не вдруг, конечно… Наверняка в семье уже были самоубийцы, и наверняка все ее воспитание в детские годы велось по принципу "Жизнь — обман с чарующей тоскою". (Это у Есенина такие строки есть.) А вот почему вдруг девушка почувствовала это стремление сейчас — это вопрос, в котором стоит разобраться. Может быть, ее отец покончил жизнь самоубийством в том возрасте, в котором она сейчас? Нет, наверное, все чуть-чуть не так. В данном случае виноват так называемый эффект Вертера. Вертер — это главный герой романа Гете "Страдания юного Вертера", который в романе заканчивает жизнь самоубийством. Роман этот прославился среди прочего и тем, что после его выхода в Европе случилась массовая волна подражательных самоубийств (в книге тема самоубийства — центральная). В ряде стран даже запретили публикацию этого романа. Очень много изучал эффект Вертера американский психолог Д. Филипс, который пришел к потрясающим выводам. Анализируя статистику самоубийств, Филипс пришел к выводу, что после публикаций в газетах историй о самоубийствах количество самоубийств возрастало. Причем именно в тех регионах, где вышла публикация. Интересная и драматическая вещь. Ученый из этого сделал вывод, что это скопированные самоубийства, т. е. люди, прочитав заметку в газете, приходили к выводам о том, что для них аналогичный путь — самый лучший. Примечание Конечно, заметка в газете это лишь толчок к развязке скрипта. Реально же все было запрограммировано заранее. "Роковые письмена" уже написаны, если выражаться строкой из того же стихотворения Есенина. Филипс, кроме того, выяснил, что после подобных публикаций возрастало также число погибших в авиа- и автокатастрофах! Мистика, казалось бы? Нет, это объясняется тем, что некоторые люди совершают "замаскированное самоубийство". Известно, что церковь и многие люди осуждают самоубийство. Поэтому, избавляя семью от этого ярлыка, многие совершают самоубийство так: едя на машине нажимают газ там, где нужно жать тормоз. То же самое делают и пилоты некоторых самолетов: "штурвал вниз" и — верная смерть. Это — научные данные. Количество аварий после публикаций о самоубийствах резко возрастает. Более того, если, к примеру, в газете, сообщали о самоубийстве молодого человека, то в данном регионе увеличивалось число автокатастроф, участниками которых были именно молодые люди. Теперь выйдем на некоторое время из кабинета психолога и обратимся к теории. Скрипты в человеческой судьбеСначала сложно поверить в то, что вся судьба человека, все поступки, которые он совершает в жизни, будет он героем или подонком, все это решается ребенком в возрасте не старше 7 лет. Однако в это уже легче верится после общения с трехлетними и семилетними детьми, а также после того, как посмотришь на всю нашу жизнь. Причем самое опасное, когда люди, "играя свой скрипт", являются политическими деятелями и имеют большое влияние на общество, которое убеждают в том, что надо жить так, как они говорят. Или, с точки зрения скриптового анализа, нужно жить так, как им когда-то приказали жить их родители. К счастью для нас, кроме таких людей есть люди с хорошими скриптами, и есть те, кто сумел освободиться от своих плохих скриптов и приобрел права жить по-своему. Таким образом, скрипт — это то, что человек сам для себя запланировал в раннем детстве, в большинстве случаев, при помощи своих родителей. Мы уже говорили о том, что родительские скрипты — самые сильные. По мнению Берна это происходит потому, что родители представляются ребенку в виде этаких великанов, наделенных какой-то магической силой. В это несложно поверить, учитывая то, что родители в несколько раз выше, в несколько раз шире своего ребенка и совершают волшебные, с его точки зрения, действия. Вернемся в кабинет психолога. Старшеклассник. Привела мать. Проблема — сильно пьет. Скрипт? Не исключено. Дальнейшие расспросы показали, что действительно скрипт, и на "питье" он уже был запрограммирован с пятилетнего возраста. И запрограммирован не кем иным, как своей матерью. Что же тогда произошло? А произошла сцена, которая из раза в раз повторяется в семьях алкоголиков. Мать зашла и застала ребенка за тем, что он рассматривал бутылку водки, которая осталась от недавнего застолья. — Что ты делаешь, — закричала она, — тебе еще рано пить. Это могут делать только взрослые мужчины! А он не делал ничего особенного. Просто рассматривал бутылку. Просто из детского любопытства. А мама его своими фразами запрограммировала на дальнейшее питье. Вот и получилось, как по ее рассказу: "до 15 лет был примерным, ни разу не выпивал, а потом как сорвался". Да не сорвался он. Просто решил, что уже настало время, когда можно, т. е. когда уже не рано. Ведь фразой "Тебе еще рано пить" мать подсознанию ребенка сказала не что иное, как "придет время, и пить тебе будет можно". Более того, второй фразой "это могут делать только взрослые мужчины" в подсознание ребенка была вложена установка, что "когда ты станешь взрослым мужчиной, пить тебе будет можно". Что из этого следует? Правильно. Что критерий взрослости мужчины — это тот момент, когда он сможет начать пить. Значит, для того чтобы стать Взрослым мужчиной, нужно начать пить. Вот исток алкоголизма в данном конкретном случае. Снова вернемся к теории. Анекдот в тему Все думали, что из-за того, что мальчик Вова родился в доме рядом с винно-водочным магазином, его судьба была предрешена! Но нет! Он вырос, окончил школу с золотой медалью, институт с красным дипломом, потом устроился на мебельную фабрику и там спился. Параметры характера или формула удачиБерн предложил описывать характер человека по трем параметрам: • Я (отношение к себе); • ВЫ (отношение к близким); • ОНИ (отношение к людям). Известный российский психотерапевт М. Литвак добавил к этим трем параметрам еще один — ТРУД (отношение к предметной деятельности). В каждой из этих позиций у конкретного человека может быть знак "+" или "-". Рассмотрим эти позиции подробнее. • Я+ Такой человек воспринимает себя как благополучную личность и ведет себя как благополучная личность. • Я- Этот человек воспринимает себя как неблагополучную личность, как неудачника. Даже если у него и случаются успехи, то он их считает случайными. И даже в моменты успеха его не покидает чувство неуверенности, чувство непрочности этого успеха. Все неудачи же воспринимаются им как совершенно закономерное явление. Такой человек — дитя жизненных обстоятельств. Как правило, у таких людей чрезмерно высокий уровень притязаний. Это закономерность: чем выше у человека уровень притязаний, тем ниже его самооценка, и даже при наличии реальных успехов он будет чувствовать себя несчастным (потому что уровень притязаний слишком завышен). В этом, кстати, корень большинства неврозов. • ВЫ+ Примечание Известно, что если человека, который считает себя бедным, озолотить с ног до головы, то он не станет от этого богатым. Потому что все равно будет считать себя бедным, даже если будет ходить в расшитых золотом одеждах. Ему все время будет чего-то не хватать: есть одежда, — будет не хватать машины, есть машина — самолета и т. д. С другой же стороны, человек, который считает себя богатым, не будет выглядеть бедным, даже если внезапно останется без средств к существованию. Для него это будет не бедность, а "временные финансовые трудности". Человек со знаком плюс в позиции ВЫ считает близких людей благополучными людьми и в разговорах с ними вербально и невербально обращается только к их положительным качествам. Такой человек дружелюбен, предпочитает компромиссы ссоре. К недостаткам своих партнеров по общению (которые он прекрасно видит) он относится как к шипам у розы: наслаждается запахом розы, при этом стараясь не наткнуться на шипы. • ВЫ- Такой человек рассматривает людей своего близкого окружения как неблагополучных и изначально настроен на конфликт с ними. В людях он видит только недостатки. В аналогии с шипами у розы, он все время натыкается только на шипы, не чувствуя при этом, что у розы кроме шипов может быть еще прекрасный запах. Такие люди придирчивы, стремятся перевоспитать других, излишне саркастичны. Они готовы даже по незначительному поводу затеять большую ссору с дальнейшим разрывом отношений. Безболезненно сосуществовать рядом с такими людьми можно только постоянно, и во всем им уступая. • ОНИ+ Личность с плюсом в позиции ОНИ расположена к людям, легко заводит новые контакты. • ОНИ- В этом случае наоборот: человек стремится избегать новых контактов, при возникновении новых знакомств застенчив и неуверен. Очень медленно адаптируется к новой обстановке. • ТРУД+ Такой человек живо относится к своей деятельности, постоянно самосовершенствуется, ему нравится сам процесс труда, он хочет внести свой творческий вклад в то, что он делает. Важно то, что процесс труда для такого человека — первичен. Материальные ценности, награды и прочие блага отходят на второй план, при этом самое интересное, люди с позицией ТРУД+ почти всегда их получают, не в пример тем, у кого материальные ценности на первом месте. • ТРУД- У такой личности процесс труда — вторичен. На первое место выходят те материальные блага, которые личность может получить в процессе своего труда. Такой сотрудник, к примеру, постоянно ищет более выгодную работу, и все время смотрит как бы его только не обделили при распределении материальных благ. Таким образом, мы приходим к выводу, что структура характера гармоничной личности определяется следующей формулой, и не будет большой натяжкой, если эту формулу мы назовем формулой удачи: Примечание Это очень сложно бывает объяснить… что материальные блага — вопрос вторичный. Нередко все сознание человека противится этому положению. Посылаешь человека на учебу, а он мало того, что ехать не особо хочет (казалось бы, самосовершенствование за счет фирмы!), так еще и спрашивает, сколько ему за это доплатят к основной зарплате. Или другой пример. Говоришь сотруднику: нужно вот это освоить. "Освою, — отвечает, — если мне доплатят вот столько-то". Ясно, что такие люди никогда не станут богатыми, в том числе и в материальном плане, несмотря на то, что сами этого страстно желают. Не станут по одной простой причине. Если исключить все прочие способы наживы, получать хорошие деньги за свой труд может только специалист экстра-класса. А для того, чтобы стать таким специалистом, нужно совершенствоваться каждый день, без отгулов и выходных. А для того, чтобы так поступать, нужно очень любить свое дело. Сильнее, чем деньги. Если бы мы, когда писали книгу, все время мысленно калькулировали в уме, сколько же мы за нее получим гонораров, то мы бы ее либо вообще не написали, либо написали так, что она была бы аутсайдером рейтингов продаж. Мы не знаем, и не разу не видели ни одного писателя, в том числе и с миллионными гонорарами на счетах, который бы стал знаменитым, если бы писал свои книги только с целью получения гонораров. В первую очередь пишется для дела и ради дела. Пишут, потому что не могут не писать. А потом уже приходит и слава, и гонорары, и награды. Потому что все это приходит только в награду за хорошо сделанное дело. А хорошо сделать дело можно только в том случае, если делаешь его только ради дела. Зато все мы видели нашу сборную по футболу. Аутсайдерскую. Футболисты которой, являясь легионерами различных зарубежных клубов, играют в сборной в первую очередь не за игру, а только за деньги. Все видели, как они играют. Даже для человека, не разбирающегося в футболе, это позорище, а не игра. Также мы видели много сотрудников, которые из кожи лезут, чтобы стать богатым, действуя при этом по принципу: "я буду делать только то дело, которое принесет мне большой и, желательно, немедленный, доход". Это все равно, что писатель сказал бы: "Я буду писать только ту книгу, за которую мне дадут Нобелевскую премию в области литературы". Ясно, что богатство — это не их удел. Я+, ВЫ+, ОНИ+, ТРУД + Задача сценарного перепрограммирования — привести структуру личности к этому идеалу. Самое интересное, что почти каждый из нас уже был обладателем характера, подчиняющегося этой счастливой формуле. Да, да, в том самом детстве. Пока большинство из нас еще не успели испортить воспитанием, не успели вогнать в сценарий, от которого кому-то пришлось избавляться собственными усилиями, подчас титаническими, кому-то с помощью психотерапевта, а кто-то так и не сумел или не успел выскочить из сценария… Ведь вспомним себя в самом раннем детстве. А те, у кого не получится вспомнить, посмотрите на детей возраста от года до трех. Как он к себе относится? Да расчудесно! (Я+). А как он относится к своим родителям? Прекрасно! (ВЫ+). А к друзьям? Посмотрите на маленьких детей: как быстро и легко они заводят себе новые знакомства. Ясно, что здесь ОНИ+. У этих детей еще нет никаких условностей, нет социальных барьеров, нет деления на касты… Условности и барьеры начнут формироваться чуть позже… "А вот мой папа — капитан, а твой — дворник, поэтому ты не будешь играть в нашей песочнице, иди вон туда, в ту, которая похуже, в которой песок погрязнее". Все — пошло деление на касты. И пошло формирование минуса в позиции ОНИ. А теперь скажите мне, откуда ребенок смог узнать, что папа-капитан это хорошо, а папа-дворник — плохо? Правильно, от родителей… Потом, много позже, когда, прожив много лет в сценарии, он вдруг поймет, что ему всю жизнь мешало то, что он общался не с теми, с кем хочется, а с теми, "с кем надо", он скажет за это своим родителям "большое спасибо". А посмотрите как ребенок относится к труду? Он ведь делает только то, что ему хочется, и получает от этого удовольствие (ТРУД+). Правда, недолго. Потому что потом вмешиваются родители, и заставляют делать не то, что хочется, а то, что надо, причем надо им, а не ребенку. И, естественно, тем самым формировать минус в позиции ТРУД. Примечание Почему "почти каждый"? Потому что некоторых детей особо одаренные родители успевают "испортить" еще на этапе внутриутробного развития. То, как это может происходить, и то, как этого избежать, изучает наука под названием паранатальная психология. — Ты читать хочешь? Не, читать позже. Потому что сейчас мы пойдем гулять. Мало ли, что не хочешь сейчас гулять. Надо. Потому что позже я не смогу. Ну что ты разревелся? На вот тебе конфетку. …Понимаете, какой парадокс получается? Изначально гармоничных личностей (детей) воспитывают по большей части личности уже не гармоничные, с минусом в одной или нескольких позициях (родители). А теперь вслед за Э. Берном и М. Литваком попробуем взглянуть на этот мир глазами маленького ребенка… И еще раз проследим, как начинают формироваться минусы в позициях… Разумеется, для примера мы возьмем не самый лучший вариант воспитания, увы, встречающийся слишком часто… …Вот я еще такой маленький, и меня держат за руки большие "великаны". Это — мои родители. А иногда к нам приходят другие "великаны" — родители моих родителей, мои бабушка с дедушкой и ругают моих родителей за то, что они меня неправильно воспитывают. Правда, вероятно, бабушку с дедушкой тоже когда-то неправильно воспитали, иначе бы они знали, что при детях такого говорить нельзя. Ну ладно бабушка. Она хоть в армии не служила. А дедушка-то должен был знать, что старшие офицеры не выговаривают младшим в присутствии их подчиненных. Вы думаете, что если я сопливый и в слюнях, то ничего не понимаю. А я все понял. Я понял, что моим родителям доверять нельзя. …Мама, а ты помнишь, после того, как ты устала на работе, забрала из садика, а когда мы пришли домой… Ты помнишь, что ты сказала, когда я попросился погулять? — Да что ж ты нам жить-то мешаешь? Как мне хотелось вам ответить… — Я?! Вам?! А когда вы меня зачинали, вы каким центром головного мозга думали? Только тем, который отвечает за точные двигательные движения? Мамочка, если бы я тебя не любил так, как я тебя люблю, я бы тебе сказал, что ты дура. Нет, не в качестве оскорбления, а сугубо в рамках трансакции В — В, т. е. не для обиды, а без эмоций, — только для отражения реально существующего факта. А зачем, когда вы со мной говорите, вы нарочно коверкаете слова? Зачем вы говорите "мямя" вместо "мама"? Неужто вы думаете, что я вас так лучше пойму?! Вы попробуйте на своей работе так с кем-нибудь поговорить, и посмотрите, как вас будут понимать. Если бы вы чуть лучше учились в школе, то знали бы, что я так говорю не из-за вредности, а из-за того, что у меня еще нет некоторых зубиков, а те, что есть, — выросли криво. А вы-то зачем так говорите? Ну ладно — хочется вам и говорите, я уже научился вас понимать. Только не обижайтесь потом, когда я буду говорить так до семи лет. Это я не из-за того, что говорить правильно не умею, а только для того, чтобы и вам "жизнь медом не казалась". Я ведь учился вас понимать, когда вы слова коверкали, теперь и вы помучайтесь. Если честно, чем дальше, тем больше я вас не понимаю. Вы то смеетесь, то плачете. Причем, с моей точки зрения, совершенно невпопад. Как депрессивные больные в психиатрической больнице. Вот почему вы вчера плакали и говорили, какой я ужасный ребенок, когда я под прекрасным летним солнышком после чудесного летнего дождя, когда в небе сияла радуга, пробежал по луже? Это я не от озорства, папа. Это я оттого, что вы еще не убили во мне природное стремление радоваться солнцу, воде и свежему воздуху. Вот я и радовался. А мама плакала, а ты, папа, ругался. А сегодня, когда я крушил и ломал стулья, вы наоборот смеялись. Вам, наверное, хочется, чтобы я стал Геростратом. А почему вы все время говорите "Не делай то", "Не делай это"? Ах, да, простите, забыл: вы же не знаете нейролингвистического программирования, и не в курсе, что в инструкциях не должно быть отрицаний, а должны быть четкие указания о том, что нужно сделать. Мамочка, зачем ты говоришь мне, что детство — счастливая пора? Какая же она счастливая, если детство — это рабство? Не, рабство, папочка? Ты видно, плохо в школе учился, иначе бы знал, что раб — это человек без прав. Который может делать только то, что угодно его повелителям, а не то, что он сам хочет делать. И скажите мне на милость — чем я не подхожу под это определение? Ведь таким, какой я есть на самом деле, я вам не нужен. Вам вообще нужен не я. А то, что соответствует вашим представлениям о том, какими должны быть дети. Я с самого рождения понял, что я не соответствую вашим ожиданиям. Вы все время хмурились, ругали меня. Я еще не понимал слов, но уже знал, что это вы на меня сердитесь. Причем беспричинно. Как жаль, мамочка с папочкой, что вы в психологии разбираетесь точно так же, как я годовалый в самолетостроении. Иначе бы вы знали, что уже начали формировать мне минус в позиции Я. К сожалению, вы не прочитали ни одной инструкции по воспитанию детей, а зато, когда вы купили стиральную машинку, инструкцию как ей пользоваться вы читали три дня и еще на меня кричали, что я описался, пока вы читали эту инструкцию. А как пользоваться мной, вы думали, что знаете… А помнишь, мамочка, как ты сидела рядом со мной, и, сама себя успокаивая, говорила мне, какие плохие папины родители, мои бабушка с дедушкой, потому что они тебе в очередной раз сказали, что ты меня неправильно воспитываешь. А потом то же самое говорил папа про твоих родителей, тоже моих бабушку и дедушку. Я, правда, к тому времени уже понял, что в возрасте трех лет разбираюсь в самолетостроении гораздо лучше, чем вы в психологии, и догадался, что таким образом вы мне хотите сформировать минус в позиции ВЫ. Вам видно одного минуса показалось мало, и вы захотели сделать так, чтобы я был полностью на вас похож. Примечание Многие нынешние родители, когда чего-то не понимают в инструкции по пользованию ребенком, набирают проблему в одном из поисковиков Интернета. А еще помнишь, как ты сказала, что все мои друзья — грязнули и грубые невоспитанные мальчики, и что мне, такому чистенькому и опрятному, с ними дружиться нельзя? Я тебе объясню, мама: это ты мне формировала минус в позиции ОНИ. Ах, если бы ты знала мама, как мне хотелось тогда убежать с этими грубыми грязнулями в лес, построить там шалаш и посидеть ночью у костра, встретить рассвет, такой девственно чистый, и хотя бы ночь не видеть вас с папой. Да, да, мама, это мне из-за того так хотелось, что минус в позиции ВЫ вашими стараниями уже был сформирован. Правда, я не успел убежать. Потому что минус в позиции ОНИ ты мне успела сформировать раньше, чем я убежал. С тех пор я не с кем не дружусь… Но знаешь мама, хоть мне сейчас уже тридцать пять, мне иногда ночью снится этот девственно чистый рассвет, который мы с друзьями встречаем у костра, все такие грязные и беззаботные… Но это только во сне… Потому что в жизни я все такой же опрятный мальчик, и "дружу" только с такими же опрятными мальчиками и девочками, такими же скучными и больными, как я… …Продолжать можно долго, но думаю, что читателям уже все понятно. Вернемся в кабинет к психологу. А это кто к нам пожаловал? Серьезный начальник большой конторы. У него-то что за проблемы? А, оказывается, не у него лично, а у его фирмы. А проблема в том, что его сотрудники не могут себя нормально вести с клиентами почему-то. Что ж, давайте сходим к вам в фирму и посмотрим, почему. Пришли, посмотрели, поговорили. Все понятно. Почти у всех, кто занимался работой с клиентами — минус в позиции ОНИ. И ставить таких людей на работу с клиентами вряд ли стоит. Вообще, нужно сказать, что проблема с сотрудниками, которые живут в жизни по отрицательным сценариям — вещь крайне серьезная. Приведенный пример — очень легкий, потому что бывают вещи и похуже. Что вы скажете, к примеру, если у вас в фирме работают сотрудники с позицией "ТРУД-"? Если вы считаете, что быстро распознаете такого человека, то, можно сказать, что это еще совершенно не факт. Потому что человек с позицией ТРУД- вполне может быть круглым отличником в школе и в институте, победителем кучи олимпиад и т. д. и т. п. Как в таком заподозришь "лентяя"? А между тем, если во всех остальных позициях у человека плюс, то именно так и бывает, и этот комплекс по М. Литваку называется "Евгений Онегин", и выражается формулой: Примечание Комплекс, при котором у человека минус только в позиции ОНИ, а во всех остальных плюс, М. Литвак называет комплексом "Творческий сноб". Такие люди имеют узкий круг общения, любят свою работу, и в принципе, к примеру, на работе, могут неплохо чувствовать себя в группе, если в ней не очень много людей, и они с ними хорошо знакомы. Но новые знакомства для них в тягость, они ни заводить их не умеют, ни что с ними делать потом не знают. Это люди микроклимата и микрогруппы. Я+, ВЫ+, ОНИ+, ТРУД- Вспомните Онегина. У него были хорошие способности, ему все легко давалось, что в результате привело к тому, что "труд упорный ему был тошен"… Вот именно неспособность к упорному труду и отличает "Онегиных". Судьба таких людей нередко предсказывается с математической точностью. Сначала они показывают очень хорошие результаты, из-за которых учителя (профессора, работодатели) так к ним благоволят. Почти всегда — это школьные и вузовские отличники, имеющие красный диплом. Но "онегины" — "верхушечники", т. е. ни одной профессией они глубоко не владеют. И как только в том деле, которым они занимаются, встречаются какие-то "заковыристые места", над которыми нужно много думать, они это дело бросают и переключаются на другое. А поскольку ни одной профессией овладеть высокопрофессионально нельзя без серьезных усилий, то, в конце концов, любой серьезный труд их разочаровывает и они… Правильно: ищут утешения в любви. И к годам 22 — 24 становятся неплохими ловеласами. Правда, до семейной жизни дело часто не доходит (т. к. с этого момента начинается серьезный труд) и все заканчивается на этапе близком к зачатию ребенка или сразу после того, как подруга "онегина" забеременеет. Мы знаем нескольких таких "Онегиных", которые де-факто являются отцами нескольких детей, при этом, не состоя в законном браке ни с одной из своих подруг, потому что бросают их как только дело начинает близиться к семейной жизни. Или сразу после ее начала. Со временем и любовь уже не приносит им утешения, т. к. они делают это дело уже практически "на автомате". В силу этого на данном этапе у "Онегиных" начинает формироваться минус в позиции ВЫ. (Вернее, начинает он формироваться чуть раньше: когда те, кто ранее был ими восхищен, после того, как понимают, что эти люди долго и упорно работать не могут, начинают в них разочаровываться. А на этом этапе он просто усиливается.) И, как только у "онегина" в его формуле характера появляется еще минус в позиции ВЫ, у него возникает реактивная депрессия, которая заканчивается либо самоубийством, либо алкоголизмом и наркоманией. Как правило, это происходит к 30 годам.
-
Обязательно попробуйте себя в различных ролях. Относитесь к этому как к заданию, которое просто необходимо выполнить. Ничего страшного, что вы так никогда не поступали, и сам факт того, что вам придется себя так вести, противоречит всей вашей натуре. Суть тренировки именно в том и состоит, чтобы "вогнать себя" в такие состояния, в которых вы никогда не были. Зато, прогнав себя через множество ролей, вы сможете быстро перевоплощаться именно в того, в кого надо, а не в того, в кого получилось. Здесь, для примера, мы приведем несколько заданий, список которых вы без труда, войдя во вкус, сможете расширить. Итак. Вы — молчун Сегодня вы весь день молчите. Ничего страшного, что говорить нужно. Настроение у вас сегодня такое молчаливое. Отделываетесь незначительными "угу", "ага", "да ну" "вряд ли", пожиманием плечами, игрой мимикой лица и т. д. Слушать других не возбраняется, наоборот, — вам сегодня только и остается, что слушать других, поскольку вы сами сегодня права голоса не имеете. Примечание Выходить из образа при выполнении этого или других заданий допускается лишь в форс-мажорных случаях. Вы — говорун А сегодня вы, наоборот, никого не слушаете, а только сами говорите. Без умолку. На любые темы. Перебивая собеседника. Заговаривая по делу и не по делу со знакомыми и незнакомыми людьми. Подходите к прохожим каждые пять минут вашей прогулки по улице и спрашиваете, спрашиваете, спрашиваете… — Который час? — Как пройти к улице Ленина? — Молодой человек, подождите секундочку! Я так и не понял: для того чтобы пройти к улице Ленина, нужно повернуть направо или налево? Днем на работе тоже говорите. С сотрудниками, по телефону, в курилке, неважно где, важно чтобы вы все время что-то говорили. Вечером идете к знакомым и говорите, говорите, говорите… Вы — брюзга Сегодня вы — брюзга. Сегодня вы всем недовольны. Начиная от первого встречного прохожего и кончая внешней политикой, проводимой МИДом на Ближнем Востоке. Вы недовольны сидящими на лавочке женщинами у подъезда, и своим видом, осудительно на них глянув, даете им это показать. Чего, мол, тут расселись, солнце загораживают. Вы недовольны кондукторшей в маршрутном такси, которая дала замызганный билетик, и бурчите ей вслед "У билета уж номера стерлись, я, наверное, пятидесятый человек, который сегодня по нему едет". И, выходя из маршрутки, демонстративно кидаете билет на пол маршрутки. Если вы на машине, то вы сегодня можете себе позволить быть недовольным даже гаишником, который остановил вас за превышение скорости. Ну и пускай, что он вам штраф большой выпишет, вам сегодня главное, что вы всем недовольны. И когда он вас остановит, из машины не выходите, приоткрываете стекло, и, как он подойдет, недовольно и раздраженно спрашиваете "Что вам?". Предложит пройти в машину, не отказывайтесь, но всем видом выражайте свое недовольство, а выходя из своей машины, с силой хлопнете дверью. Понимаю, что вы никогда так не делаете, но сегодня такое задание. Ничего с машиной не случится от одного раза. В магазине вы будете недовольны колбасой, которую вам предложат. И пять раз попросите ее поменять. Знаю, что вы никогда так не поступаете, и что вам уже на третьем разе будет жалко продавщицу, но что делать. Такое задание. Смысл именно в том и состоит, чтобы опробовать роли и психотипы, в которых вы раньше, возможно, никогда не были. Потому что расширить свой кругозор можно только узнавая ранее незнаемое и незнакомое. Применительно к нам, расширить свой психологический кругозор (в чем и смысл тренировки) можно только вживаясь в различные роли. Вы — преступникА сегодня вы — преступник. Нет, убивать и калечить никого не надо, достаточно просто представлять, как вы это делаете. Идете, к примеру, по улице и представляете, как вы наброситесь вон на того мужчину, чтобы он… Ну чтобы не мучился долго. А вон того самодовольного прыща, наоборот — чтоб мучился как можно дольше. В электричке сегодня на свободное место рядом с вами тоже никто не подсядет, потому что всех проходящих мимо вас вы мысленно избиваете. И так его, и так, а потом еще вот эдак. Примечание При достижении некоторого уровня мастерства к вам действительно никто не подсядет даже в переполненной электричке. Я этот фокус показывал своим знакомым, еще учась в университете, когда в электричке, в которой нет свободных мест, и люди уже стоят, единственные два пустые места — рядом со мной. На них нет ни сумок, ни газет, я никому не говорил, что здесь занято, но они все равно оставались пустыми. Вы — жертва Если вашему нутру крайне претило вчерашнее задание, то сегодня отдохните и поиграйте в жертву. Извиняйтесь сегодня перед всеми по делу и не по делу. За вчерашние ваши выходки. В общественном транспорте уступайте всем, даже подросткам. Увидели, что кто-то подошел к месту, на котором вы сидите, тут же неуклюже вскакиваете, и с заискивающей улыбочкой, чуть заикаясь, произносите: "С-садитесь". Если откажутся, — тут же извиняйтесь "Ой, простите" и плюхаетесь обратно на свое место. Как за что извиняться? За то, что отвлекли человека своим "С-садитесь". Придя на работу за десять минут до начала рабочего дня, извинитесь перед всеми. За то, что опоздали. Когда вам скажут, что вы еще рано пришли, снова извинитесь: "Ой, простите, и правда напутал…". И так далее. Вы — наблюдательА сегодня вы — наблюдатель. Сегодня ничто не ускользнет от вашего бдительного ока. И все, что вы наблюдаете, вы записываете аккуратно в блокнотик. Это и есть сегодняшнее задание. Кто сидел на лавочке возле подъезда? Записываем. Какие машины рядом стояли? Пишем. Какие у них номера? Пустые они стоят или в них кто-то сидит? Кто сидит? Мужчина или женщина? Просто сидит, или курит, или читает газету? Как курит — нервно или с выражением безмятежности на лице? В общем сегодня наблюдаете все — любую, даже самую незначительную мелочь. Какая музыка играла в маршрутке? Сколько человек в ней ехало? Какая прическа у кондукторши? Были ли усы у водителя? И так далее. Примечание В групповых тренировках можно даже соревноваться в конце дня — кто больше и качественнее выполнил роль наблюдателя. Вы — снова наблюдатель Только сегодня вы наблюдаете не просто так, как вчера. Сегодня — вы наблюдатель психологический. Сегодня вы всем ставите диагнозы. Водитель, ведущий маршрутку — интроверт или экстраверт? Флегматик или холерик? Почему вон та девушка, на переднем сиденье так нервничает? Присматриваемся. Нет, не из-за того, что куда-то опаздывает — эта, если бы опаздывала, глаз бы с часов не спускала. А она на них и не смотрит. А нервничает сильно, вон пакет в руке как измяла… И смотрит то в окно, то куда-то вглубь маршрутки. На кого это она там смотрит? Приглядимся. Судя по всему вон на того мужчину. Который тоже нервничает. Только по-мужски: сердито так нервничает, разве что на пол не сплевывает. Семейный раздор? Вполне может быть, тем более что вышли они на одной остановке, она чуть ли не вприпрыжку бежит впереди, а он догоняет ее, уткнувшись взглядом в землю. Бег по кругуА теперь давайте усложним задание: если раньше нужно было побыть в определенной роли один день, то теперь только час. Но — после того как этот час пройдет, наступит другой час, в котором будет другая роль. И так в течение всего дня: час — одна роль, час — другая. Когда научитесь хорошо выполнять это упражнение, службу вам это сослужит удивительную: умение быстро переключаться между различными состояниями вещь сложнопереоценимая. А теперь еще усложним задание. Пригласите несколько друзей, если вы занимаетесь в одиночку и у вас нет партнеров по занятиям, поставьте их в ряд или в круг и с каждым по пять минут поговорите. Но с одним вы говорите как флегматик, со вторым как меланхолик, с третьим как сангвиник, с четвертым как холерик, а с пятым вы говорите в роли сержанта, который "обучает воинскому искусству" неопытного новобранца (см. рис. 5.1 из серии карикатур "Манера говорить"), с шестым — как неопытный новобранец, слушающий, что говорит ему сержант и проклинающий про себя его в частности и всю армию вообще и т. д. Вот так, быстро меняя роли, переходя от одной к другой. А когда освоите и это упражнение, для тех, кому понравилось, предлагаю два следующих. Поставьте ваших партнеров друг против друга, сами встаньте между ними. И начинайте говорить. Сначала с первым, стоя к нему лицом. Говорите с ним, допустим, как типичный холерик, кричите на него, орете, что сил есть, сами себя заводите и сами выходите из себя… И — раз! — быстро повернулись ко второму партнеру и с ним говорите в прямо противоположной манере: просящим извиняющимся голосом вечного должника… И — снова быстро к первому лицом! — и снова крики, вопли, ругательства… И так далее. Главное, чтобы на вашем лице, в вашей мимике, после того, как вы повернулись ко второму партнеру, не было и следа от той роли, в которой вы говорили с первым. И перестроиться нужно в течение полуоборота. В этом и суть тренировки. Не буду скрывать, это не просто. И достигается это не за один день. Но, опять же, достигнув, никогда об этом не пожалеете. Потому что применять это умение можно где угодно. Хоть в тех же уличных разборках. Примечание Повторюсь еще раз в силу важности момента. Упражнение нелегкое. Как нелегок любой труд, от которого следует сильная отдача. И если его делать "наполовинку", то лучше не начинать делать вообще. Потому что от неверно выполненного в "боевых условиях" приема можно очень сильно пострадать самому. Если вы при встрече с теми же хулиганами будете, скажем так, "неискренни" в своей роли, то лучше и не начинать ее играть. Поэтому в таких тренировках очень важны партнеры, которые укажут вам, что вы где-то не доиграли, что предыдущая эмоция не успела убраться с лица, что вы заикаетесь, несмотря на то, что вам кажется, что вы кричите, и т. д. Следующее упражнение. Попробуйте часть фразы или предложения сказать одним тоном, а вторую часть этого же предложения совершенно другим. Можете потом применять по назначению к охамевшим товарищам. К примеру, фраза: "Саша, пожалуйста, я тебя очень прошу, никогда так больше не делай". Это вы говорите Саше, который вас в чем-то только что сильно оскорбил. Сказать это можно так: первую часть фразы говорим с выражением величайшего благоговения к Саше, с выражением полной покорности на лице, чуть заикаясь от осознания его величия в этом мире, переминаясь с ноги на ногу, ссутулив плечи, уставив свой взгляд где-то в середину груди вашего собеседника. И после слова "прошу", — резкая смена тональности!, — и вторую часть фразы произносим максимально жестко, резко, впечатывая слова в Сашу, плечи расправили, стойка боевая, взгляд, чуть исподлобья — прямо в глаза или переносицу. Выглядеть это будет примерно так. "С-саш… П-пожалуста. Я т-тебя очень п-прошу НИКОГДА. ТАК. БОЛЬШЕ. НЕ ДЕЛАЙ!".
-
Умение говорить — это очень важно. Причем говорить не так, как вы обычно говорите, а так, как того требует ситуация. Простое упражнение для начала. Попробуйте сказать "Да" как "Нет", а "Нет" как "Да". Получилось? А теперь попробуйте сказать "Да", как это сказал бы: Анекдот в тему — Штирлиц! Я знаю, что вы врете. Но почему-то я вам верю. • пылкий возлюбленный, которого его любимая подруга спросила, хочет ли он с ней провести остаток вечера…; • никому не могущий отказать человек, который кроме "Да" ничего говорить не умеет (Ну, конечно, д-д-а-а-да); • истеричная женщина (вон отсюДАААААА!!!). А "Нет" скажите как: • кокетливая девушка, которая хочет сказать "Да", но ей этого не позволяют моральные устои; • пьяный прапорщик; • трезвый тракторист, который уже готовится выпить, но предложение об этом поступило раньше окончания рабочего дня; • потрясенный чем-то человек (Нет, только не это…); • убитый горем крокодил; • игривая такса. И так далее… А теперь потренируйтесь говорить так, как показано на следующих карикатурах X. Бидструпа (карикатура "Манера говорить"). 1. Вот так. Как старший сержант, который просто впечатывает свои слова в собеседника (рис. 5.1). Рис. 5.1. Фрагмент карикатуры X. Бидструпа "Манера говорить" 2. Или вот так. Как полковник с провинившимся капитаном (рис. 5.2). На этом оставим армию и перейдем к другим примерам. 3. Поговорите так, как говорил бы опытный ловелас, соблазняющий свою очередную пассию (рис. 5.3). 4. А теперь поговорите как социальный хакер, заманивающий в свою паутину очередную жертву (рис. 5.4). 5. Или как оратор, "затуманивающий" мозги аудитории (рис. 5.5). Рис. 5.2. Фрагмент карикатуры X. Бидструпа "Манера говорить" Рис. 5.3. Фрагмент карикатуры X. Бидструпа "Манера говорить"
-
Работники-хакеры Очень часто, когда речь заходит о безопасности предприятия, в том числе, когда дело касается социальной инженерии, мы защищаемся только от внешней угрозы, совершенно забывая о том, что опасность может подкрасться изнутри. Дело в том, что некоторые работники предприятия могут натворить бед похлеще, чем заброшенный в стан врага диверсант. И пока мы ищем, кто это нас атаковал снаружи, нас атакуют изнутри собственные сотрудники. Не стоит, конечно, огульно охаивать всех, немалая часть сотрудников честные и порядочные люди, но… Люди есть люди, а у людей есть пороки. И рассмотрение того, какие же из этих пороков наиболее губительны для предприятия и является целью этой главы. Упрямые работники Совсем не обязательно, что работник, который может развалить вашу организацию, должен быть вором, антисоциальным психопатом или спать и видеть, как бы взорвать организацию, причем желательно в тот момент, когда там будет все высшее руководство. Совсем нет. Он может быть просто очень упрямым и уверенным в том, что то, что он делает, он делает правильно и это не подлежит никакому критическому обсуждению. Простой пример. Web-дизайнер фирмы, который абсолютно уверен в том, что "по части искусства он безгрешен", отвечающий на все критические замечания тем, что "в дизайне правил нет". И, если его не проконтролировать, он может нарисовать такое, что нанесет фирме маркетинговый урон намного больший, чем если бы хакеры сделали дефейс основной страницы сайта. Проблема с такими дизайнерами, на наш взгляд, происходит из-за их малограмотности по части искусства вообще и изобразительного в частности. Дело в том, что в связи с резким развитием IT в эту отрасль (и в дизайнеры, и в программисты, и в системные администраторы, и в мерчандайзеры[3] и т. д.) пришло много "специалистов" с совершенно бессистемным образованием. Заметим, что речь идет не о самоучках, — мы сами не раз в своих книгах говорили, что самообучение это прекрасно, и сами приводили примеры того, как самоучки достигали таких высот, которые их коллегам с профильным образованием и не снились. Дело не в этом. Просто многие люди, желая "хапнуть много и побыстрее", упустили из внимания то, что образование, где бы оно не получалось, в ВУЗе ли или дома на диване, должно быть системным.Таким образом, если ты дизайнер, так изволь, хотя бы из уважения к своей профессии разбираться в изобразительном искусстве и отличать Ван Гога от Гогена. Некоторые же дизайнеры про Третьяковскую галерею знают только то, что она в Москве, Илью Глазунова считают известным композитором, а аббревиатуру RGB — надписью на кнопочке в программе Photoshop. Если ты программист, так знай, пожалуйста, не только три оператора и пять функций в РНР. Если ты системный администратор, то не надо падать в обморок от просьбы запрограммировать маршрутизатор Cisco. В результате же того, что рынок наводнило множество дилетантов, складывается ситуация, когда при большом количестве предложений найти хорошего работника — это задача великая. Вот и приходится нередко многим руководителям действовать по принципу "из двух зол меньшее", что, увы, не всегда себя оправдывает, а нередко приводит к прямым и косвенным убыткам. Примечание Другой пример. Главный инженер одной из фирм из года в год заказывал только то оборудование, к которому он привык, а тот факт, что оно уже морально устарело и клиенты хотят "свеженького", его совершенно не интересует. Самое плохое, что подобные люди искренне уверены в своей правоте, и ни о каком раскаянии не может быть и речи, наоборот: они весьма обижаются на любые критические замечания в свой адрес. Недобросовестные работники Это такие, за которыми пока смотришь, они демонстрируют потрясающую деловую активность, но как только отвернулся, они работать перестают. В общем, все, как в известной поговорке "Кот из дому, — мыши в пляс". Проблема недобросовестности работников очень серьезна, т. к. в нынешних условиях жесткой конкуренции от работников зависит очень много: если ваши менеджеры плохо ведут себя с клиентами, то они тем самым напрямую уменьшают и объем продаж и снижают престиж фирмы. Анекдот в тему Известно, что 20% людей делают 80% работы. Недавно психологи открыли удивительный факт о том, что 80% людей считают, что входят в эти 20. Примечание На самом деле это значит, что все ранее сказанное относится только к работникам младшего и среднего звена. Совершенно нет. Более того, когда тому или иному пороку подвержен кто-то из членов топ-менеджмента, это намного опаснее, чем подверженность тому же пороку рядовых сотрудников предприятия. Потому что, к примеру, руководитель, который ездит на встречи в нетрезвом виде по своей диверсионной силе один заменит всех недобросовестных сотрудников предприятия. Или другой пример. Главный инженер одной из фирм называл в разговорах и с сотрудниками и с клиентами фирму, в которой он работает, "шарашкиной конторой". Естественно, после таких отзывов, ни о какой положительной мотивации в работе у сотрудников фирмы говорить не приходится, если "сам главный сказал, что наша контора шарашкина". Клиенты в такую фирму тоже вряд ли обратятся. Пикантность этого примера в том, что главный инженер считал контору "шарашкиной" потому, что, по его мнению, в ней в отвратительном виде была техническая и иная документация, которую как раз и обязан был вести главный инженер. Встречается, кстати, и такая категория работников, которые всем своим видом показывают вам, что они делают вам одолжение уже только своим фактом присутствия на рабочем месте. Расхитители Примечание Таких работников мы называем "Танцующий медведь". Поясним смысл названия. То что медведь танцует хуже профессионального танцора и даже простого человека — всем известно. И даже если медведя очень долго будут учить танцевать дрессировщики, то не исключено, что через несколько лет он начнет танцевать на уровне двухлетнего ребенка. Но ведь смысл то не в этом… Смысл в том, что медведь — танцует! Важно не то, что медведь плохо танцует, важно то, что он в принципе затанцевал! Так и с некоторыми работниками. Сидит такой сотрудник, несколько месяцев бумажки перебирает, по две штуки в день, а потом — бац! — и сделает что-то интересное и действительно полезное. Хотя нормой является то, что ДЕЛО нужно делать каждый день. Но вместо того, чтобы сказать ему это, у вас из глаз хлыщут слезы умиления! И есть отчего: как же, наш Петя вдруг ДЕЛО сделал! Медведь затанцевал! Если серьезно, то очень нередко персонал способен украсть гораздо больше, чем любые внешние воры. По данным Национальной Американской Ассоциации розничных торговцев Америки от 50 до 70% убытков организации приходится на кражи, которые совершают "свои". Анекдот в тему Главный бухгалтер пришел в фирму узнать, нет ли для него работы. Работодатель очень обрадовался и сказал: — Прекрасно, а мы как раз ищем нового главного бухгалтера! — А что со старым? — Старого мы тоже ищем. Вместе с деньгами. Мотивы краж могут быть самыми разными — от недовольства зарплатой до чисто клептоманического стиля поведения (бывают такие работники, которые если что-то не украдут на предприятии, то считают, что день прошел зря). Примечание Согласно статистике процент честных людей равен 30 (что, вообще говоря, не так и мало). 50% готовы нарушить закон в том случае, если они будут уверенны в своей безнаказанности. Оставшиеся же 20% готовы нарушить закон при любых условиях. К расхитителям можно также отнести и тех работников, которые наняты конкурентами для того, чтобы за определенную плату обслуживать клиентов не в своей фирме, а отправлять в конкурирующую. Очень частая ситуация. И очень опасная. Потому что, по сути, у вас в фирме находится агент конкурирующей фирмы. Построение социальных файрволов В этом разделе мы снова поговорим о том, как не допустить того, чтобы ваша организация стала добычей социальных инженеров и социальных хакеров. Чтобы избежать повторов, мы не будем здесь приводить различные рекомендации на эту же тему, которые давались в двух предыдущих главах, а рассмотрим те моменты, о которых еще не говорили. Наблюдайте за сотрудниками на всех стадиях их развития в организации Любой сотрудник в организации всегда проходит три стадии развития: • устройство на работу; • этап работы; • увольнение. При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза того, как он поведет себя в той или иной ситуации. Как правило, если вы не человек-рентген, такую проверку проще всего сделать с помощью стандартных психологических тестов, которые сейчас приведены практически на любом сайте по психологии. Также нужно определить, не принадлежит ли кандидат на должность к одной из тех категорий "неудобных сотрудников", классификацию и описание которых мы приведем далее в этой главе. Основная проблема в соблюдении этого правила состоит в том, что за сотрудником, если и наблюдают, то только в период его устройства на работу. В лучшем случае — в период его работы на предприятии. И практически никто не проводит работу с увольняющимися сотрудниками, хотя они и представляют основную угрозу для безопасности предприятия. Во-первых, потому что нередко сотрудники увольняются, затаив, по объективным или субъективным причинам, злость на свое, уже почти бывшее руководство. А от злости и до мести недалеко. Во-вторых, сотрудников могут вынудить к увольнению конкуренты, попросив его уволиться не одного, а вместе с клиентской базой. И не допустить этого — основная задача службы безопасности предприятия или тех, кто выполняет ее функции. Примечание О том, как предостеречь сотрудников от такого неверного шага, подробно рассказано в главе 2. Не допускайте на своем предприятии существования алкогольно-сексуальных групп О том, что такое "алкогольно-сексуальная группа", подробно говорится в главе 8, хотя смысл того, чем в этой группе занимаются, прекрасно понятен из названия. С алкоголиками церемониться нельзя. Это сильные разрушители в любой организации. Лояльность сотрудников — самый главный социальный файрвол Если сотрудники лояльно относятся к своему предприятию и руководству, то большинство атак социальных хакеров пройдет мимо этого предприятия. Что означает лояльность сотрудников? Это значит, что человек доволен работой на предприятии, как в моральном, так и в материальном плане. Иначе говоря, человек занимается интересной работой и получает за нее достойную, со своей точки зрения, оплату. Это сделать не просто, но к этому стоит стремиться. По сути, всех сотрудников можно разделить на четыре группы. К первой группе относятся те сотрудники, которые довольны работой на предприятии, как в моральном, так и в материальном плане. Ко второй группе относятся те, кому нравится своя работа, но в материальном плане они не получают достойного вознаграждения за свой труд. При этом относятся они к этому достаточно снисходительно, т. к. считают, что другой такой же интересной работы они не найдут, а на неинтересной работе они работать не могут. К этой группе относятся, к примеру, те научные сотрудники НИИ, которые влюблены в свою работу и проводимые ими исследования настолько, что, как сказано в одном юмористическом рассказе, будут ходить на работу даже в том случае, если за вход будут брать деньги. Сотрудники третьей группы работают только за зарплату, которая их пока устраивает, а к любой работе они относятся только как к обязанности, которую нужно выполнить, чтобы получить деньги. Такие сотрудники всегда и во всем ищут только материальную выгоду. Это уже опасная группа сотрудников, т. к. известно, что денег много не бывает, значит, такого сотрудника почти всегда можно подкупить, заплатив ему сумму, от которой он не сможет отказаться. И, наконец, сотрудников четвертой группы работа не устраивает не в моральном, не в материальном плане. Это — самая опасная группа, т. к. если на предприятии большинство сотрудников принадлежит именно к этой группе, то такое предприятие само себя разрушит, без всяких внешних атак. Разумеется, руководитель должен стремиться к тому, чтобы его сотрудники в основном принадлежали к первой группе. Естественно, когда все сотрудники предприятия от топ-менеджеров до дворников принадлежат к первой группе — это идеальный вариант, и, как всякий идеальный вариант, вряд ли достижимый. Очень неплохо, если к первой группе принадлежат хотя бы ключевые работники, от которых на предприятии многое зависит. С точки зрения руководства, вторая группа тоже неопасна. А третья и четвертая группы — это уже группы риска. Кроме того, лояльность сотрудников зависит еще и от того, какой способ управления принят на предприятии. По большому счету существуют только два способа руководства: • командный; • управленческий. Вот выбор стиля руководства и является самым важным. Из названия ясно, что при первом способе вы командуете: "Пойди сюда, сделай то, потом это, отчитайся сначала за то, потом за это…". Примерно так. Как в армии, в общем. Ваши подчиненные при этом практически не имеют никакой самостоятельности, или очень небольшую. Виноватым при невыполнении какой-то задачи, естественно, будет тот, кто не выполнил ваш приказ. Командный способ имеет ряд неоспоримых достоинств: ощущение собственной значимости, возможность не подыскивать нужные слова и не объясняться за то или иное решение, быстрота выполнения задач… И так далее в том же духе. Нередко руководители такого типа действуют по принципу "боится, значит уважает". Боится-то, может и боится, тут спору нет. А насчет уважает… Это вряд ли. Второй способ прямо противоположен первому. Если в первом случае вы говорите "Сделай это!", то во втором нужно сотруднику объяснить причину издания вами того или иного приказа. Труднее? Намного труднее, при первом способе. Хотя бы потому, что объяснить другим, почему они должны это сделать, часто намного труднее, чем придумать то, что надо сделать. Ну и еще потому, что командный стиль управления нередко предполагает приказы бессмысленные с точки зрения дела. Как в той же армии: увидел, что бойцы сидят и курят, значит, надо отдать приказать им побегать двести метров туда и обратно. Раз десять-двадцать, а то и тридцать. В общем столько времени, сколько до ужина осталось. Зачем? А просто, чтоб без дела не сидели. И чтоб знали, кто тут командир. Согласитесь, что такие приказы при втором способе управления аргументировать трудно. Не будете же вы объяснять подчиненному, что отдали такой приказ потому, что это на вас просто блажь нашла. А можно (и даже нужно) вообще ничего не объяснять. Если условия к выполнению вашего создания уже созданы, то оно может быть уже выполнено еще до того, как вы его огласите. Заключили вы, к примеру, договор на создание программного обеспечения, поставили о нем в известность свою команду и ушли пообедать. А пришли — вам уже говорят, что и как нужно делать, кто это будет делать, и к какому сроку это будет сделано. Красиво? Да, неплохо. Но таких результатов никогда не будет при командирском стиле управления. "От забора и до обеда?" Хорошо. Но только от забора и только до обеда. А после обеда — пошел-ка ты, гражданин начальничек, куда-нибудь… А если послать тебя пока не получается, ну что ж… Подожди. Пока я на твое место не встану, и будешь ты тогда от ужина и до ужина… Примечание По мнению В.Тарасова[4], идеальный руководитель в этом смысле — вообще с виду бездействующий. Как кажется бездействующим человек, управляющий стремительно несущимся парусником, по сравнению с гребцом на весельной лодке. Вот так вот, как правило, и бывает, когда преобладает командный стиль. В принципе, повторимся, — командовать намного легче. Но, правда, тогда уж и удивляться не надо некоторым вещам. К примеру, тому, что вы в отпуск уехать не можете из-за опасения, что пока вас нет, все развалится. И правильно опасаетесь. Потому что если не развалится, то уж двигаться точно ничего не будет. Или же удивляться тому, что в вашем коллективе, если его можно так назвать, процветает наушничество и сплетни, а может тому, что вас предадут. Вы то считали, что вас уважают, в смысле боятся, а оказывается, что подчиненные "спят и видят", как бы от вас сбежать и забыть, как вас звали. А вы потом говорите, мол, предали… Да не предали. Это все равно, что сказать "стадо овец предало пастуха". Уж и кормил их и поил, и хлыстиком хлестал, и гулять выводил, и в загон загонял, когда темнело. И все время ведь послушно ходили стадом, а потом взяли и ушли, твари неблагодарные. Предатели, а не овцы. …Проведем такой простой опыт. Возьмите стакан с водой и поршень, который по объему должен быть меньше стакана. И давите этим поршнем на воду. Куда она денется? Правильно, вытечет. Можно создать идеальные условия, чтобы диаметр поршня четко равнялся диаметру стакана. И снова давите. Что будет? Правильно — при определенной силе давления поршня, превышающей критическую, стакан лопнет. И вода, опять же, вытечет. Вас результат не удивляет? Вряд ли. Детский опыт, скажете. Результат очевиден и предсказуем. Потому что вода стремится освободиться от давления и занять свободный объем. И не только вода. Что угодно. Теперь понимаете, почему при командном стиле управления удивляться тому, что ваши сотрудники разбегаются, или мечтают о том, чтобы вас разорвать где-нибудь в темном углу, не приходится. Детский опыт-то. И результат очевиден и предсказуем. Поясним еще раз различие первого и второго способов на отвлеченном примере. Представьте, что вы — капитан корабля. В первом случае, командном, вы должны будете стоять на мостике все время плавания. Потому что от вашей команды (в смысле подчиненных) толку никакого, т. к. она может выполнять только ваши приказы, а значит, постоянно требуется ваше присутствие. Уходить с мостика действительно никуда не рекомендуется, хотя бы потому, что в ваше отсутствие корабль могут специально посадить на мель, или еще что-нибудь такое сотворить, чтоб и вам тоже "жизнь медом не казалась". Во втором случае вы можете вообще не выходить на мостик. Вернее, поначалу, пока всех своих первых-вторых и третьих помощников судовождению учите вы только на мостике и торчите. Вначале действительно придется немало потрудиться, в отличие от командного стиля управления. Зато потом можете вообще из каюты не вылезать, потому что все сделают и без вас. А если действительно понадобитесь — обязательно позовут. Потому что ваша команда это действительно команда. А не табун. Понятно, что при командном методе управления никогда лояльных сотрудников не будет. Резюме Ключевое слово командного стиля руководства — "заставить сделать", а ключевое слово управленческого стиля — "убедить сделать". Не создавайте незаменимых сотрудников Дело в том, что многие сотрудники, почувствовав свою значимость, начинают нередко попросту шантажировать руководителя. Почти в любой организации найдется пример на предмет того, что "Петра Петровича нельзя было уволить, чтобы он не вытворял, потому что он единственный знал, как все это работает". Другая проблема состоит в том, что конкуренты, которые спят и видят, чтобы ваша организация перестала существовать, наверняка неплохо осведомлены о том, увольнение каких сотрудников критично для организации. И, будьте уверены, приложат все силы, чтобы этих сотрудников уволить. Примечание Один из сотрудников достаточно крупного предприятия (Горно-обогатительного комбината) в одиночку за пару лет разработал систему управления хранением информации на предприятии. После того, как его несправедливо, по его мнению, обидели, он уволился, а через пару недель после его увольнения система рухнула. Не без его помощи, конечно. С документами возникла полная неразбериха. Как все работало, знал только он один. Руководству пришлось, скрепя сердце, пригласить его снова, конечно, на значительно большую заработную плату и более лучшие условия труда. Возникла идиотская ситуация, когда рядовой программист получал почти столько же, сколько главный инженер и руководитель. В чем, правда, они, безусловно, сами были виноваты. Нельзя допускать таких ситуаций, когда все зависит только от одного человека. В свою очередь, имеет смысл предостеречь и сотрудников, которые подкладывают такие "бяки" руководству: последнее тоже бывает мстительным и имеет не один способ поквитаться. Именно так, кстати, и завершилась эта история. Примечание Что и произошло с одной нижегородской компанией по настройке серверного оборудования, которая перестала существовать после того, как из нее "уволили" главного (и единственного компетентного!) специалиста по серверам. Еще один пример. Сотрудник одного солидного коммерческого банка создал компьютерную систему, которая управляла сетью банкоматов этого банка. Обо всех нюансах работы системы знал только он. Поэтому решение об увольнении этого человека означало еще и то, что работа всех банкоматов банка будет парализована. Сотрудник проработал в этом банке достаточно немалый срок, регулярно получая зарплату, чуть меньше, чем у президента этого банка. Проводите инструктажи Проводите со своими сотрудниками реальные инструктажи, на предмет того, каким атакам может подвергнуться предприятие, и что конкретно взятый сотрудник может сделать на своем месте, чтобы этой атаки не произошло. Проведение инструктажей является обязательным. Дело в том, что человек может просто не знать, что та или иная проблема существует. А если и знает, то решит ее, в случае возникновения, гораздо быстрее, если будет четкий алгоритм решения проблемы. Потому что когда проблема возникает, то нужно ее решать, а не изобретать способы ее решения. Это желательно сделать заранее. Многие руководители впадают в заблуждение насчет того, что инструктажи проводить не нужно. Что, мол, люди не глупые, и все сами все знают. Нужно, обязательно нужно. И дело не в том, что кто-то глупый. Просто если вы что-то знаете, то это совершенно не значит, что об этом осведомлен кто-то другой. У него не ваша голова на плечах, а своя. И на инструктажах человек, наиболее компетентно разбирающийся в проблеме, передает свои знания другим людям. Причем объяснять нужно даже самые, казалось бы, тривиальные вещи, чтобы не было никаких недомолвок. Чтобы не было, к примеру, так "ну это вы все знаете, поэтому это я пропущу, да и на этом я тоже не буду останавливаться, т. к. люди здесь не глупые собрались, в случае чего сами догадаетесь как действовать нужно, ну, в общем, все, инструктаж окончен".
-
Как легко обанкротить банк Известно, что если вдруг все люди разом заберут из банка свои деньги, он обанкротится. В мире известен не один случай, когда программа социального подражательства приводила к банкротству банков в рекордно короткие сроки. Происходит все примерно так. У банка образуется очередь. Причем, самое смешное, это может быть не обязательно очередь тех, кто решил снять свои вклады. Толпа людей около банка может собраться совершенно спонтанно, к примеру, мог сломаться проезжающий мимо банка автобус, и люди просто вышли из него и создали около банка массовку. Другие же люди могут подумать, что это очередь из клиентов банка, которые пришли снимать свои вклады. А дальше работает программа социального подражательства: "мол, если столько людей снимают вклады, то, значит, и мне надо!". И вот так из-за нелепой случайности банк может за один день оказаться банкротом. Случаи, проходившие именно по такой схеме, известны. И в мире вообще и в России в частности. Были ли это действительно нелепые случайности, или эти случайности были умело подстроены людьми, знавшими толк в социальном программировании, остается только догадываться. Программа действия авторитета Излюбленная программа тех социальных хакеров, которые занимаются социальной инженерией. Суть этой программы в том, что как только человек, являющийся авторитетом для некоторой группы людей, отдает приказ на выполнение того или иного действия, те люди, которые входят в эту группу, начинают автоматически исполнять приказ, переставая думать. Проще говоря, если я считаю вас авторитетом (знаю, что вы — авторитет), то как только вы скажете "Сделай то", я тут же побегу это делать, не задумываясь над тем, а нужно ли вообще-то это делать. Помните во введении к этой книге мы приводили пример, как 75% сотрудников компании ответили на письмо системного администратора, в котором он требовал сообщить им свой пароль? Сработала программа действия авторитета. Ведь для рядовых пользователей ПК системный администратор представляется этаким "компьютерным богом", действия которого нужно выполнять беспрекословно. Вот они и выполнили. Мы тоже проводили много подобных экспериментов, и наши цифры примерно такие же, как у английских исследователей. Чтобы эксперимент удался, нужно выполнить лишь одну нехитрую вещь: найти для человека, которого ты хочешь заставить выполнить какое-то действие, авторитета, и выступить от его имени. В литературе был описан эксперимент, когда на сестринский пост в районную больницу позвонил человек, и, просто представившись доктором этой больницы (даже не назвав фамилию!), сказал какие назначения нужно срочно дать больным из 20 и 15 палаты. Невероятно, но сработало! Несмотря на всю грубость эксперимента! Из 20 медсестер, над которыми проводились эксперименты, только две категорически не стали выполнять назначения такого "врача" и доложили о происходящем дежурному доктору. Еще десять пошли выполнять назначение, решив, что доложат позже. А восемь просто пошли выполнять назначения, и ничего никому докладывать не собирались. Почему так получилось? Исследователи сходятся во мнении, что у медсестер сработала программа "действия авторитета". Для младшего медицинского персонала доктор — авторитет и его слово непререкаемо. И, что особенно важно, данный эксперимент показывает, что для того, чтобы включилась программа "действия авторитета", совершенно не нужно, чтобы в этот момент был рядом какой-то реально авторитетный человек. Для того чтобы программа запустилась, достаточно просто сыграть роль "авторитетного человека". Примечание Скажу честно, когда я узнал о результатах этих экспериментов, стало страшновато. И я точно знаю, что если бы этот "врач" действовал по всем принципам социального хакерства, назначение пошли бы выполнять даже те две медсестры. Должен честно сказать, что, к счастью, знаю и такие больницы, где этот номер не пройдет совершенно. Но, увы, их список невелик. Да, казалось бы, поведение медсестер в указанном примере — верх безрассудства и хочется думать, что это были просто какие-то особо неумные медсестры какой-то конкретной очень провинциальной больницы. Но… Этот эксперимент в разных вариациях проводился не в одной больнице и проводился в разное время разными исследователями. И результаты были более-менее похожие. Я сам по договоренности с главврачом одной из больниц провел подобный эксперимент. Мы решили посмотреть, будут ли давать медсестры назначения пациентам, минуя лечащего врача и вообще весь персонал данной больницы, если меня представить каким-то очень уважаемым доктором. В назначенный день я с "делегацией" других "уважаемых докторов" с большой помпой приехал в указанную больницу. Роли были отрепетированы и выучены, и мы пошли на обход. Так как роли были выучены хорошо, подлога никто не заметил. Мы ходили около больных, кривились, качали головами, выслушивая, какие назначения им прописали. В общем, вели себя до безобразия авторитетно. Естественно, все это видели медсестры. Около одного из больных, страдающего мигренью, я особенно "разавторитетничался", т. к. сам страдал этой болезнью, и знал про нее почти все, включая публикации двухмесячной давности, вышедшие в американских журналах. Я цитировал выдержки этих статей вперемешку с абзацами из булгаковской "Мастер и Маргарита" (один из героев этого романа, Понтий Пилат, тоже страдал этой болезнью), в припадке эрудиции даже нарисовал несколько химических формул тех лекарств, которые назначают при этой болезни (я могу свободно изъясняться с медиками на их языке, т. к. работал раньше медбратом, немало оказывал первую медицинскую помощь в разных ситуациях, и имею, среди прочих, высшее химическое образование). …В общем, в нашей авторитетности убедились даже скептики. Примечание Что интересно, при дальнейших расспросах выяснилось, что самым авторитетным признали не меня, хотя я был представлен аудитории как "самый-самый" и кидался умными терминами направо и налево, а "доктора" из нашей компании, который …вообще ничего не говорил. Ни слова. Роль у него такая была. Он либо осуждающе молчал, либо кривился, либо смеялся в голос над смешными, по "его мнению", назначениями, и делал все это "очень в такт". Но за все время не сказал вообще ни одного членораздельного предложения. А потом мы собрали медсестер и стали давать назначения, отменяющие назначения лечащих докторов. Причем назначения мы давали "убийственные" в прямом смысле этого слова. Это, грубо говоря, когда больному с гипертонической болезнью назначается лекарство, повышающее давление. А потом мы отлавливали этих медсестер у палат, потому что они пошли эти назначения выполнять. Не посоветовавшись ни с кем, кроме нас. Казалось бы, глупость. Ну не может так быть. Ну не может даже самая малограмотная медсестра давать больному кофеин при гипертонической болезни… Ну глупость это. Потому что то, что кофеин повышает давление знает, наверное, почти все население земного шара. И не надо быть "семи пядей во лбу", чтобы сообразить, что "доктор" таким назначением просто хочет совершить руками медсестры форменное убийство. Казалось бы, "этого не может быть, потому что не может быть никогда". И однако… Эта глупость совершается. Как совершается много других "глупостей", и немало примеров приведено в этой книге. Изучая социальное программирование, мы уже научились, когда видим, что какой-то поступок ну вообще никак не поддается объяснению с точки зрения здравомыслия, обращаться к социальному программированию и анализировать этот поступок с этой точки зрения. Как правило, в большинстве случаев "алогизм" удается объяснить. …Когда мы обсуждали этот наш эксперимент, я сам отказывался верить в только что увиденное своими глазами. Но с другой стороны. Вспомним достаточно известный пример из мира зоологии, со стадом баранов, прыгающим в пропасть вслед за своим вожаком. Если "убедить" вожака стада прыгнуть в пропасть, то все стадо последует за ним. Вот уж, казалось бы, большую глупость сложно представить: что бараны, не знают, что там, впереди пропасть? Знают прекрасно: не первый год здесь пасутся и все дни до этого обходили эту пропасть стороной за сто метров. А сегодня вдруг взяли и прыгнули туда всем стадом вслед за своим вожаком. И почему так происходит? Срабатывает программа "действие авторитета", а дело доделывает программа социального подражательства. Аналогом такого "бараньего поведения" в мире человеческом являются коллективные самоубийства в сектах. Механизм действия тот же самый.
-
м толпу из ничего Еще в 1969 году трое американских психологов провели такой эксперимент. Они встали на центральной улице одного из городов, и уставились вверх. Просто стояли и молча смотрели вверх. За одну минуту они собрали около себя толпу народа, которая тоже уставилась вверх. По статистике этих ученых около них "постояло" 80% (!) всех проходящих мимо них людей. Мы проверяли этот эксперимент — все именно так и происходит. Примечание Если такой эксперимент будет проводить один человек, — скорее всего, ничего не получится. Потому что одному человеку подражать никто не будет, а вот группе людей, пусть и не большой, уже будут. Мы также несколько усложнили эксперимент, и в одном городе провели "чайную акцию". Представьте себе, на площади города сидит по-турецки несколько человек (кто не умел сидеть по-турецки, просто сидели на газетке) и пьют чай. Вокруг них ходит милая и симпатичная девушка и этот чай разливает. Всем проходящим мимо несколько девушек тоже предлагали испить чаю вместе с уже пьющими. Нам было интересно, сколько человек к нам присоединится, несмотря на кажущуюся абсурдность ситуации (на центральной площади города на асфальте по-турецки расселись люди и из пиал пьют чай). В общем, через полтора часа эксперимент пришлось свернуть, т. к. количество желающих присоединиться стало превышать разумные пределы. Плохой форум …Часто от "форумчан" приходится слышать, что вот мол, ваш форум хороший, а вон тот плохой, потому что там ругаются, всех куда-то посылают и т. д. И люди на том форуме плохие, а у вас хорошие. Первое, может быть, и верно. Действительно, форум может быть хорошим, а может быть и плохим. А вот люди, как правило, одинаковые, за исключением некоторых отморозков, коих в процентном отношении не так и много относительно процента нормальных людей. Просто на "плохом форуме" часть людей изначально задала "плохой тон", а дальше свое дело уже доделала программа социального подражательства. Программа социального подражательства и реклама Очень часто в различной рекламе можно встретить такой слоган: — Два миллиона человек уже сделали ЭТО, сделай и ТЫ! Что скрывается за словом ЭТО, совершенно не важно, главное, что подобный слоган у многих активизирует программу социального подражательства: ведь два миллиона человек не могут ошибиться, значит, и мне срочно нужно в их ряды. Программа социального подражательства — причина смерти В этом разделе мы приведем пример того, как действие программы социального подражательства стало причиной смерти человека. …Молодого человека убивали пятеро отморозков на глазах у огромного количества народа. Часть из людей шла по улице, это был еще не поздний вечер, часть видела происходящее из окон своих домов. Потом те же люди видели, как он полночи лежал, истекая кровью во дворе одного из домов… И ни один человек не то чтобы не помог, но даже не позвонил ни в милицию, ни в скорую помощь. И люди эти были не какими-то особыми бездушными существами, нет, они были такими же, как и мы с вами, людьми. Когда их спрашивали, зачем они так сделали, вернее, почему они ничего не сделали, они сами были в замешательстве, и не понимали причин своего поведения… Таких примеров — очень много. Аналогичный пример приводит в своей книге "Психология влияния" Р. Чалдини. Разница лишь в том, что там убивали девушку. Тоже на глазах более полусотни людей. Этой истории было посвящено множество статей в журналах, и никто не как не мог понять, как огромное количество "людей добрых", оказались… Ну просто "не знай кем" оказались. В одном из российских городов девушку, которая, переходя через реку по мосту, подошла к трем хулиганам, которые издевались над бездомной кошкой, эти самые хулиганы, за то, что она за бедную кошку заступилась, избили. Насмерть. И потом выкинули с этого самого моста в реку. За время избиения, по мосту ходили люди, проезжали машины, и… Думаю, вы уже знаете ответ: не помог никто. И никто не вызвали милицию. Свидетелем этого насилия был мой знакомый, который проезжал в это время на машине по этому мосту и который поступил точно так же, как и все остальные. Я его спрашивал: — Вить, ну почему ты не помог? — Ты знаешь, не хотел вмешиваться. Сам понимаешь, жена, двое детей сопливых… — Вить, все понимаю. Но не работает твоя версия. Ты мог не вмешиваться, ты мог отъехать на пятьсот метров от места избиения, чтобы тебя ненароком не убили, и позвонить в милицию. Не исключено, что твой звонок спас бы жизнь человеку. Это-то нетрудно было сделать? — Не знаю, почему так получилось… Одного моего знакомого в десять часов вечера летом, в июне (еще очень светло), во дворе дома, избивало шесть малолетних хулиганов. Люди входили и выходили из подъездов, проходили мимо, наблюдали за происходящим в окна, и никто даже не позвонил в милицию. Более того, потом, когда он два часа лежал без сознания, никто не вызвал скорую помощь. Когда их потом спросили, почему они хотя бы скорую помощь не вызвали, они сказали, что "мы думали, что это пьяный". Их спрашивают: — Вы же видели как его избивали? — Видели. — И видели, что он после этого лежал, не двигаясь? — Видели. — И вы подумали, что он пьяный?! — Ну да. — Вы что подумали, что пока его били, он тайком из кармана доставал фляжку и к ней прикладывался?! — Ну нет, конечно. — Так почему же вы подумали, что он пьяный?! — Ну не знаю… …Когда я узнавал про такие случаи, я терял веру в человечество. …Может быть мы все глупые? Или садисты? Спустя время вера в человечество возвращалась, я шел в библиотеки (Интернет тогда еще только развивался), и, смотря работы психологов, видел, что случаев, подобных описанному, десятки тысяч. По всему миру. Я снова терял веру в человечество. А потом понял, что, вероятно, это какой-то закон. И снова читал работы психологов, которые также пытались найти ответ на вопрос, "почему же, большое количество людей, наблюдавших все эти трагедию, как правило, не приходят на помощь? И причем сами потом не могут найти объяснения своим поступкам"? И вот какая картина сложилась в результате этой "работы с литературой". Самый потрясающий вывод, к которому пришли ученые, заключается в том, что во всех подобных случаях помощь не оказывается потому, что …наблюдающих очень много. Невероятно, казалось бы? Но именно так и есть. Потому что, когда много наблюдающих, снимается личная социальная ответственность у каждого конкретного человека. И он думает примерно так: "Ну, наверное, это уже кто-то сделал". Вторая причина состоит в том, что работает программа социального подражательства. Которая в данной ситуации заключается в том, что когда люди не уверены, как именно нужно поступить, большинство из них оглядывается на других людей. На то, как они поступают в той же ситуации. А теперь очень важный момент. Относительно того, как многие люди поступают в аналогичных ситуациях. А поступают они хладнокровно и жестоко. Вопрос — почему? — очень важный. Дело в том, что большинство исследователей считает, что происходит это из-за того, что очень многим людям хочется казаться хладнокровными и жесткими. Подробное объяснение, почему так, выходит за рамки данной книги, хотя и очень интересно. Если коротко… Многие из нас реально не являются жесткими и жестокими. Но очень хотят именно такими выглядеть. Наверное, потому что слишком много терпели издевательств и унижений от уличных хулиганов, старших по должности, или младших по должности, от которых зависим… Не важно от кого. Важно то, что нередко в жизни мы поступаем не так, как нам бы хотелось. А поступаем зависимо. Зависим же мы от более сильного, по нашему мнению, человека. От хулигана того же… Которому отдаем все свои деньги. Потому что ему ответить "Нет!" страшно. Для этого нужно действительно быть жестким. Но, не будучи таковыми, мы отдаем ему деньги, а потом кидаемся на более слабых, чем мы родственников, на прохожих тщедушных… В общем, действуем, как тот самый хулиган,применяя свою силу только к тому, кто нам не сможет ответить. Вы, наверняка, уже поняли, что надевая маску хладнокровия и жесткости, мы представляем себя этаким линкором, которому все "по колено". И шагаем по жизни, как Бэтмен из вчерашнего фильма, который просто шел с каменным лицом, перешагивая через убитых, не слыша стонов раненых, не обращая внимания на умирающих. Таким образом, таким поведением мы просто повышаем свою самооценку(!), которую кто-то когда-то опустил. …Когда это понимаешь, уже несколько по-другому начинаешь относиться к своим поступкам. И говоришь "Нет, это совершенно не приемлемо", когда это действительно нужно сказать, а не спустя несколько часов после этого. Своему ребенку на просьбу "Папа, поиграй со мной в шахматы…". Кроме того, имеет место быть так называемый феномен социального невежества, который заключается в том, что в непонятной ситуации люди оглядываются на других, и если видят, что никто не озабочен, то решают, что все в порядке. Это исследования американских психологов Латане и Дарлея 1968 года. Эти ученые также проверили очень любопытный эксперимент. Молодой человек разыгрывал на улице припадок эпилепсии. В том случае, когда около него в момент "начала припадка" находился один прохожий, он получил помощь в 85% случаев, а если рядом оказывалось несколько наблюдателей "припадка", то помощь оказывалась лишь в 35% случаев. Из этих исследований следует очень важный вывод: нет, мы не являемся обществом бездушных отморозков, и веру в человечество терять рано, но очень часто адекватной оценке ситуации нам мешает присутствие других людей, на поведение которых мы оглядываемся, прежде чем принять решение. А они, естественно, оглядываются на наше поведение. Когда не работает программа социального подражательства Программа социального подражательства не работает у людей с высоким уровнем личной ответственности. Этот высокий уровень может быть следствием той или иной профессии: к примеру, доктор, если он действительно доктор, а не просто лицо с медицинским образованием, не пройдет мимо человека, которому стало плохо. Это может быть следствием жизни в экстремальных условиях: люди, ранее жившие в регионах с плохими погодными условиями (Крайний Север, к примеру), и приехавшие затем в наши теплые края, не проедут мимо водителя, машина которого заглохла и который просит помощи. Как там на севере не проезжают, так и здесь не проедут. Потому что там, если проедешь, других машин за тобой может и не быть, а когда пурга и мороз, то неоказание помощи такому человеку может привести к его гибели. А теперь, после всего вышесказанного — важный практический момент. Представьте себе, что вам вдруг стало плохо. Всякое бывает в этой жизни. Вы тяжело осели на асфальт, прислонившись к стене дома. И вам ну очень надо, чтобы вам оказали помощь. Как следует из сказанного ранее, к вам может никто и не подойти. Человек будет оглядываться на поведение других людей, и если те пройдут мимо, то пройдет мимо и он. Чтобы не допустить такой ситуации, вам нужно снять неопределенность, и открыто и четко сказать людям, что вам нужна помощь. Более того, нужно говорить это не всей толпе вообще, а какому-то конкретно выбранному индивиду, смотря прямо на него: — Девушка в белом, с белой сумкой! Помогите мне. Мне плохо и мне нужна ваша помощь. В этом случае вероятность того, что помощь будет оказана очень высока, потому что вы, обращаясь к конкретному человеку повышаете его индивидуальность, и он уже, скорее всего, не станет оглядываться на действия других, и не станет сомневаться на предмет того, пройти ему мимо или все-таки остановиться.
-
Цыганки с картами… Цыганки сами по себе вообще прекрасные социальные хакеры, а "цыганские мотивы" в социальном хакерстве — это вообще "отдельная песня". Известно, что в одном городе существовал даже целый "цыганский батальон" социальных хакеров, прекрасно владеющих психологией, которые гипнотизировали чуть ли не целые фирмы, заваливаясь в них всем "табором". Ну а пока они гипнотизировали, один-два человека из их "батальона" делали то, зачем они собственно и пришли… Но здесь мы хотим рассказать о другом, очень простом и красивом примере того, как с помощью цыганок переманивали сотрудников из одной фирмы в другую. Представьте себе, перед вами, как социальным хакером, поставлена задача переманить очень перспективного сотрудника из фирмы X в фирму Y, которая вас и наняла. Как это можно сделать, мы говорили в предыдущей главе, а вот как эта задача однажды была решена на основе "цыганских мотивов". Этого сотрудника пытались переманить уже не однажды, т. к. на нем, собственно, все и держалось. Но — не получалось. Такой вот несговорчивый сотрудник оказался. И тогда в ход пошло социальное хакерство. Довольно далеко от места его работы и, естественно "чисто случайно", к сотруднику подошли две цыганки с предложением погадать. Он, как разумный человек, от этого отказался, но и "цыганки" были весьма опытные. Можно сказать, "старшие офицеры цыганского батальона" к нему подошли. На его "не надо" просто пожали плечами и, когда он отошел на несколько шагов, крикнули ему вслед "А ведь у тебя дочка болеет, милый" и отправились не спеша от него. Поскольку подробное досье на этого сотрудника было собрано заранее, "цыганки" знали не только то, что она болеет, но и чем болеет и даже как ее лечить. Что и рассказали незадачливому сотруднику, когда он их сам догнал. А заодно и всю его жизнь ему пересказали. Правдиво, конечно. И между всеми этими рассказами заодно и сообщили ему, что "не в том месте работаешь милок, оттого и все твои неприятности". "Плохое это место, вижу — кустов много рядом, помойка (краткое описание места расположения фирмы, в которой на данный момент работает сотрудник)… Плохая энергетика. Другое место тебе нужно, другое. Иди туда, где две улицы пересекаются, большое здание и большие двери (у переманивающей фирмы был весьма здоровый офис, о котором в городе знали все, и очень вычурные огромные двери). И все у тебя будет хорошо". После такого количества правды о себе он мог поверить уже во что угодно. И через несколько дней, когда догадался о каком здании толковала ему цыганка, ушел. Психологические основы социального программирования Основную мысль на предмет того, почему многие люди становятся добычей социальных хакеров, можно выразить в одном тезисе: потому что мы в 90% случаев действуем (живем) на автопилоте. В наш "бортовой компьютер" заложено несколько моделей (программ) поведения, между которыми мы время от времени переключаемся. Более того, список этих программ в настоящее время уже достаточно известен. В том числе и социальным хакерам, которые заставляют выполнять людей свои указания. Самое интересное в том, что переключаемся мы между этими программами по определенным сигналам, которые тоже, в общем-то, известны. В простом примере с пожаром, который мы рассматривали самым первым примером социального программирования, сигналом служило слово "Пожар!". После того как сигнал прозвучал, начала работать программа, в которой написано, что "если "Пожар", то надо бежать". Примечание Интереснейшие данные на этот счет есть у зоологов. Суть в том, что животные переключаются между программами, определяющими их действие при помощи специальных звуков, которые они сами издают. К примеру, два самца дерутся друг с другом. Потом один из них сказал "кри-кри", и драка тотчас прекратилась. Смотреть на это крайне забавно. А дело все в том, что у данного вида "кри-кри" означает переключение на мирную программу. И не повиноваться этому "кри-кри" самец, сколь агрессивным бы он не был, не может. У него эта программа врожденная. В данной ситуации различие между нами, когда мы действуем на автопилоте, и животными лишь в том, что у нас, людей, эти навыки приобретенные, а у животных, судя по всему, врожденные. Эксперимент Лангера Психолог Э. Лангер провел очень простой эксперимент. Он заставлял одного из испытуемых подойти к очереди и пройти без очереди. И выяснил, что почти 90% людей разрешают пройти вам без очереди, если вы скажете примерно так: — Разрешите мне пройти без очереди, потому что я очень спешу. А вот если попросите так, — "Разрешите мне пройти без очереди", — то количество желающих вам уступить уменьшится вдвое. Первоначально Лангер думал, что в первом случае уступают из-за того, что испытуемый аргументировал свою просьбу тем, что он очень спешит. Однако потом, проведя третий эксперимент, он выяснил, что это не так. А в третьем эксперименте испытуемый сказал так: — Разрешите мне пройти без очереди, потому что мне очень надо. И опять количество разрешивших было около 90%. На основании чего Лангер сделал вывод, что ключевое слово здесь "потому что". Таким образом, людям можно указать любую причину, и они уступят. Потому что люди хотят знать причину того, почему они делают то или иное действие, т. е. слово "потому что" выступало сигналом для запуска у людей программы уступчивости.
-
"Убийство" форума Конечно, если с помощью социального программирования можно делать рекламу, то можно и антирекламу. Приведу один пример, все остальное делается по аналогии. Некий социальный хакер за пару месяцев в одиночку развалил один известный форум, существовавший до этого несколько лет. Как он это сделал? Очень просто. Превратил форум в "помойку". Ругался, нападал на администрацию, "вызывал на дуэль модераторов", совершал явные провокаторские действия. А поскольку он был весьма не дурак, то все сообщения писались "на грани фола", т. е. вроде бы и провокационное сообщение, а и удалять по большому счету не за что. В общем, занимал он на этом форуме типичную антилидерскую позицию. Причем действовал он из-под нескольких ников. Это в том числе помогло ему достаточно быстро создать вокруг себя антилидерскую группировку из уже реальных посетителей форума. Дело в том, что когда он писал из-под нескольких ников, то он как раз создавал видимость того, что "он не один", т. е., что антилидерская группировка уже существует. Схема простая: "раскручивается" один антилидерский ник, который становится известным и узнаваемым на форуме, а затем к нему как бы примыкают остальные посетители форума, недовольные поведением администрации. Примыкают сначала фиктивно, т. к. из-под всех этих ников действует один и тот же человек, а потом уже и реально, когда к этой группировке начинают примыкать реальные посетители форума. В конце концов форум становится этаким полем боя, на котором продвигать что-либо (товары, идеи…) становится практически невозможно. ыбирается сознательно самим человеком, и нередко становится вторым именем… Вообще тем, кто держит на сайте форум — нужно быть очень внимательным. Даже если ваш форум никто не собирается "убивать", ваши менеджеры на форуме могут "наговорить лишнего", что будет являться лакомым кусочком для конкурирующей разведки. Основной залог успеха форума — это грамотная политика поведения на нем и грамотное модерирование. Это очень важно. Так как только в этом случае форум будет маркетинговым плюсом. Во всех остальных случаях он может стать большим маркетинговым минусом. Основные правила "ведения форума". Примечание Модерирование — это контроль за поведением посетителей на различных форумах, чатах и т. д. и за той информацией, которую они размещают в своих сообщениях. • Ни в коем случае не вступать ни в какие переговоры с провокаторами и различными "виртуальными террористами". Слава богу, в отличие от террористов реальных, виртуальные никого не берут в заложники, и можно позволить себе с ними не разговаривать. А просто безжалостно уничтожать. Модерировать, в смысле. Примечание В этом плане нас несказанно удивило поведение одного известного человека, который содержал свой форум, и после того, как его испоганили, решился в качестве последней меры на "переговоры с террористами". Мы уж не знаем, чего он им там говорил, для нас удивителен сам факт подобных переговоров. Ты же много видел в жизни, и тебе лучше других должно быть известно, что с провокаторами вести переговоры нельзя. Переговоры, кстати, вероятно не помогли, т. к. форум вскоре перестал существовать. А форум был очень неплохой. • Желательно, чтобы модератор не был участником форума. Это нужно для сохранения его принципиальности, которую проблематично сохранить, если ты сам участник дискуссий. У нас именно так и сделано: модератор не является участником дискуссий на форуме. • Модератор должен быть умным и уравновешенным человеком. Это положение, казалось бы, очевидно, но как раз это правило нарушается очень часто. Нередко, к примеру, можно видеть, как модератор начинает подряд удалять все сообщения человека, который его оскорбил. Такое, конечно, недопустимо. • Действия модератора не обсуждаются, и это должно быть прописано в правилах форума, которые обязательно должны быть (для справки вариант правил, которые действуют на форуме IT-студии SoftTime, приведен далее). В этих правилах должно быть написано, в каком случае модератор приступает к своей работе. Чтобы все без обид было. • На форуме обязательно должен быть человек, который очень компетентен в обсуждаемых вопросах. В любом специализированном форуме полемика сразу прекращается после ответа эксперта, который приходит и дает грамотный, и иногда, единственно верный ответ. Все — полемизировать не о чем. • Если вы держите специализированный форум, не советую вам заводить на нем разделы "за жизнь". Это с точки зрения управляемости самый поганый раздел, который только можно придумать, поскольку взгляды на жизнь у всех разные. И переругаться всем, отстаивая свои взгляды, ничего не стоит. А ругань на форуме превращает его в помойку (если он, конечно, не создан специально для ругани). Как сказано в предыдущем правиле, полемика сразу прекращается после ответа эксперта, который приходит и дает грамотный ответ. А в жизни экспертов, увы, нет. Теперь приведем те правила, которыми руководствуемся мы на наших форумах. Правила форума PHP на SoftTime.ru Тематика форума На форуме обсуждаются вопросы, посвященные программированию на РНР. А так же установка, настройка и модификация Web-приложений, распространяемых IT-студией SoftTime. Вопросы, посвященные работе форума, следует обсуждать в форуме "Разное", а СУБД MySQL и Web-серверу Apache в форумах MySQL и Apache соответственно. Правила общения на форуме При создании новой темы старайтесь, чтобы ее название соответствовало сути обсуждаемого вопроса. Не рекомендуется создавать темы с названием "Помогите", "SOS", "Какой я дурак!", "Возникла проблема, не знаю, как решить" и т. д. Названия тем в форуме — это как название разделов книги в оглавлении, т. е. средство, предназначенное для удобства навигации и поиска информации. Поэтому темы с подобными названиями будут исправляться модератором. Старайтесь писать без грамматических ошибок. Многие люди органически не выносят текста, содержащего грамматические ошибки, тем более что зачастую слова изменяются до неузнаваемости и их просто невозможно прочитать. Запрещается: • грубое, хамское и оскорбительное отношение к посетителям форума, — уважайте участников форума, будьте вежливы друг к другу; • помещать сообщения рекламного характера; • обсуждать политику модерирования; • использовать ненормативную лексику; • писать бессодержательные сообщения, из которых невозможно извлечь информацию для решения проблемы; • писать отдельные предложения или названия тем только ЗАГЛАВНЫМИ БУКВАМИ, т. к. у посетителей может возникнуть впечатление, что на них кричат. Если хотите акцентировать внимание на отдельном моменте текста, то используйте теги выделения текста. Все сообщения, попадающие под раздел "запрещается", будут удаляться или редактироваться модератором. Распространение слухов Сколько слухов наши уши поражает… В. С. Высоцкий Слухи — явление всем известное и в социальном программировании часто используемое. Пример того, что можно натворить, если грамотно "работать со слухом", приведен ранее в примере, где мы рассуждали, каким образом силами одного человека или небольшой группой людей можно организовать соляной, вино-водочный, хлебный или любой другой кризис… В этом разделе поговорим о гораздо более интересной вещи, о том, как можно управлять распространением слухов. Примечание Данный раздел написан на основе статьи Helio Fred Garcia "A 50-Year Old Mathematical Formula Is Key Tool in Managing Crisis Communications" и книги Гордона Оллпорта и Лео Постмана "Психология слухов" (1947 г.) Слух — это информационное сообщение, которое распространяется между людьми, как правило, в устной форме, без предоставления доказательств его достоверности. Ключевые слова в этом определении — "без предоставления доказательств его достоверности". Естественно, когда люди разносят слухи, в свое "информационное сообщение" они вкладывают смысл о том, что оно достоверно: — Да ты что, я сам по радио слышал… А потом то же самое еще по телевизору говорили! И знаешь кто? Сам губернатор… Таким образом, основной закон распространения слухов гласит, что"слухи распространяются только тогда, когда нет объективных критериев достоверности слухов, но людьми этот слух воспринимается как правдивая информация". Из этого закона следует очень важное следствие о том, что "если относительно какого-то предмета или события есть достоверная информация, то в такой среде слух распространяться не может". Простой пример: если все знают, что Волга впадает в Каспийское море, то слух о том, что она впадает куда-то в другое место — совершенно не живуч. Иначе говоря, вероятность его распространения равна нулю. В своей книге "Психология слухов" ее авторы приводят очень важный вывод: при отсутствии объективной информации люди прогнозируют развитие событий на основе своих субъективных ощущений. Это означает, что если человек не владеет реальной информацией относительно того или иного события, то он придумает свою трактовку этого события, представив это событие так, как оно ему видится. Главный закон степени распространения слухов гласит, что "Степень распространения любого слуха прямо пропорционально зависит от его значимости для слушателя и степени неопределенности его содержания". Этот закон еще называют законом Оллпорта—Постмана. Формула для приближенного вычисления динамики распространения слуха имеет следующий вид: и называется формулой Оллпорта—Постмана. R ≈ i×a Здесь: • R — область распространения слуха, интенсивность его распространения, длительность существования и степень доверия слуху; • i — степень значимости слуха для слушателя или читателя, если он окажется правдивым; • а — степень неопределенности или сомнительности слуха. Важный момент состоит в том, что отношение между значимостью и неопределенностью мультипликативное (а не аддитивное), т. е. если один из этих факторов равен нулю, то слуха не существует (слух не может существовать при наличии только фактора неопределенности или только фактора значимости). Таким образом, к примеру, для того чтобы разрушить слух, нужно либо "занулить" его значимость для слушателя, либо исключить неопределенность в его содержании. Примечание Оба параметра в формуле Оллпорта — Постмана имеют значение от 0 до 10, соответственно максимальное значение, которое может принимать R, равно 100 (самый высокий уровень области распространения слуха). Повторимся, что самое важное следствие из этой формулы состоит в том, что если хотя бы один из параметров равен нулю, то слух исчезает. Таким образом, даже если в том случае, если значимость слуха о каком-то событии равна 10, когда люди получают реально достоверную информацию об этом событии, слух исчезает. Примечание Конечно, эта формула — эмпирическая, т. к. ее основные параметры определяются субъективно. В литературе есть работы на тему большей "математизации" этой формулы, но они пока еще далеки до того, чтобы применять их в реальной практике. Вспомним пример с соляным кризисом. Значимость слуха можно приравнять к максимальной, т. к. соль употребляется всеми, т. е. слух о том, что соль может исчезнуть с прилавков, значим для любого человека. Степень неопределенности информации тоже была очень высокой, т. к. узнать о реальном состоянии дел почти всем людям было неоткуда, и значение этого параметра было близко к 9, а то и к 10. Иначе говоря, значение R находилось в пределе от 90 до 100, поэтому слух и получил такое распространение. Результат наблюдений за циклом развития новостей показал, что можно выделить следующие определенные периоды развития новости, а также определить то время, когда существует возможность для наилучшего управления слухом. • 45 минут Первые 45 минут развития слуха — наилучшее время для наиболее полного контроля над ситуацией. Слух еще не распространился широко, и этой информацией располагает лишь ограниченное количество людей. Примечание Так действовал, к примеру, оперативный штаб Билла Клинтона во время его президентской кампании в 1992 году. Этот штаб как раз и был создан для быстрого реагирования на слухи. Выявляя и оперативно реагируя на слухи, команда Клинтона быстро ликвидировала негативную информацию или использовала ее в интересах будущего президента США, в силу чего избирательная кампания Клинтона в 1992 году была очень успешной. Если не удалось среагировать на слух в течение первых 45 минут, он начинает распространяться. • 6 часов После того как информация получила широкую огласку, ситуация начинает выходить из-под контроля. Еще можно управлять слухом, может быть, даже ликвидировать его, но теперь сделать это будет гораздо сложнее. Как правило, если информация попала в эфир, она будет активно обсуждаться в СМИ по меньшей мере в течение шести часов. Все больше журналистов начнут работать над этой темой и слух распространяется со все большей скоростью. Если история появилась на одном из каналов телевидения, то крайне высока вероятность того, что она появится и на других каналах. На 6-часовом периоде еще можно исправить ситуацию "небольшой кровью". • 3 дня В это время слух попадает в газеты и, можете быть уверены, будет на слуху еще несколько дней. После того как пройдут первые публикации в ежедневных газетах, начинают появляться комментарии экспертов в тех же газетах, а так же на телевидении и радио. Если и на этом периоде не удается управлять слухом, что правда, уже крайне сложно, то он будет активно распространяться и обсуждаться еще как минимум две недели. • 1— 2 недели Это тот период, в который выходят еженедельные газеты и различные аналитические программы для телевидения. Это последний период, в который можно, правда уже ценой весьма значительных усилий, остановить слух. Если этого не сделать на этом этапе, то слух может быть раздут до масштабов грандиозного скандала, с которым уже не всегда можно справиться. …О том, что социальные хакеры уделяют огромное внимание работе со слухами, говорит, в частности, следующий пример, в котором хорошо показано, как умело распространенный слух может сорвать неплохо подготовленную избирательную кампанию. В одном городе в качестве кандидатов в депутаты Госдумы баллотировался один известный медиамагнат. До тех пор, пока до выборов оставалось полтора суток, все шло хорошо, и все аналитики предсказывали этому кандидату победу на выборах. Что, в общем-то, было не удивительно, т. к. по сути противников у этого кандидата не было. Но кандидат выборы проиграл. Потому что за день перед выборами, когда люди вышли на улицы, они увидели, что весь город обклеен листовками, в которых содержался текст, написанный якобы от имени вдовы одного известного и популярного в народе журналиста, убитого несколькими годами ранее. В листовках вдова журналиста просила народ этого города не голосовать за медиамагната, т. к. тот причастен к убийству ее мужа. …Ясно, что все это было умело подстроенной провокацией, и что вдова ничего такого, конечно, не писала. О чем она потом сама официально заявила. Но дело уже было сделано. Кандидат выборы проиграл. За него не проголосовал почти никто. Хотя, повторимся, денег в эту избирательную кампанию было вложено немало, а вот такой, в общем-то, тривиальный ход, пиарщики кандидата просчитать не смогли. Что, естественно, говорит об их невысоком профессионализме. Потому что они, как минимум, сделали две большие ошибки. Во-первых, зная о том, что слух о причастности кандидата к убийству журналиста циркулировал по стране давно, хоть и вяло, они в своей избирательной кампании не обратили на этот факт совершенно никакого внимания. Чего делать было совершенно нельзя. Во-вторых, они, расслабившись от высоких предварительных рейтингов, совершенно упустили из внимания два последних дня перед голосованием. Между тем, известно, что все грамотные провокации совершаются именно в это время, с тем, чтобы не дать команде кандидата времени на грамотную реакцию.
-
Венки на трассе Одному PR-агентству была поставлена задача сделать так, чтобы по одной из магистральных трасс ездило как можно меньше народу. Предыстория такова. В результате постройки параллельной трассы владельцы магазинов на старой трассе лишились своих доходов, т. к. большинство людей стало ездить по новой трассе, которая была удобнее, шире, освещеннее и т. д. Владельцы магазинов скинулись и заказали "черную PR-кампанию" этой трассе. Что же сделали пиарщики? Конечно, они не стали прибегать к разрушению дорожного полотна путем раскопок, взрывных работ и прочего. Они просто …закупили несколько сотен венков в ритуальных компаниях. И развесили их практически на каждом третьем дереве новой трассы. В принципе после этого они могли уже ничего не делать. Потому что поток машин по старой трассе и так уже увеличился. Что понятно: людям психологически крайне некомфортно ездить по дороге, на каждом десятом метре которой кто-то "погиб" (о чем и свидетельствовали многочисленные венки). Это все равно, что ехать по кладбищу. И, конечно, люди стали выбирать объездные пути, т. е. старую трассу, "которая хоть и вся в колдобинах, но на ней никто не разбивается". Но пиарщики на этом не остановились. В СМИ тех городов, примыкающих к новой трассе (т. е. жители которых наиболее часто пользуются этим маршрутом), была заказана серия публикаций на тему того, что новая трасса просто какая-то "трагически мистическая". Мол, каждая 10-я машина, которая по ней проедет — разбивается. Причем почти все с летальным исходом. После этих публикаций поток машин на новой трассе еще больше уменьшился, и почти совсем иссяк после того, как к венкам добавились еще и кресты с памятниками, и трасса уже действительно стала напоминать проезжую дорогу по кладбищу. Когда власти поняли, что к чему, стало уже поздно. Венки снимали, вешали новые… На старую трассу тоже была направлена мощная PR-кампания. Мощная в том смысле, что денег было угрохано много. А так — слабая. Потому что основные ее тезисы были направлены на колдобины на старой трассе, на то, что по ней медленнее ехать, на то, что машины на ней чаще выходят из строя, поскольку опять-таки одни колдобины. Пиарщики старой трассы все это "обрубили" одним ходом. Вернее, одним плакатом, который был поставлен перед развилкой старой и новой трассы. На плакате было написано крупными буквами одна фраза "Хочешь доехать быстро или живым?". Над словом "быстро" была стрелочка на новую трассу, над словом "живым" — на старую. Антиреклама перед аэропортомПеред аэропортом одного из городов, с целью снижения пассажиропотока, поставили рекламный щит, над которым просто написали слова из песни В. Высоцкого: А здесь — сиди и грейся, Всегда задержка рейса, — Хоть день, а все же лишний проживешь. Последние строки были выделены, явно намекая на то, как небезопасно летать самолетами. Превращение толпы из агрессивной в оказионнуюПеред психологами нередко ставится задача "мирной ликвидации" агрессивной толпы. Агрессивная толпа крайне опасна, т. к. в ней практически отсутствует "умственная доминанта". Агрессивную толпу можно сравнить со стаей взбесившихся животных, главная цель которой — агрессия. Что и опасно. Итак, представьте себе, что перед вами стоит задача в расформировании большой агрессивной толпы, к примеру, на митинге. Для того чтобы эту задачу решить, требуется знание того, что: • любая толпа имеет свою географию. Психологи это свойство толпы так и называют"география толпы". Очень грубо можно сказать, что толпа имеет ядро и периферию; Примечание Подробнее о свойствах толпы написано в главе 8. • периферия толпы, как правило, является уже не агрессивной толпой, а, скорее, оказионной, т. е. толпой, собравшейся по какому-то случаю, в нашем примере — эта часть толпы просто глазеет на то, как сейчас ядро толпы снесет трибуну вместе с теми, кто на ней выступает. Для нас это означает, что периферия толпы намного менее агрессивна и не ставит своей целью проведение каких-то кровавых акций. Значит, именно на эту часть и следует воздействовать; Примечание Конечно, существуют методы воздействия и на ядро толпы. Но они на практике не в пример сложнее, чем воздействие на периферию толпы. • если представить, что из агрессивной толпы вдруг убрать ее периферию, которая была изначально, то периферией станет другая часть толпы, естественно, более близкая к ядру. Таким образом, можно достичь того, что лишить ядро толпы …толпы. Теперь давайте подумаем, что можно предпринять. Поскольку периферия агрессивной толпы уже является по сути оказионной толпой, значит, надо просто переключить ее внимание с одной "оказии" на другую. К примеру, организовав вблизи этой толпы дорожно-транспортное происшествие. С большой вероятностью, периферия заинтересуется этим новым событием и пойдет глазеть уже на него. В некоторых случаях, когда толпа не слишком большая, одного этого приема бывает достаточно. Постепенно на эту оказию соберется посмотреть все большее количество толпы, в силу чего ядро толпы лишается своей основной поддержки, которой является сам факт существования толпы. А после этого с ядром толпы можно бороться уже другими методами. Хороший пример того, как агрессивную толпу превратили в оказионную, приводит Акоп Погосович Назаретян в одной из своих книг. Пример относится к уже далекому 1991 году, когда возбужденная победой демократов толпа людей готова была пойти на штурм "последнего оплота советской власти" — здания КГБ на Лубянке. Страшно даже представить, что могло бы произойти, если бы это случилось. Но в том случае власти поступили мудро. По толпе распустили слух, что якобы в памятнике спрятано "золото партии", т. к. сам памятник отлит из золота, и поэтому сейчас пригонят автокран, и памятник будут снимать. Пригнали автокран, стали демонтировать памятник, и внимание толпы переключилось на это действо. Штурма удалось избежать. Если дальше говорить о толпе, то специалисты советуют также тем или иным способом повышать индивидуальность толпы, к примеру, снимая людей на видеокамеры. В этом случае действует такой эффект. Люди, видя, что их снимают, начинают думать, что "наверное не зря снимают, наверное потом разбираться будут. А ведь могут и посадить…". Здесь важно не то, что человек думает, а сам факт того, что он начал думать. В толпе нет индивидуумов, а когда они начинают появляться, толпа может распасться. Сначала начинают думать несколько человек, потом все больше и больше, и затем по механизму циркулярной реакции (см. главу 8) отрезвление наступает у все большего количества людей. Но в "боевых условиях" снимать на видеокамеры реально не всегда просто. Если видеокамеры просто стоят вдалеке, то они могут наоборот вызвать агрессию. Аналогичная ситуация возникает, когда съемку ведут агенты (тем более, что это для них весьма небезопасно). Примечание Основываясь на этих данных, авторы в свое время предложили сконструировать …летающую видеокамеру, использование которой в ряде случаев дало положительные результаты. Здесь "убивается сразу несколько зайцев". Во-первых, ведется съемка, что, как уже говорилось ранее, приводит к "возвращению индивидуальности" отдельных членов толпы. Во-вторых, то, что съемка ведется столь необычным образом, отвлекает внимание толпы от основных событий, превращая тем самым толпу в оказионную. В ряде случаев агрессивную толпу имеет смысл превратить в паническую. Такие случаи известны. Однако количество таких случаев очень ограниченно, т. к. паническая толпа в плане возможных негативных последствий мало чем отличается от агрессивной. Потому что, грубо говоря, если вы пригоните вертолет, и сбросите с него на толпу кучу змей, то с большой долей вероятности, вы эту толпу превратите в паническую. Только она передавит сама себя. Про змей это, конечно, шутка, но если вдруг решите так делать, то сбрасывайте их на периферию толпы, и понемногу. Если периферия начнет разбегаться (а ей есть куда бежать, в отличие от ядра толпы) и будет кричать "Змеи, змеи", то постепенно разбежится и вся толпа. А если сбросить тех же змей на ядро толпы, в самую ее гущу, то люди с немалой вероятностью просто передавят друг друга. Кстати, для многих толп просто самого факта появления вертолета в непосредственной близости от толпы хватает для того, чтобы превратить толпу в оказионную.
-
Как сделать "соляной кризис" методами социального программирования
Саппорт добавил тему в Социальная инженерия
Всем памятен недавний "соляной кризис", случившийся в нашей стране. Вот, что писало в это время известное интернет-издание Лента.ру. Текст статьи приводится с некоторыми сокращениями с целью восстановления хронологии событий. "В России набирает силу соляной кризис, грозящий перерасти в соляной бунт. Из ряда областей страны исчезла соль. Поставщики уже подняли цены в несколько раз, а граждане, опасаясь, что этот кризис — надолго, стоят в очередях и покупают товары первой необходимости впрок. Хотя соляной кризис длится уже как минимум неделю, только к середине февраля стало понятно, что очереди не сократятся, страсти не улягутся, а история не останется без внимания властей, вырвавшись с местного на федеральный уровень. С определенной долей уверенности можно сказать, что все началось 10 февраля, когда нехватку соли обнаружили туляки, а на оптовых базах Тулы цена килограммовой пачки соли составляла 3 рубля 60 копеек. Тогда местные СМИ утверждали, что дефицит соли — чисто тульская проблема, и приводили в пример соседние регионы, где килограмм соли стоил рубль восемьдесят. Власти попытались успокоить туляков, пообещав поставки пятисот тонн к концу недели. Интересно, что в тот же день нехватку соли ощутили в Калуге. С 11 по 14 февраля в Тамбовской области были скуплены трехмесячные запасы соли. Появились и начали распространяться слухи о том, что Украина прекратила или может прекратить поставки соли в Россию. Продавцы и производители объясняли ажиотаж по-своему — изменился технический регламент, что и породило слухи о дефиците соли. 15 февраля тревогу забили нижегородцы. Несмотря на то, что в области скопился полугодовой запас соли, жители региона за день раскупили ее месячный запас. И если в Тамбовской области цена килограмма соли доходила до 30 рублей, то в Нижнем Новгороде она достигала 50 рублей. Не уступали нижегородцам и жители Новгородской области. Они скупили 300 тонн соли за два дня. Администрация области предложила свое объяснение соляному феномену. Там считают, что ажиотаж спровоцировали российские оптовики, у которых на складах скопились излишки соли. Паника достигла апогея к 16 февраля, когда нехватку ощутили в Саратовской и Волгоградской областях, в Чебоксарах и Тюмени. В Москве и Московской области также было не все спокойно. Московским властям даже пришлось объяснить гражданам, что запасов соли в столице хватит на два месяца. Паника, старательно подогреваемая теленовостями, привела к образованию огромных очередей. Граждане, стоящие в очередях, занимали места родственникам и соседям. Продавцы, предчувствуя, что вскоре спрос упадет, т. к. запасов соли потребителям хватит надолго, даже начали распространять контрслухи о грядущем понижении цен. Кое-где это сработало. Огромный спрос на соль породил у соотечественников смутные воспоминания о военном времени. Кроме соли граждане начали скупать сахар, спички, муку и крупы — на всякий случай, вдруг пригодятся. Власти Воронежа тем временем усмирили цены на соль. Правда, для этого пришлось нарастить запасы ценного продукта до 600 — 800 тонн, а также силами городского полка милиции провести серию рейдов по рынкам и магазинам. Дошло до того, что проблемой заинтересовались федеральные власти. Госдума 17 февраля поручила одному из комитетов выяснить у правительства причины повышения цен на продукты первой необходимости". Конец цитаты. Кроме того, отмечается в обозрении, "интересно заметить, что рынок соли обычно не подвержен сильным колебаниям — поставки товара производятся из различных источников, сам товар подчиняется основным рыночным законам, и ажиотаж должен быстро спадать, сменяясь низким уровнем спроса. Однако из каждого правила есть исключения — и неправильно понятая фраза или строчка в документе оборачиваются исчезновением со складов всех запасов соли". Напомним также, что федеральная антимонопольная служба (ФАС) в ходе своего расследования пришла к выводу, что "в соляном кризисе не виноваты ни производители соли, ни предприятия оптово-розничной торговли. Правила конкуренции нарушало только ООО "Соляная компания", зарегистрированная в Тюмени. Но только одна организация не смогла бы вызвать такого масштабного кризиса". Не найдя нарушений среди производителей, ФАС заключила, что виноваты потребители: "Основной причиной повышения цен послужил ажиотажный спрос населения на пищевую соль, вызванный распространением недостоверной информации о недостаче данного продукта на российском рынке", — сказано в официальном пресс-релизе ФАС. Давайте подумаем, мог ли он быть организован методами социального программирования. И подумав, приходим к выводу, что вполне мог. Более того, скандал такого масштаба, в результате которого чуть не сняли некоторых министров, вполне по силам организовать …одному человеку. Причем самому обычному. В том смысле, что этот человек может быть рядовой человек "с улицы". А сделать это с одним, а не с группой людей, вообще несложно. Рассмотрим гипотетическую схему, как это могло бы быть реализовано. Примечание Авторам совершенно не известно, как это было сделано на самом деле, и чьи интересы при этом преследовались. Не исключено, что таким образом одна из министерских группировок пыталась ослабить влияние, или вообще убрать другую группировку. А в качестве исполнителей выбрали социальных хакеров. Если так оно и было, то, по крайней мере, проделано все было очень красиво. Общая гипотетическая схема развития такого или подобного скандального кризиса проста. Сначала делается кризис в одном конкретно взятом городе. Этот кризис подхватывается местным телевидением, которому нужны высокие рейтинги и которое знает, что больше всего аудитория любит всяческие скандалы и сенсации. Поэтому совершенно закономерно, что телевидение мимо скандала не пройдет. И вот в вечернем выпуске новостей диктор взволнованным голосом сообщает, что по неизвестной причине из магазинов города исчезает соль. И добавляет, что аналитики нашего канала, которые, как вы знаете, одни из лучших аналитиков в области (ну как же себя не похвалить и в очередной раз не самопрорекламироваться), говорят, что нельзя исключать того, что соляной кризис в нашем городе это начало большой войны между крупнейшими поставщиками соли в Россию. Крупнейшие же поставщики соли, поскольку они не смотрят местное телевидение города Н-ска и незнакомы с заключениями крупнейших аналитиков местного телевидения города Н-ска, совершенно не в курсе, что между ними началась какая-то война. Местные же жители, посмотрев репортаж, обрывают телефоны, звоня своим знакомым и произнося только одну фразу: — Слышали, а? Соли-то скоро не будет! Вы еще за ней не бежите? А мы уже. И вот четверть города, несмотря на позднее время, бежит в круглосуточные супермаркеты скупать соль. Съемочные группы крупных областных каналов дежурят круглосуточно. Потому что областному телевидению то нужны высокие рейтинги, и там тоже знают, что больше всего аудитория любит всяческие скандалы и сенсации, поэтому охота за сенсациями идет круглосуточно. Естественно, как только становится известно, что в Н-ске скупили всю соль, туда направляется съемочная группа, и вот уже сюжет о соляном кризисе в Н-ске транслируется всеми крупными областными каналами. Жители всех других городов, не будучи дураками, понимают, что то, что случилось в Н-ске, может случиться и с ними. И вот соли нет уже по всей области. Пропадает она и на границах соседних областей, потому что не все жители "обессоленной" области успели закупить соль и теперь совершают набеги в соседние регионы. Те, кому набеги совершать лень, или они этого по каким-то причинам сделать не могут, звонят своим родственникам по всей стране и просят закупить их килограмм двадцать соли, и прислать посылкой. На центральном телевидении России люди не глупее, чем на местном и областном телевидении и насчет того, как повышаются рейтинги, тоже прекрасно осведомлены. И вот в области, в которой разразился соляной кризис, высаживается десант из нескольких съемочных групп с разных Всероссийских каналов. Благодаря которым весть о том, что "в стране скоро может не быть соли" долетает даже до тех аулов, которых на карте без бинокля не найдешь. В результате чего паника начинает охватывать уже всю страну, и проблема местного и областного уровней становится проблемой федерального масштаба. А ведь все это могла сделать очень небольшая группа людей, а если очень нужно, — то и один человек. И на то, чтобы все это спровоцировать, им при благоприятном стечении обстоятельств мог понадобиться один день и несколько тысяч рублей. Что, согласитесь, весьма небольшой бюджет для организации кризиса всероссийского масштаба. Как это возможно? А очень просто. Представьте себе, что в супермаркет можно сказать вбегает человек и нервно спрашивает у всех продавщиц: "А где у вас здесь соль?" После того, как ему показали, где соль, он бежит к этому прилавку и скупает ее всю. После этого в супермаркет вбегает другой человек с тем же самым вопросом. Но соли в нем уже нет, или осталось совсем немного. При этом все эти люди говорят покупателям и продавщицам, что "только что по радио передали, что скоро соли в стране совсем не будет". Те, кто это от наших покупателей соли услышал, впадают в легкое беспокойство, и решают на всякий случай прикупить килограмм-второй соли "на черный день". Но в том супермаркете, в котором они находятся, соль уже кончилась. Люди обеспокоиваются чуть больше и идут в другой супермаркет, чтобы прикупить килограмм пять-десять соли. На всякий случай. А наши молодчики тем временем тот же самый трюк проделывают в другом супермаркете, в третьем, десятом, и всем покупателям с удовольствием рассказывают, что "Вот, по радио передали…". Некоторые же покупатели тем временем уже начинают звонить своим знакомым, чтобы посоветовать им прикупить соли, поскольку они в магазине слышали, что ее скоро не будет, и что на их глазах люди скупили всю соль в магазине, и им самим пришлось бежать в другой, где они "чудом урвали". И вот так начинается цепная реакция в одном конкретно взятом городе. И в принципе, наши гипотетические провокаторы соляного кризиса уже могут больше ничего не делать, потому что механизм уже запущен. Но нет, им этого мало. И они еще обзванивают все городские газеты и городское телевидение, где в роли возмущенных жителей советуют обратить внимание СМИ на то, что в городе нигде нельзя купить соли и в качестве доказательства своих слов советуют зайти в ближайший супермаркет. Ну дальше "кризис подхватывается местным телевидением, которому нужны высокие рейтинги и которое знает…", в общем, как сказка про белого Бычка. Таким образом, даже один человек, владеющий методами социального программирования, может влиять на процессы в государстве. -
Примеры и положительного применения, к коим можно отнести превращение агрессивной толпы в оказионную (о различных видах толп см. далее в этой главе и в главе 8), и отрицательного, к которым можно отнести, скажем, способы "закошмаривания" предприятий при рейдерских наездах, о них мы говорили в предыдущей главе. Суть этой главы в том, чтобы показать примеры того, что в ряде случаев действительно можно "программировать" поведение людей, причем и одного человека, и большой группы людей. Примеры данного раздела относятся к категории социального хакерства именно по той причине, что во всех из них люди выполняли чью-то чужую волю, как бы подчиняясь написанной социальным хакером "программе". Примеры эти весьма разные. И по цели, которые ставили социальные хакеры, и по способам исполнения, и по последствиям, и по срокам исполнения. Есть и изящные многоходовки, и простые примеры, положительные и отрицательные, к категории социального хакерства относятся и многочисленные примеры черного и белого пиара (PR — сокращение от англ. Public Relations), некоторые из которых тоже приведены в этой главе. "Пожар" в кинотеатре Классикой социального программирования является пример "с пожаром" в кинотеатре, описанный одной из газет еще в советские времена. Тогда группа шутников кинула в зал кинотеатра во время просмотра одного из фильмов несколько дымовых шашек и истошно завопила "Пожар, пожар!". Естественно, спровоцировав тем самым массовую панику, в результате которой погибло несколько человек. Остается только догадываться, преследовал ли тот "шутник" какие-то конкретные цели или просто так кроваво "пошутил". Единственное, что можно утверждать почти точно, это то, что "шутники" к этой акции подготовились, и провели ее по всем правилам. Во-первых, момент бросания шашки и криков "Пожар!" был выбран весьма точно: это было сделано во время одного из самых драматических моментов фильма, когда зрители находились в большом напряжении и некотором страхе от происходящего на экране. Во-вторых, один из участников этой "шутки", сидевший ближе всех к выходу, как только послышались первые крики о пожаре, бросился к выходу, подав тем самым пример всем остальным людям. Которые, естественно, этому примеру последовали. Примечание Мог ли тот "шутник" преследовать какие-либо вполне конкретные цели? Конечно, мог. К примеру, он в силу тех или иных причин мог захотеть обанкротить данный кинотеатр. Пара-тройка таких выходок и люди в этот кинотеатр ходить перестанут, т. к. за ним закрепится слава "кровавого кинотеатра". Классическим этот пример называется потому, что он происходил по классической схеме, согласно которой сначала толпе дается какой-либо внешний стимул, после чего в качестве ответа на этот стимул следовала вполне прогнозируемая реакция. Внешним стимулом могут быть и крики "Пожар", и генератор Вуда, и змеи, — все, что угодно. Реакция — массовая паника. Примерно также любил "шутить", как ни странно, известный физик Роберт Вуд, который приходил в кинотеатры с генератором низкочастотных колебаний, излучающим колебания в диапазоне 7 — 9 Гц. Когда он включал свой генератор, люди начинали метаться в панике и выбегали из кинотеатра на улицу. Несколько раз это приводило к различным телесным повреждениям у зрителей. Примечание Смысл "шутки" в том, что наши внутренние органы тоже колеблются с определенной низкой частотой, причем для большинства из них частота колебаний составляет как раз 7 — 9 Гц. При включении генератора Вуда, который генерировал колебания той же частоты, что и частота колебаний внутренних органов, наблюдался эффект резонанса, в результате которого люди начинали ощущать сильный дискомфорт и паническое настроение. Гораздо позже "шутка Вуда" была один в один повторена также в кинотеатре одного города, правда уже с более трагическими последствиями. Примечание В литературе также описывались случаи убийств с применением генератора Вуда. Вернее, доведения до самоубийств. Преступники действовали по следующей схеме. Рядом с квартирой жертвы, психотип которой предполагал склонность к суициду, монтировался генератор, включался и работал практически беспрерывно. Генератор мог размещаться или на чердаке, над квартирой жертвы, если она жила на крайнем этаже, в соседней квартире, а нередко и прямо в квартире. Жертва при работе генератора ощущала дискомфорт, паническое настроение, и нередко принимала решение свести счеты с жизнью. Известен также случай, когда в качестве причин для паники злоумышленники использовали …змей. Вернее, ужей. Представьте себе, идет кинофильм, главный герой фильма ужасов ищет чего-то на кладбище, тревожная музыка, и вдруг в этот драматический момент один из зрителей ощущает, что у него по ноге что-то ползет. Нагибается посмотреть что же это такое и с ужасом понимает, что это змея. "Змеи, в зале змеи", — кричит он, хватает этого несчастного ужа и бросает подальше от себя. И поближе к голове какого-то зрителя. После чего срывается с места и бежит к выходу. Эффект примерно такой же, как и в том случае, когда кричали "Пожар".
-
3 этап. Внесение раскола в состав руководства предприятия Для того чтобы заполучить предприятие практически легально, рейдерам достаточно 30% плюс одна акция. Однако в настоящее время ситуация такова, что управление предприятия держит в своих руках от 70% и более акций (так называемый консолидированный пакет). Поэтому рейдеру необходимо внести раскол между членами управляющего органа предприятия, для чего рейдер пытается расколоть управляющий орган, сыграв на различных внутренних противоречиях между управленцами предприятия (о их внутренних противоречиях тоже узнается на первом этапе). По сути 3-й этап — это этап "плетения интриг" между руководителями предприятия и этап скупки акций у основных держателей, которым делаются различные "интересные предложения". Кроме того, на этом же этапе формируется оппозиция из недовольных миноритарных акционеров, для того, чтобы под флагом этой оппозиции рейдеры могли проникнуть на предприятие. Руководство предприятия на этом этапе, как правило, делает два шага: • пытается теми или иными способами смягчить конфликт между управленцами предприятия; • идет на уступки миноритарным акционерам с целью смягчения давления оппозиции. 4 этап. Работа с активами предприятия На этом этапе руководство предприятия пытается сделать так, чтобы захват предприятия потерял для рейдера смысл. Для этого руководству нужно либо вывести активы предприятия, либо каким-либо образом их обременить. Рейдеры же, естественно, пытаются этого не допустить. 5 этап. Вход на предприятие Теперь рейдеру нужно легальным образом зайти на предприятие. Основной метод: внеочередное собрание акционеров и переизбрание совета директоров. Делается это примерно следующим образом. Если у рейдера имеется 30% плюс одна акция, то в действующий орган управления предприятием посылается требование о созыве внеочередного собрания акционеров. После того, как основное собрание проигнорирует требование, рейдеры имеют право провести такое собрание самостоятельно. Примечание Как правило, подобные собрания проводятся скрытно, чтобы на нем могли присутствовать только подконтрольные рейдеру акционеры. Известно немало случаев, когда подобные собрания проводились в воинских частях. Таким образом, рейдеры делают все, чтобы "ненужные акционеры" не попали на собрание. Известны случаи, когда рейдеры для этой цели разыгрывали целые спектакли. К примеру, перед входом в здание, где должно проходить собрание акционеров, представители рейдера на входе в здание перехватывали ненужных участников собрания и вели их в другой зал этого же здания, где перед ними разыгрывался спектакль под названием "собрание акционеров", а в это время на настоящем собрании в другом зале рейдерская партия большинством голосов переизбирала совет директоров. Иногда применяется обратный подход, при котором, наоборот, оппоненты допускаются на собрание для того, чтобы всему миру показать, что все законно, что на собрании были не только подконтрольные рейдеру оппоненты, но и представители противоположной стороны. Только при этом акции оппонента каким-либо образом "блокируются", т. е. делается так, что оппонент временно не может воспользоваться своими акциями (и, следовательно, иметь право голоса), к примеру, из-за того, что на него заведено уголовное дело на предмет того, что когда-то он добыл эти акции незаконным путем. На первом собрании 30% плюс одна акция не является достаточным кворумом для принятия решения, поэтому на первом собрании констатируется отсутствие кворума, эта констатация заносится в протокол собрания, и все расходятся. Изюминка в том, что если собрать собрание повторно, 30% плюс одна акция уже будет кворумом, и решения принимаются большинством голосов. Решения и принимаются: прекратить полномочия прежнего совета директоров и избрать новый совет директоров. Таким образом создается параллельный орган управления. Умные рейдеры, как правило, делают еще один остроумный шаг. Они делают так, что один из участников собрания …направляет в суд претензию к проведению собрания и просит признать суд собрание недействительным. Казалось бы: зачем рейдерам это надо? Это же кажется нелогичным. На самом же деле все логично. Повод для претензии выбирается очень формальный, и, желательно, какой-то вздорный, в общем, такой, который суд не признает значимым. Суд и не признает и отказывает в удовлетворении иска. А поскольку заседание суда прошло, то у рейдера появляется документ о том, что фактически суд признал собрание легитимным (это называется словом преюдиция). Документ этот, естественно, очень ценный. После того, как произошло собрание акционеров с переизбранием совета директоров, по сути, предприятие в руках рейдеров, и параллельный орган управления берет на себя контроль над деятельностью предприятия. Дальнейшее развитие событий зависит от того, какую цель ставили перед собой рейдеры, захватывая предприятие. Если они захватывали предприятие только из соображений наживы, то после захвата быстро реализуется цепочка по продаже предприятия. Нередко, что в результате реализации этой цепочки предприятие попадает к добросовестному хозяину. Если же целью рейдеров был бизнес предприятия, то после захвата начинается этап "ликвидации последствий военных действий": начинаются выплаты зарплат сотрудникам, делаются перечисления в бюджет и т. д. Примечание Нередки случаи, когда прежние руководители предприятия переквалифицировались в рейдеров и начинали отбирать у захватчиков свое бывшее родное предприятие по всем правилам рейдерской атаки. Вот примерно так происходят рейдерские атаки на различные предприятия. Примечание Естественно, подробное описание всех этапов рейдерской атаки выходит за рамки данной книги, но нам это и не особо важно. Для нас важно то, что на многих этапах этой атаки используются приемы социальной инженерии и социального программирования. Где же применяется социальная инженерия и социальное программирование при организации рейдерских атак? Социальная инженерия в классическом виде применяется в основном на первом этапе, то есть тогда, когда собирается информация об организации. А как мы говорили ранее, собирать информацию проще всего методами социальной инженерии. На втором этапе к методам социальной инженерии добавляются методы социального программирования, поскольку второй этап — начало рейдерской атаки это уже не сбор информации, а работа по дестабилизации деятельности предприятия и здесь лучше подходят различные методы социального программирования, один из которых — устройство предприятию атаки "отказ от обслуживания". Методы же социальной инженерии на втором этапе тоже могут применяться, к примеру, для дискредитации компании в сети Интернет. Для этого, как правило, используются форумы на сайте компании и прочие инструменты, посредством которых представители компании общаются в Интернете с посетителями своего сайта. Ну и, конечно, на третьем этапе, этапе интриг и заговоров, без социального программирования тоже никуда (конечно, в области его отрицательного применения). Таким образом, основные и значимые этапы "рейдерского наезда" — это социальное хакерство в чистом виде. Почему социальное хакерство и социальное программирование популярный инструмент для рейдерских атак? Дело в том, что основная концепция социального программирования состоит в том, что многие поступки людей и групп людей предсказуемы и подчиняются определенным законам. Простой и банальный пример. Если на предприятии стало плохо, то люди с него побегут. Совершенно всем понятная вещь. А ведь это социальное программирование в чистом виде. Сотрудники предприятия — это большая социальная группа. А сказав фразу "если на предприятии стало плохо, то люди с него побегут" мы, по сути, сказали, что разработали метод воздействия на большую социальную группу, которой в данном случае является многотысячная армия сотрудников предприятия. Таким образом, мы предсказали, как будет вести себя данная социальная группа под воздействием некоторой внешней силы. Внешняя сила здесь — ухудшение обстановки на предприятии, а прогнозируемый нами способ поведения — это констатация того факта, что при ухудшении условий сотрудники предприятие покинут. Все просто и банально, и, несмотря на это, мы увидели, что даже большой социальной группой можно вполне осознанно управлять, так как ее действия вполне прогнозируемы. Как определить начало рейдерской атаки? О том, что вас начали атаковать, можно определить по следующим признакам. • Начались проверки предприятия различными инстанциями: налоговой полицией, санэпидстанцией, МЧС, МВД, различными надзорными организациями и др. Причем проверяющие просят предоставить копии документов, в которых указаны сведения об активах фирмы, о кредиторской задолженности, об акционерах. • В средствах массовой информации (СМИ) появляются негативные статьи о предприятии, о его руководстве, да и вообще неожиданно ни с того ни с сего СМИ вдруг стали проявлять повышенную активность в отношении предприятия. Примечание Особенно этот пункт должен вас насторожить, если в СМИ появляются сообщения об ущемлении прав миноритарных акционеров. • Акционеры вдруг получили заказные письма с уведомлением о вручении, в которых находится, к примеру, поздравление с ближайшим праздником. Или вообще ничего не находится. Или находится простой чистый лист бумаги. Не важно. Главное, что таким образом те, кто собрался вас атаковать имитируют формальность, так как согласно закону перед созывом внеочередного собрания акционеров нужно им направить предложение о созыве такого собрания. Вот и направили. А потом в суде атакующие скажут, что акционерам направлялось предложение о продаже их акций, а совету директоров предприятия было направлено предложение о внеочередном созыве собрания акционеров. Судья попросит предъявить доказательства того, что такие письма были направлены. Этим доказательством будет уведомление о вручении письма. А то, что противоположная сторона будет говорить, что, мол, не правда, там открытки лежали, так на это всегда можно сказать, что там лежали реальные документы, а про открытки это все наглая ложь. • Миноритарные акционеры начинают проявлять интерес к деятельности предприятия, чего за ними никогда не замечалось. Примечание Особенно надо насторожиться в том случае, когда действуют не они сами, а по генеральной доверенности от их имени действуют какие-то родственники, которые, как нельзя кстати, являются большими специалистами в корпоративном праве. • Вам стали часто поступать предложения о продаже ваших акций или их доли. Теперь несколько примеров того, как рейдеры атаковали некоторые предприятия. К руководителю ООО "Памир"[2] поздно ночью, когда он возвращался с работы, подошли два человека, которые представились сотрудниками правоохранительных органов, и предложили пройти с ними, чтобы подписать документы о передаче его доли акций, мотивировав это тем, что мол, поскольку фирма не платит налогов, у нее скоро начнутся серьезные проблемы. А сотрудники правоохранительных органов, так получилось, являются доброжелателями фирмы, так как сами не раз обращались за услугами в "Памир" и теперь хотят помочь руководству. Мол, у них на конспиративной квартире сидит покупатель, и если продать ему свою долю сейчас, то хоть какие-то деньги получишь, а через полгода вас все равно разорят, и останешься только должен. Фирма налоги платила исправно, грозы ничего не предвещало, серьезной аргументации "сотрудники правоохранительных органов" не имели. Директор от такой сомнительной сделки отказался, и вроде бы все затихло. Но через год после этого случая в 000 "Памир" к руководству пришел человек с предложением продать все предприятие или долю в нем, на что руководитель ему ответил, что никто ничего продавать не собирается. Через некоторое время после этого аналогичные предложения поступили остальным акционерам Общества. Они также отказались от продажи и поставили в известность руководство, которое справедливо заключило, что фирму кто-то взял "на мушку". Руководство, проанализировав ситуацию, поняло, что кому-то стало известно о некоторых пробелах в уставной документации Общества и срочно исправило их. После того, как были приняты изменения в уставе Общества, согласно которым любые изменения в учредительные документы может вносить только лично директор или те, из учредителей, которые получили от него генеральную доверенность, предложения о продаже поступать перестали. Но так гладко все бывает не всегда. Согласно публикации в одной из газет, у ЗАО "Элерон", которое являлся собственником большого участка земли и недвижимости на нем, рейдерская атака на него последовала даже несмотря на то, что все документы были оформлены идеально. По уставу общества доли в нем могли переходить только между акционерами общества, третьим же лицам, согласно уставу, продажа долей была запрещена. После того как одна из участниц продала свои акции, от ее имени началась рейдерская атака, хотя по закону ее доля перешла остальным членам общества. Рейдеры от ее имени направили иск в арбитражный суд. Дальше было много неприятностей, и судебных заседаний, и "закошмаривания". Руководство фирмы и ее адвокаты обращались во многие инстанции, но везде им говорили примерно одно и то же, что, мол, пока фирму не отнимут, спокойной жизни не ждите. Ситуация разрешилась только после того, как руководство заручилось поддержкой высших лиц области. Заметим, что сейчас количество рейдерских атак в рамках рассмотренной классической схемы пошло на убыль. Связано это с тем, что законодательство изменилось в лучшую сторону, оставив для рейдеров уже не такое большое количество законных возможностей по захвату предприятия. Кроме того, в крупных регионах уже почти все захватили. Ну и, наконец, основная причина на наш взгляд в том, что бизнес успешно учится защищаться, и самые лакомые кусочки рейдерам (основной пакет акций и активы предприятия) уже достать очень сложно, потому что активы предприятия, как правило, надежно спрятаны, а основной пакет акций консолидирован у руководства. Поэтому сейчас, как правило, применяется уже не классическая рейдерская атака, а так называемая тактика гринмейлеров.Дело здесь в том, что по закону "Об акционерных обществах" владение даже одной акцией позволяет такому акционеру запрашивать любую информацию о сделках компании, информацию об акционерах и т. д. И в принципе, поработав, можно даже с помощью одной акции перехватить власть у реального руководства. Руководство же знает, что связываться с профессиональными шантажистами — себе дороже, поэтому предпочитает от них откупаться. В результате за небольшой пакет акций (или даже за одну акцию гринмейлер получает неплохую сумму). Вот, примерно, таким образом гринмейлеры и зарабатывают.
-
Более опасным видом мошенничества, чем фишинг, является так называемый фарминг.Фарминг заключается в изменении DNS-адресов так, чтобы страницы, которые посещает пользователь, были не оригинальными страницами, скажем, банков, а фишинг-страницами. Поскольку суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты, фарминг гораздо более опасен, чем фишинг, так как в отличие от последнего новый метод хищения данных не требует отсылки писем потенциальным жертвам и соответственно их ответа на них. Это, естественно, более изощренный, хотя и технически намного более сложный метод мошенничества, чем фишинг. Но зато при фарминге у пользователя практически нет причин проявлять свою недоверчивость: писем никто не присылал, на сайт никто заходить не просил. Пользователь сам по своему желанию решил зайти на сайт банка, и зашел. Только не на оригинальный, а на поддельный сайт. Опасность фарминга многие исследователи связывают еще и с тем, что с целью его развития хакеры будут предпринимать все больше атак на DNS-серверы, и эти атаки будут все изощреннее. Опасно же это тем, что если количество взломов DNS-серверов возрастет, то это приведет к настоящему хаосу в мировой сети. Примечание Служба DNS (Domain Name System) предназначена для того, чтобы сопоставить адрес сайта, который пользователь набрал в браузере, реальному IP-адресу того сервера, на котором этот сайт расположен. Службу DNS нередко сравнивают с телефонным справочником, в котором вы сначала выбираете имя, потом смотрите номер и звоните по указанному номеру. Так и здесь: выбираете имя сайта, служба DNS говорит вам его "номер" (IP-адрес), после чего вы идете на указанный сайт. Кроме роста взлома DNS-серверов, исследователи также прогнозируют рост сетевых взломов типа ARP-spoofíng, который, по сути, представляет собой подмену МАС-адреса и предназначен для прослушивания трафика между двумя машинами. Примечание Протокол ARP используется компьютерами для обращения друг к другу в пределах одной сети путем преобразования IP-адреса в МАС-адрес нужного компьютера, после чего происходит связь по протоколу Ethernet. Рейдерские атаки Рейдеры — это захватчики предприятий. Соответственно рейдерская атака — это атака по захвату предприятия. Классическая схема рейдерской атаки выглядит следующим образом. 1 этап. Сбор информации о захватываемом предприятии Как всегда, в любом виде деятельности, сбор информации — самый важный подготовительный этап. На этом этапе собирается и анализируется вся информация о предприятии: финансовая ситуация на предприятии, список контрагентов, список клиентов, список акционеров (реестр акционеров), информация о слабых и сильных сторонах предприятия, о вредных привычках руководства и сотрудников, кто с кем и против кого дружит на предприятии, информация о маркетинговых планах и прочее, прочее. На первом этапе в большинстве своем работают методы социальной инженерии, с помощью которых, как мы уже говорили ранее, собирать информацию легче всего. Как правило, этот этап занимает от одного до трех месяцев в зависимости от масштабов предприятия и от сложности добывания нужной информации. Самое важное для рейдера на этом этапе — получить тем или иным способом копию реестра акционеров. 2 этап. Начало атаки Началом атаки можно считать тот момент, когда рейдер начинает скупку акций у миноритарных акционеров. Миноритарии, как правило, с акциями расстаются очень легко, так как реально ощутимых дивидендов по ним практически не получают, а рейдеры предлагают за акции суммы в размере годового оклада. Примечание Миноритарные акционеры — это акционеры с небольшим количеством акций. К примеру, в начале 90-х годов в разгул приватизации очень нередко, когда почти каждый работник какого-то большого предприятия с несколькими тысячами человек сотрудников имел по две-три акции. Вот такие акционеры и называются миноритарными. Параллельно со скупкой акций у миноритариев проходит работа по "закошмариванию предприятия", если выражаться на рейдерском языке. Основная цель "закошмаривания" — дезорганизация работы предприятия. Кроме этого достигается также побочная цель: колеблющимся акционерам демонстрируется, что на предприятии имеются большие проблемы, после чего они со своими акциями расстаются гораздо охотнее. Второй этап для предприятия это действительно кошмар, лучше слово сложно придумать: руководству вчиняются иски от имени акционеров по поводу нарушения различных операций с акциями, нарушении порядка проведения сделок (о чем рейдер узнает на первом этапе), в отношении руководства и сотрудников предприятия возбуждаются уголовные дела (неважно по реальным поводам или нет — главная цель это издергать людей), инициируются проверки деятельности предприятия различными службами (налоговой инспекцией, санэпидстанцией, противопожарной службой, природоохранной прокуратурой и т. д. — чем больше, тем лучше), для парализации работы предприятия используется тактика гринмейлера, и т.д. Примечание На языке рейдеров гринмейл — это корпоративный шантаж, достигаемый реализацией прав мелких акционеров агрессивным образом или "закошмариванием" предприятия. Способов, причем абсолютно легальных, "закошмарить" практически любое предприятие очень много. По сути, при "закошмаривании" предприятию устраивается классическая DDoS-атака (отказ от обслуживания) на социальном уровне. Примечание Как правило, при "закошмаривании" предприятия основную роль играют именно социальные хакеры, которые используют в своей работе методы социального программирования. Руководство предприятия, видя, что стало объектом рейдерской атаки, как правило, начинает идти на увольнение работников, продающих свои акции, с целью устрашения тех, кто еще свои акции не продал. Иногда это дает результат, иногда нет. Кроме того, акции предприятия переводятся в доверительное управление или передаются в залог какой-нибудь конторе, подконтрольной предприятию. После этого руководством, как правило, проводится дополнительная эмиссия акций и организуется контрскупка акций.
-
Приватность и сбор персональных данных Обеспечение приватности человека, пользующегося широкими возможностями Интернета, и незаметный, но весьма интенсивный сбор данных, персонально идентифицирующих его личность, - это две очень серьезно конфликтующие друг с другом проблемы. Причем конфликт этот быстро становится одной из наиболее горячих тем как в развитии электронной коммерции, так и в более специфической области, деликатно именуемой "обеспечение нормальной работы правоохранительных органов". Занимающиеся маркетингом структуры постоянно изыскивают новые, все более эффективные пути для сбора максимально возможной информации о своих потенциальных покупателях. Для коммерции такие данные - удобное, а теперь и необходимое дополнение во всей той автоматизации, что предоставляется Интернетом. Уже вполне четко осознано, что с помощью Интернета намного легче собирать огромные объемы информации о потребителях, а взаимная увязка этих данных обеспечивает существенные прибыли в торговле. Однако защитники гражданских свобод вполне резонно усматривают в этих устремлениях покушение на фундаментальные права граждан, поскольку в подавляющем большинстве случаев информация о пользователях собирается без их согласия. Поэтому обеспечение анонимности пользователя Интернета и возможность использования псевдонимов в онлайновых коммуникациях рассматриваются как необходимые меры в защите и укреплении таких гражданских прав, как приватность и свобода слова. Службы анонимизации и их компрометация В последние годы в Интернете появился целый ряд служб, как бесплатно, так и за деньги предлагающих пользователям услугу "анонимизации". Другими словами, используя серверы этих служб как стартовую площадку для своих путешествий по Сети, пользователь получает гарантии, что все его персональные данные "срезаются", а посещаемые им веб-сайты получают в свое распоряжение лишь характеристики сервера-"анонимайзера". Среди десятков таких служб можно упомянуть наиболее известные: Anonymizer (www.anonymizer.com), проект компании Lucent под названием Private Web Access (www.bell-labs.com/project/lpwa), служба "Onion Router" Исследовательского центра ВМС США (www.onion-router.net), а также служба Aixs (http://aixs.net/aixs/). Но, как показало пристальное изучение возможностей этих служб, они не предоставляют той степени анонимности, которую декларируют. Соответствующее исследование было недавно проведено бостонским интернет-консультантом Ричардом Смитом (Richard M. Smith), который не стал разрабатывать никаких новых средств, а просто воспользовался известными инструментарием, который используют веб-серверы для идентификации своих посетителей. Смит продемонстрировал, что лишь этих инструментов, в сочетании с дефектами в популярных программах-браузерах Internet Explorer и Netscape Navigator, достаточно для компрометации служб анонимизации. Для организации тестирования Смит создал веб-сайт (www.tiac.net/users/smiths/anon/), котрый оборудовал соответствующими программами и разослал приглашения в компьютерные новостные группы. Для оценки степени защиты анонимности применялись шесть различных тестов, главным образом, использующие возможности языков Java, JavaScript и Active X. Реальные испытания показали, что все из четырех перечисленных выше служб анонимизации не смогли выдержать натиска и уступили по крайней мере одному из 6 тестов, пропустив и выдав реальный IP-адрес пользователя. По словам Смита, на всю эту демонстрацию ненадежности четырех наиболее авторитетных служб ушло меньше часа. "Сеть Свободы" Но вот теперь в Интернете появилась служба Freedom Network (www.freedom.net), созданная канадской компанией Zero Knowledge System и предлагающая качественно иную степень защиты анонимности пользователей. На разработку системы ушло около двух лет, и, как говорит о своем детище возглавляющий компанию Остин Хилл (Austin Hill): "Это инфраструктура, на которой будет строиться будущее. Мы рассматриваем нашу технологию как фундаментальную." Загружаемая с веб-сайта Freedom программа-клиент позволяет пользователям создавать для себя несколько псевдонимов, причем персональные данные не требуется хранить на каком-нибудь сервере третьей стороны. Вся информация, которой располагает предоставляющая услугу компания, - это данные кредитной карты, которой расплатились за услугу (50 долларов в год). Используя программу и псевдонимы (по желанию, разные для различных сетевых нужд), пользователь может путешествовать по Интернету с помощью цепи серверов, каждый из которых скрывает идентификатор пользователя и его "цифровые следы" при веб-серфинге, работе с электронной почтой, общении в новостных группах и чат-конференциях. Вся система имеет прочную криптографическую основу, поскольку в процессе пересылки пакеты с данными пользователя надежно шифруются. Зашифрованные пакеты пересылаются через множество серверов, которыми управляют провайдеры-партнеры для сокрытия маршрутов пакетов. По свидетельству сторонних экспертов, система freedom.net обеспечивает действительно мощную защиту анонимности. Как сказал Мадж (Mudge), один из лидеров известной бостонской группы хакеров L0pht, "здесь действительно делается то, что декларируется... и это весьма значительное достижение". Обеспокоенность органов Подобную степень защиты анонимности никакие трюки коммерческих веб-серверов, понятное дело, пробить не в силах. Более того, не на шутку переполошились правоохранительные и разведывательные органы Канады и США, усмотревшие в новой службе серьезную угрозу своей работе. Остин Хилл и его коллеги по Zero Knowledge получили уже множество приглашений в различные правительственные инстанции для разъяснения подробностей ими содеянного. В течение последних месяцев года им уже пришлось выступить с "презентацией своего продукта" перед представителями таких ведомств, как RCMP - "королевская конная полиция" (канадский аналог американского ФБР), CSE - Управление безопасности связи (аналог американской радиоразведывательной службы АНБ), CSIS - разведслужба (аналог ЦРУ). Была также неформальная встреча с сотрудниками Министерства юстиции США из подразделения по борьбе с компьютерными преступлениями. Поскольку в истории уже известны случаи, когда после подобных обработок компании радикально изменяли политику и ослабляли свои системы под нажимом властей, то в Интернет-сообществе зародилось естественное опасение относительно реальности дальнейшей стойкости "Сети Свободы". Однако Остин Хилл тут же предоставил общественности подробный отчет об имевшихся встречах с представителями властей и повторил те вещи, что рассказывал им. Суть дававшихся на презентациях разъяснений об особенностях технологии сводится к нескольким словам: "freedom.net вполне умышленно создавалась так, чтобы никому была недоступна любая информация о пользователе". По убеждению создателей системы, они не нарушают абсолютно никаких законов, в цифровой век предоставляя гражданам право на такую же анонимность в Сети, какую испокон веков предоставляли людям обычный лист бумаги и карандаш. В заключение же можно вспомнить высказывание одного известного адвоката по поводу того, что отличает свободное государство от тоталитарного. Вольно излагая его слова, в свободной стране у правоохранительных органов должны быть трудности с получением доступа к приватной информации граждан. Если же у органов нет никаких проблем с получением такого доступа, то это государство - фашистское.
-
О важности вживания в роль или об актерском мастерстве социальных хакеров
Саппорт добавил тему в Социальная инженерия
Кем бы не представлялся социальный хакер, какую бы роль он не играл, играть он ее должен убедительно. А для этого он должен "вжиться" в тот персонаж, который играет. Все успешные социальные хакеры — прекрасные актеры. Вживаясь в роль, они контролируют, в том числе, и свои невербальные реакции. Простой пример. Допустим, вы мужчина, и переоделись в женщину, и хотите, чтобы все поверили, что вы — женщина. Вы сами понимаете, что просто переодеться, это мало. Потому что для того, чтобы окружающие поверили, что вы именно тот персонаж, роль которого вы играете, вы должны жить этой ролью. В нашем случае — вы должны вести себя как женщина. Даже если на вас будет работать десяток самых лучших гримеров, которые все сделают так, что "комар носа не подточит". А вы всю их работу угробите, закурив сигарету на типично мужской манер. И так далее. Если вы играете бомжа-алкоголика, значит, как только вы войдете в магазин, от вас должны все шарахаться, кричать на вас, к вам должны подскакивать охранники и под белы ручки выводить из магазина, при этом презрительно морщась. Примечание О невербальных реакциях см. в приложении 1. Если человек хороший актер, то он может считать себя на 50% состоявшимся социальным хакером. Если же он еще и разбирается в психологии, то можно считать, что как социальный хакер он состоялся на 100%, потому что "охмурит" почти любого. Дело здесь в том, что очень много людей смотрят только на внешнюю атрибутику и не смотрят на суть. Это одно из основных правил социальной инженерии. Правило, которое давно поняли все, кто так или иначе связан с манипулированием людским сознанием: социальные хакеры, продюсеры, пиарщики всех мастей и рангов и т. д. Примеры действенности этого правила можно приводить сколько угодно, стоит посмотреть хотя бы результаты прошедших выборов. Для того чтобы это правило проиллюстрировать, подробнее рассмотрим следующий пример. Предположим, что один из авторов этой книги придет читать лекцию. При этом войдет он в аудиторию неуверенной походкой, лекцию будет читать заикающимся голосом, в общем будет этаким сосредоточением робости перед слушателями. Но при этом он расскажет, что он лауреат того, сего, пятого и десятого, руководитель там-то, а еще консультант вот здесь и здесь, а также выложит перед собой все написанные научные работы и книги, коих немало. И вот если после лекции слушателям задать несколько вопросов, среди которых "Насколько, как вы считаете, автор разбирается в жизни", подавляющее большинство ответит, что по жизни он "полный дурак". Таким образом, все обратят внимание только на внешние проявления (в данном случае неуверенность), о том же, что премии и награды просто так не выдаются, книжки тоже не сами из-под пера вылетают, консультантам не за красивые глаза деньги платят, да и вообще, чтобы всего этого добиться, надо хотя бы немного "кумекать по-житейски", никто внимания, как правило, не обращает. Примечание Это же правило прекрасно работает и при проведении переговоров, о которых мы подробно будем говорить в приложении 1. Теперь допустим, что тот же автор перед теми же слушателями будет читать лекцию три дня спустя. Но при этом он уже будет говорить уверенно, четко, слушателей бояться не будет, а наоборот будет вести себя с ними даже слегка надменно, и так далее. И после лекции у слушателей снова спросят насчет понимания автором жизни. И вот теперь большинство ответит, что со времени прошлой лекции автор достаточно "поумнел по жизни". Таким образом, опять почти все обратят внимание только на внешнюю атрибутику, а то, что "поумнеть по жизни" за три дня мало кому удавалось, и лектор остался точно таким же, каким он и был в прошлый раз, никому и в голову не придет. Примечание С точки зрения трансактного анализа, о котором чуть позже, это объясняется тем, что в данном случае автор выступил в роли Дитя, а слушателям отвел роль Родителей. Естественно, поскольку люди местами просто помешаны на собственной значимости, Родители они мудрые и много понимающие в жизни (конечно, сточки зрения их субъективного мнения, — как в реальности, можно только догадываться). Ну а какой Родитель скажет, что Дитя разбирается в жизни? Правильно, никакой. Вообще позиция, когда вы находитесь в роли Дитя, а другим отводите роль Родителей, работая при этом в рамках трансакции Дитя — Родитель, — самая удобная для любых манипуляций. Если же социальный хакер, кроме актерского мастерства, владеет еще и психологией, то ему, как мы уже говорили, "все возрасты покорны". Потому что он очень хорошо осведомлен еще о двух других людских слабостях, играя на которых можно многого добиться. Следующее правило социальных хакеров гласит, что "Большинство людей отрицательно зависимы от своего чувства собственной значимости". А это значит, что эта отрицательная зависимость может быть неплохой мишенью для атаки. Зависимость от чувства собственной значимости вообще сама по себе ничего плохого не означает. Наоборот: любому из нас хочется как-то и чем-то выделиться, то есть хочется чувствовать свою значимость. Вопрос в том, что выделяться можно по-разному и относиться к тому, что как-то нужно выделиться тоже можно по-разному. Отрицательная зависимость наблюдается тогда, когда человеку хочется выделиться любой ценой и делать это как можно чаще. Любой хакер, к примеру, это человек с отрицательной зависимостью от чувства собственной значимости. Примечание С точки зрения трансактного анализа отрицательную зависимость от чувства собственной значимости можно объяснить тем, что у такого человека слабая Взрослая компонента. Кстати, если у человека анализа слабый Взрослый (или в терминологии Фрейда слабое СуперЭго), то такому человеку достаточно лишь чуть-чуть польстить, и "он ваш". Как говорится, "что и не знал, расскажет, и что не мог, сделает". Люди, у которых, наблюдается этот, скажем так, недостаток, очень уязвимы для действий социальных хакеров. Им действительно, очень часто достаточно только чуть-чуть польстить, чтобы они сделали для вас все, что вы захотите. Другой недостаток таких людей в том, что они очень завистливы. А зависть, по меткому выражению А. Розенбаума, это такое чувство, которое "из очень хороших людей делает очень больших скотов и подчас за очень короткое время". Зависть — это корень всех интриг. Играя на зависти одного сотрудника предприятия к другому, можно сделать очень многое. В организации распознать сотрудника, склонного к отрицательной зависимости от чувства собственной значимости, можно несложно. Иногда для этого ему достаточно сделать лишь справедливое замечание по его работе. Нормальный человек, если замечание действительно справедливо и сделано в нормальном тоне, подумает, как сделать так, чтобы такого больше не повторялось. Тот же, кто слишком много о себе возомнил, будет реагировать примерно так. Во-первых, сначала он набычится. После этого демонстративно с вами не согласится: любую наукообразную чушь начнет плести, лишь бы продемонстрировать свое несогласие. А потом либо открыто обидится, и всем своим видом будет демонстрировать, как вы его оскорбили в лучших чувствах, либо эту обиду затаит. А теперь представим, к такому "оскорбленному сотруднику" подойдет менеджер конкурирующей организации, которая спит и видит, чтобы увести у вас парочку сотрудников вместе с клиентской базой. Подойдет такой менеджер, немного "за жизнь" поговорит, польстит, а потом и скажет: — Вижу, что вас здесь не очень-то ценят. А знаете что? Если хотите — пойдемте к нам? А? Зарплата лучше, условия лучше, коллектив лучше, и самое главное, клиентов вы будете искать не бесплатно, как здесь, а за отдельные деньги: 10% от сделки с каждого приведенного клиента (клиентская база то нужна, больше чем сам сотрудник, поэтому нужно его заинтересовать, чтобы он перетащил всех клиентов). И очень многие пойдут. Третье правило социальной инженерии гласит, что "Многие люди хотят, чтобы все хорошее, что только с ними в жизни может произойти, произошло как можно быстрее и желательно с минимальными усилиями с их стороны". Пример действия этого правила — тысячи обманутых вкладчиков того же пресловутого МММ, которые поверили, что вложив 100 рублей (отделавшись минимальными затратами) можно через год (и быстро, главное) получить миллион. Другой всем известный пример, это когда большинство людей голосуют за обещания кандидатов, в которых они на разный манер говорят одно и то же: "как только они придут, то все сразу будет хорошо". Четвертое правило говорит о том, что "многие люди существа исключительно жадные до денег". Или говоря по-другому, некоторые утрачивают чувство реальности после того, как перед их носом помахать купюрой. А если не купюрой, а чемоданчиком с купюрами, то чувство реальности утрачивается всерьез и надолго. Игра на этой слабости — один из основных приемов в социальной инженерии. Применяется в разных вариациях: от банального подкупа до "писем счастья", в которых сказано, что "если перечислите на этот счет два доллара, то через месяц получите двадцать". Социальная инженерия — это за редким исключением почти всегда игра на людских пороках и слабостях. К редким исключениям можно отнести, к примеру, излишнюю доверчивость. Хотя и здесь как сказать. О важности продумывания мелочейУспешный социальный хакер всегда продумывает все до мелочей. К примеру, если он пошел брать интервью, то у него будет заготовлена визитка, где будет написано, что он корреспондент такой-то газеты. Если вы позвоните по указанному номеру телефона, то тоже ничего странного не обнаружите, потому что трубку снимет девушка и обаятельным голосом произнесет: — Редакция газеты "Мир города". Светлана Куприянова. Здравствуйте. Договориться же о том, чтобы кто-то посидел на телефоне в течение пары часов — дело недолгое. Точно так же как договориться не только с девушкой, но и с мужчиной, который в случае чего скажет, что он главный редактор и попросит у интервьюируемого прощения за то, что "вот так вот, без предупреждения, прислали корреспондента, вы уж извините, номер горит, а информация о вашем предприятии как раз очень нужна, потому что ваше предприятие одно из значимых в нашем городе, но если конечно вы против, то Петр Семенович тут же уйдет и не будет вас беспокоить, но я очень вас прошу уделить ему времени, конечно, сколько сможете, я все понимаю, учитывая вашу занятость, как это трудно…". И ошалев от такой льстивой скороговорки генерального директора, вы соглашаетесь уделить время для интервью. Несколько правил ведения "интервью"• Обязательно польстите собеседнику, показав, что вы осведомлены о его значимости в компании. Делать это лучше или вначале, прямо во время вступления к интервью, или ближе к середине разговора. • Обязательно прорабатывайте все мелкие детали и постарайтесь узнать как можно больше информации об интервьюируемом и его деятельности еще до интервью.Люди раскрываются только перед теми, в ком они видят заинтересованного их персоной собеседника. Кроме этого, если вы "в теме", то у вас будет амплуа осведомленного человека, а по отношению к осведомленному человеку и процент доверия больше (мол, свой), и "внутренние тормоза" ослабевают (осведомленному и сболтнуть что-то лишнее не страшно, так как он наверняка и сам все это знает, а то что спрашивает — ну ему по плану его интервью там про это спрашивать положено. Однако не забывайте и говорить заведомо неверные вещи. Это тоже очень хороший прием, так как многим людям присуще желание показать свою значимость, и, как только вы покажете свою некомпетентность, они тут же станут вас поправлять. • Наберитесь терпения. Скрытый допрос требует терпения. Никогда не торопите события. Если ваш собеседник поймет, что вам надо от него нечто большее, чем просто интервью, он просто замкнется и начнет говорить о погоде. Из этой же серии совет о том, что на собеседника ни в коем случае не стоит "давить", насильно подводя его к нужному вопросу. • Внимательно слушайте собеседника. В течение всего времени интервью. Ни в коем случае нельзя делать так, чтобы показать свою заинтересованность каким-то конкретным вопросом. Потому что вас должны интересовать все вопросы, и тот вопрос, который вам действительно интересен, должен быть просто "одним из" в той череде вопросов, которые вы задаете. Желательно даже спланировать беседу так, чтобы интересующий вас вопрос задали не вы, а о нем стал говорить сам собеседник. Таким образом, вы должны так спланировать беседу, чтобы плавно подвести собеседника к интересующему вас вопросу. • Не оканчивайте интервью, сразу после того, как все узнали. После этого перейдите на нейтральные темы, и таким способом завершите разговор. Это важно не только из-за того, чтобы собеседник не заподозрил неладное, а еще и для соблюдения "закона края", согласно которому наилучшим образом запоминаются те моменты разговора, которые происходят в его начале и конце. А то, что в середине, соответственно, запоминается намного хуже. Вообще правилом хорошего тона в "вытягивании" информации является построение скрытого допроса так, чтобы собеседник вообще не узнал, что сболтнул что-то лишнее. Для этого надо соблюдать два простых правила, которые в 70% случаев приведут к нужному результату: — маскируйте значимые для вас вопросы чередой незначимых; — задавайте нужные вопросы в середине беседы, для того чтобы по закону края интервьюируемый забыл их первыми. • Оставляйте благоприятное впечатление об интервью у своего собеседника. Это важно, в первую очередь, для того, чтобы ваш собеседник имел желание продолжить общение в будущем. -
За последние четыре года преступники заработали более 25 млн рублей. Управление «К» МВД России задержало группу злоумышленников, сбывавших на потребительский рынок мобильные телефоны с предустановленным вредоносным ПО. Как сообщает «Росбалт», ссылаясь на пресс-центр МВД, шпионское ПО втайне от пользователя записывало его телефонные разговоры, перехватывало SMS-сообщения, переписки, а также фотографии и документы. Преступная группировка состояла из трех людей родом из Москвы, Йошкар-Олы и Республики Казахстан. Владельцем нелегального бизнеса был казах, который принимал заказы и организовывал встречи с клиентами, а также объяснял основы действия вредоносного ПО и способы его установки. Гражданин Йошкар-Олы занимался разработкой шпионского программного обеспечения, а также продвигал его в сети Интернет. Москвич исполнял обязанности курьера. На территории Центрального федерального округа группировка действовала более четырех лет, продавая вредоносное ПО своим клиентам, а также реализуя мобильные телефоны с предустановленными шпионскими программами. За это время было продано более 1000 телефонов, следящих за своими владельцами, а доходы преступников превысили 25 млн рублей. В настоящее время МВД ищет пользователей, купивших телефоны с предустановленным шпионским ПО. В отношении злоумышленников возбуждено уголовное дело по ст. 273 УК РФ.