Я всегда сообщаю необходимую информацию своим клиентам. Например, перед проведением фишинговой кампании обязательно предупреждаю контактное лицо о том, что атака состоится завтра. (Хотя, конечно, все зависит от условий заказа: в некоторых случаях я делаю это только постфактум.) То же самое касается и вишинга. Причем этот момент крайне важен в случае, если в ходе атаки я планирую имперсонацию. Я договариваюсь с контактным лицом о том, когда буду на месте, чтобы в случае, если что-то пойдет не так, можно было обратиться к нему.

Так, один раз меня поймали «с поличным». Хотя нет, не совсем так: сам клиент попросил меня сообщить охраннику, что я провел пентест — но уже после того, как я справился бы с задачей. Я несколько раз повторил, что считаю эту идею неудачной, но заказчик настоял на своем. В результате случилось вот что.

Я притворился специалистом по починке пресса для мусора и успешно проник на территорию компании, причем находился там столько, сколько мне требовалось, совершенно без сопровождения. На выходе я сказал охраннику:

— Сэр, прежде чем я уйду, мне нужно кое-что сообщить вам. Меня зовут Крис, а не Пол, как написано на бейдже. И я не тот, за кого себя выдавал. Я провожу так называемые пентесты: проверяю безопасность здания и эффективность систем защиты.

Лицо охранника покраснело от ярости, он потянулся к электрошокеру.

— Вы кто? Меня что, теперь уволят? — прошипел он.

Я попытался успокоить мужчину:

— Ну что вы, об увольнении речи не идет. Это всего лишь проверка, чтобы руководство компании могло разработать новые инструкции и усовершенствовать систему безопасности.

Но охранник не слушал меня, он вызвал по рации главу службы безопасности и нажал на кнопку, блокирующую двери, чтобы я никуда не убежал.

Когда пришел его начальник, охранник злобно начал описывать ситуацию, а когда я попытался вставить свои пять копеек, раздраженно закричал:

«С вами, Крис, Пол или как вас там, никто сейчас не разговаривает!»

Я ответил:

— Сейчас я покажу вам один документ, прочтите его, пожалуйста.

Я достал из кармана и отдал ему письмо, которое называю «спасающей от тюрьмы бумагой». В нем было подробно описано, кто я, что делаю и кто мне это разрешил. Кроме того, внизу значились номера телефонов людей, которые могли подтвердить мои слова.

Но, прочитав письмо, начальник охраны спросил:

— А как мне проверить, не подделка ли ваше письмо? А, Крис?

— Отличный вопрос. Вы можете позвонить по одному из указанных в нем номеров, — ответил я насколько мог убедительно.

— По этим номерам я звонить не буду. На том конце провода может оказаться ваш подельник, сидящий в фургоне неподалеку.

(«Черт, — подумал я. — А ведь он прав. Надо будет учесть это при подготовке к следующей операции. Спасибо, мистер начальник службы безопасности».)

— Я лучше позвоню человеку из руководства, которого знаю лично.

Он сделал это, и я услышал голос его знакомого в трубке: «Ничего я не знаю ни про какой пентест. Вызывай полицию!»

Меня отвели в служебный офис и заперли там в кладовом шкафу (серьезно!). К счастью, в спешке охранники забыли отобрать у меня телефон и отмычки. Так что через несколько минут я выбрался из шкафа, открыл дверь офиса, вышел в коридор и уже оттуда дозвонился своему контактному лицу, попросил его сейчас же разобраться с возникшей ситуацией. К счастью, днем ранее я предупредил его о планируемой атаке. Вскоре я уже уходил восвояси, причем обошлось даже без применения электрошокера.

Эта история показывает, почему так важно в нужное время сообщать нужным людям нужную информацию. Да, это звучит слишком обобщенно, ведь в нашей работе нет стандартных ситуаций: каждый клиент в каждой конкретной ситуации предъявляет нам свои требования и диктует особые правила. И одни клиенты гораздо больше нуждаются в обратной связи, чем другие. Так что просто помните: вы — профессиональный социальный инженер, и ваша задача заключается в том, чтобы клиент остался доволен.

Отказ от использования сценариев

Этот совет в первую очередь важен для представителей С-типа по модели DISC. Обычно они детально прописывают каждый шаг своих будущих действий (подробное описание коммуникативных профилей и модели DISC вы найдете, вернувшись к третьей главе). Когда вы используете сценарий в процессе вишинга или реализации легенды, то лишаете себя гибкости, динамичности. А я могу гарантировать только одно: ни одна атака не пройдет строго по плану. Так что умение подстраиваться под обстоятельства существенно повысит процент успешных операций в вашем портфолио.

Резюме

Я рекомендую периодически повторять шесть правил легендирования и оттачивать навыки их применения. Помните: каждый последующий принцип основан на предыдущем. А вместе они помогут добиться большей эффективности в роли социального инженера.