![](https://hackyourmom.com/wp-content/uploads/2023/06/ewffewf07_computer_forensics_a_selection_of_useful_links_with_g_ccbb9793-8962-4f33-a63e-9a856f7a9f90-465x240.png)
Етичні міркування грають критичну роль у сфері соціальної інженерії, де використовуються методи та техніки маніпуляції людьми для отримання невідповідної до їхніх інтересів інформації або доступу до конфіденційних даних. Враховуючи потенційні наслідки цих дій, дотримання етичних принципів стає невід’ємною складовою ефективного та відповідального використання соціальної інженерії. Одним з головних етичних принципів у соціальній інженерії є заборона використання цих методів для шкідливих або незаконних цілей. Зловживання соціальною інженерією може призвести до фінансової шкоди, порушення конфіденційності даних, психологічної травми та порушення особистої приватності. Дотримання моральних принципів забезпечує, що соціальна інженерія використовується лише для законних та етичних цілей, таких як покращення безпеки та захисту інформації.
Інший важливий аспект етичних міркувань у соціальній інженерії полягає у відповідальному використанні отриманої інформації. Збирання даних про інших людей повинно здійснюватись з їхнього дозволу або в межах законодавства, а отримані дані повинні бути збережені конфіденційно та захищено від несанкціонованого доступу. Відповідальне використання отриманої інформації забезпечує дотримання приватності та довіри, що є невід’ємними аспектами етичної соціальної інженерії. Крім того, етичні міркування у соціальній інженерії також включають прозорість і комунікацію з використанням цих методів. Важливо, щоб учасники процесу були повідомлені про можливі ризики та наслідки, пов’язані зі збором інформації або маніпуляцією. Комунікація з потенційними жертвами соціальної інженерії сприяє збереженню довіри та запобігає можливим шкодливим наслідкам. Враховуючи етичні міркування у соціальній інженерії, можна створити ефективні та відповідальні підходи до захисту інформації та покращення безпеки. Забезпечення законності, відповідального використання інформації та прозорості в комунікації є ключовими складовими успішного застосування соціальної інженерії в етичному контексті.
На відміну від тестування безпеки мережі та веб-додатків, вплив соціальної інженерії може виходити за межі ноутбука або сервера. Коли ви взаємодієте з реальними людьми, ви повинні вживати особливих запобіжних заходів, щоб не нашкодити їм.
Ви також повинні ретельно дотримуватися законів вашої країни і враховувати фізичне місцезнаходження людей або підприємств, з якими ви потенційно можете взаємодіяти. Ви можете випадково порушити закони країни, де фізично знаходяться піддані вам люди або сервери, і, самі того не бажаючи, ви виявитеся злочинцем відповідно до чужих законів. Хоча, може і не бути юридичного прецеденту, який би наказував вам збирати OSINT-дані певним чином або взагалі забороняючи вам збирати OSINT-дані, деякі закони, такі як Загальний регламент Європейського Союзу про захист даних (GDPR), накладають на вас певні зобов’язання та наслідки щодо даних, які ви збираєте, а також суворо визначають, як ви повинні їх захищати. У цьому розділі викладено найкращі практики проведення соціальної інженерії та збору OSINT-даних у законний та етичний спосіб.
Етична соціальна інженерія
Почнемо з самої атаки соціальної інженерії. Займаючись соціальною інженерією, необхідно постійно думати про те, як буде себе почувати жертва в результаті ваших дій. Це непросте завдання, оскільки вам потрібно знайти способи показати, що компанія вразлива (як правило, тому, що співробітники не мають належної підготовки або погано організовані процеси), але зробити це, не завдаючи прямої шкоди репутації та кар’єрі людей, через яких ви розкрили вразливість.
Один із способів захистити людей – зробити їх анонімними в очах вашого клієнта, якщо це можливо. Наприклад, замість згадки про те, що Едуард з бухгалтерії перейшов за посиланням в фішинговому листі, напишіть в звіті, що один із співробітників фінансового відділу став жертвою фішингової атаки. При цьому слід враховувати розмір організації і можливість для колег вгадати особу жертви з наданих вами даних. Якщо ви працюєте у відносно невеликій компанії, вам не потрібно говорити, що її засновник розмістив занадто багато конфіденційної інформації в соціальних мережах, а замість цього говорити, що вище керівництво легковажно ставиться до конфіденційності в соціальних мережах.
Справжні погані хлопці, швидше за все, не будуть дотримуватися таких кордонів. Однак при тестуванні на проникнення ми не повинні копіювати все, що роблять погані хлопці. Замість нас вони будуть використовувати атаки типу «відмова в обслуговуванні» (атаки на мережі і системи, які перешкоджають доступу до них законних користувачів і служб, DDOS-атака); доксинг клієнтів, тобто розкриття їх особистої інформації, такої як адреса проживання, адреса електронної пошти та номер телефону; і розгортання програм-вимагачів (шкідливе програмне забезпечення, яке вимагає від жертв сплати викупу, щоб розблокувати його). Але ж ми не такі, чи не так?
Ось кілька порад щодо захисту людей у ваших проектах соціальної інженерії.
Беззастережно слід дотримуватися наступного правила: якщо люди просять вас припинити з ними розмову або якщо вони закінчують розмову, ви повинні зупинитися. Крім того, хоча ви можете переглядати публічні публікації жертви в соціальних мережах і створювати профіль атаки на їх основі, ви ніколи не повинні робити наступне:
використовувати особисті облікові записи (включаючи зв’язок з ними);
звертатися до цієї інформації поза робочими завданнями.
Уявіть, що хтось дошкуляє вас робочими питаннями, поки ви відпочиваєте вдома, та ще й робить це через особистий аккаунт в соціальній мережі. Це б вас дуже розсердило, чи не так? Прийнятне використання соціальних мереж для збору OSINT-даних включає пошук загальнодоступних даних про роботу, згадки про конкретне програмне забезпечення чи технологію або посилання на загальне ім’я користувача.
Коли справа доходить до соціальної інженерії, існує два основних правових аспекти: спуфінг (введення в оману) і запис дзвінків. На додаток до цих питань, одним з кращих способів уникнути юридичних проблем є атака тільки на ресурси, що належать компанії-клієнту, і максимально уникати взаємодії з особистими ресурсами співробітників.
У більшості країн діють закони, що забороняють підробку телефонних номерів абонентів. Якщо імітувати дії зловмисника відповідно до договору перевірки безпеки і дзвонити тільки на бізнес-номери клієнта, то, швидше за все, ви будете чисті перед законом. Трохи складніше йде справа із записами дзвінків, особливо коли запис робиться без явної згоди і навіть без повідомлення співрозмовника. Чи може компанія виступати в якості другої сторони, щоб дати згоду на запис розмов своїх співробітників, які вони ведуть за допомогою корпоративних засобів комунікації – сіра правова площина. Багато що залежить від того, що про це сказано в стандартному трудовому договорі з працівниками компанії. Якщо вас попросять записати дзвінки, будь ласка, зв’яжіться зі своїм адвокатом для подальших роз’яснень у вашому конкретному випадку.
Проблеми також можуть виникнути, якщо ви порушите правила користування послугами, що надаються третьою стороною. У 2019 році Майк Фелч з Black Hills Information Security опублікував пару постів в блозі про вибір програмних сервісів, які можна використовувати для фішингу. Ці публікації під назвою «Як очистити Google і почати спочатку» (частини I і II) діляться його досвідом використання G Suite (платформи продуктивності Google, тепер називається Google Workspace) як мішені, так і інструменту для атаки. Фелч пояснює, як він скомпрометував облікові дані та використовував CredSniper, щоб обійти багатофакторну аутентифікацію.
Тут історія приймає цікавий поворот. Блог був виявлений як Центром операцій безпеки клієнтів (SOC), так і SOC Google. У відповідь Google не тільки заблокував аккаунт Фелча, але і (імовірно за допомогою OSINT і власних алгоритмів виявлення) почав блокувати інші акаунти Майка і його дружини, навіть не пов’язані з сервісами Google, якими вони користуються. Мораль історії полягає в тому, що вам потрібно координувати свої дії з будь-якими іншими постачальниками послуг, яких клієнт може використовувати, щоб гарантувати, що вас не заблокують від усього, включаючи, як у випадку з Майком, навіть термостат у системі опалення будинку.
Після виконання операцій з використанням соціальної інженерії важливо правильно провести дебрифінг (дебрифінг) – оприлюднити вжиті заходи і отримані результати. Дебрифінг передбачає ознайомлення жертв з методами, які ви використовували, і інформацією, яку ви зібрали. Вам не потрібно розповідати всій організації, що Джейн з відділу кадрів використовує ім’я свого чоловіка Джона як пароль або що Медісон має стосунки зі своїм дядьком. Суворо дотримуватися анонімність повідомлення і не чіпати подробиць; Просто скажіть клієнту, що ви виявили, як деякі співробітники використовують імена своїх подружжя як паролі, або що ви легко отримали інформацію про їхні особисті дані.
Один із способів вирішити цю етичну проблему полягає в тому, щоб вести список тих, хто став жертвою нападу, і конфіденційно повідомляти їм, чому вони провалили тест, не згадуючи їх імен у звіті. Якщо ваша організація запитує цю інформацію, ви можете надати імена у відповідь на зобов’язання компанії не звільняти працівників. Цей пункт часто вказується в договорі між пентестери і їх замовниками. Якщо компанія не навчає своїх співробітників, буде несправедливо звільняти їх за порушення безпеки. З іншого боку, ваш звіт повинен чітко ідентифікувати людей, які зірвали атаку. Вони подбали про захист своєї організації, і їх послуги повинні бути визнані і винагороджені.
З організаційної точки зору керівництво повинно дати зрозуміти співробітникам, що сама компанія за ними не шпигувала. Їм повинно бути зрозуміло, що компанія заплатила комусь іншому за огляд, який передбачає збір інформації, а потім відфільтрувала зібрану інформацію і залишила її актуальною лише для бізнесу, зберігаючи особисте життя співробітників приватним. Крім того, організація повинна використовувати наданий вами звіт, а також найкращі практики та зразки сценаріїв атак для навчання співробітників, щоб вони могли бути більш безпечними.
Виступаючи з доповідями на таких конференціях, як DerbyCon, Hacker Halted і різних заходах Security BSides, я дотримуюся тих же правил, що і в доповідях. Ніколи не знаєш, чи є серед присутніх хтось, хто став жертвою нападу, тому намагайтеся не завдавати публічної ганьби іншим людям. Дотримуйтесь золотого правила: «Хваліть привселюдно, звинувачуйте особисто». Заохочуйте людей бути більш пильними і повідомляти про проблеми відповідним фахівцям.
Приклад: соціальна інженерія зайшла занадто далеко
У 2012 році герцогиня Кейт Міддлтон, вагітна принцом Джорджем Кембриджським, була госпіталізована через сильне ранкове нездужання. Незабаром про це дізналася громадськість і ЗМІ, і о 5:30 ранку в лікарню зателефонувала пара ведучих австралійських радіошоу, представилися королевою Англії і принцом Чарльзом. Ведучі вміло зображували їх вимова і запитували останню інформацію про стан Міддлтон. На дзвінок відповіла чергова на ресепшені медсестра. Вважаючи, що дзвінок був законним, супроводжуючий зв’язав жартівників з особистою медсестрою Міддлтон, яка розповіла різні подробиці про її стан.
Ведущие записали звонок и включили его в эфир. Программа привлекла огромное внимание и стала причиной международного скандала. Прежде чем больница успела предпринять какие-либо действия, медсестру нашли мертвий з ознаками явного самогубства. Принц Вільям і герцогиня Кейт виступили із заявою, в якій висловили глибоку скорботу з приводу інциденту і висловили співчуття близьким медсестри.
Це приклад соціальної інженерії, яка зайшла занадто далеко. Практичні жарти – це практичні жарти, але в якийсь момент під час дзвінка жартівникам довелося розкритися. Вони також не повинні були робити свої трюки доступними для широкої публіки. Згодом радіошоу закрили, а акаунти шоу і ведучих в соціальних мережах видалили. Власники радіостанції принесли офіційні публічні вибачення – занадто пізно після трагедії, якої можна було уникнути.
Хоча така поведінка більше схоже на дурний несмачний жарт, ніж на напад, інцидент цілком можна розцінювати як зловживання довірою жертви, адже діджеї діяли не в своїх інтересах. Якби вони не транслювали дзвінок, їхні дії могли б бути більше схожі на нешкідливе використання чужого авторитету, хоча найкращим рішенням було б взагалі не дзвонити.
OSINT-етичні рамки
Тепер, коли ми визначили правові та етичні межі соціальної інженерії, нам потрібно зробити те ж саме для OSINT. Багато з міркувань, згаданих раніше, застосовуються тут, але ставки, як правило, нижчі, оскільки, хоча інформація, яку ви отримуєте через OSINT-колекцію, може вплинути на добробут ваших уважних суб’єктів, ви не взаємодієте з ними безпосередньо. Однак це не означає, що слід без розбору збирати всі дані по кожному об’єкту.
Вам потрібно добре подумати про те, як довго вам потрібно зберігати будь-які дані, які ви збираєте, як їх знищити, яку цінність присвоїти даним, до чого призведе втрата даних і як хтось може спробувати їх скомпрометувати.
Цифрова криміналістика та правоохоронні органи часто використовують поняття ланцюга зберігання при роботі з даними. Ланцюг зберігання має на меті зберегти в безпечному середовищі будь-які зібрані докази з моменту збору до знищення. Для цього потрібно зберігати всі дані в спеціально відведеному безпечному місці. Наприклад, у співробітників поліції прийнято зберігати речові докази в спеціальній камері, який знаходиться в приміщенні, що охороняється. Особа, яка отримує доступ до цієї камери, повинна довести своє право доступу, підписати розписку про отримання речових доказів, а потім повернути її під підпис.
На жаль, дані в цифровому форматі можуть бути легко скопійовані, тому забезпечити ланцюжок безпечного зберігання трохи складніше, але це можливо, якщо вжити певних запобіжних заходів. Перш за все, це дотримання правил гігієни безпеки, про які ми поговоримо пізніше. Для кожного дослідження безпеки вам потрібна спеціальна віртуальна машина, яку ви будете використовувати виключно для цього розслідування. Апарат має бути зашифровано надійним паролем. Завершивши дослідження, забезпечте безпечне зберігання. Збережіть файли, з яких складається віртуальна машина, на окремий диск. Швидше за все, буде досить звичайного CD або DVD, але в деяких випадках може знадобитися накопичувач більшого розміру, наприклад, флешка або зовнішній жорсткий диск. В якості додаткового рівня безпеки ви можете зашифрувати сам диск і безпечно зберігати його, відключивши його від будь-яких комп’ютерів за допомогою фізичного обмежувача доступу, наприклад, звичайного сейфа.
Цифрова гігієна – це не що інше, як послідовне застосування найкращих практик безпеки. Забезпечте захист від шкідливих програм на своїх робочих пристроях і не використовуйте паролі повторно (і, звичайно, вибирайте надійні паролі). Ви також повинні використовувати менеджер паролів і багатофакторну аутентифікацію, коли це можливо. Це лише верхівка айсберга, але ці кроки застрахують вас від того, хто ставить під сумнів достовірність ваших даних, особливо якщо вони призначені для судового розгляду.
Щоб визначити цінність даних, подумайте, якої шкоди вони можуть завдати компанії або людині. Я ніколи не збираю і не зберігаю номери соціального страхування, але якби я це зробив, я б надав їм великого значення. Якщо я отримаю чиюсь адресу електронної пошти разом із паролем, я призначу їй найвищий рівень важливості. Виявлення цієї інформації вказує на те, що що організація або співробітник потенційно можуть постраждати від злому, оскільки люди, як правило, використовують однакові паролі. При цьому, якщо організація зможе довести, що даному користувачеві технічно заборонено використовувати відомий вам пароль, відомому паролю можна призначити низький рівень важливості. Простий пароль без прив’язаного до нього людини також матиме низьку цінність, хоча ви можете використовувати його для атаки на компанію за допомогою розпилення пароля. Під час розпилення паролів зловмисник використовує один пароль, намагаючись зламати кілька облікових записів, наприклад, використовуючи пароль за замовчуванням для всіх облікових записів, які він знає.
Коротше кажучи, захистіть свої конфіденційні дані, мінімізувавши доступ до системи, де вони зберігаються, підтримуючи їх в актуальному стані, відключаючи непотрібні служби, використовуючи надійні паролі та багатофакторну автентифікацію, коли це можливо. Шифруйте дані, коли це можливо. Навіть якщо хтось вкраде дані, це буде марно, якщо зловмисник не зможе зламати ключ шифрування.
У цьому розділі розглядаються можливі правові аспекти збору OSINT-даних. Поки я розглядаю європейський GDPR як приклад основного закону, що регулює OSINT, інші країни та юрисдикції прийняли аналогічні закони, пов’язані із захистом особистої інформації та відповідальністю за порушення даних. Збір OSINT-даних сам по собі не є витоком даних, але поки що жоден суд не виніс чіткого рішення про протилежне – що положення GDPR не застосовуються до OSINT. Тому вам слід розглядати GDPR або аналогічні внутрішні закони вашої країни як такі, що безпосередньо стосуються вашої діяльності.
Положення GDPR визначають, що ви можете робити з даними, що належать громадянам ЄС. Регламент спрямований на захист громадян і резидентів ЄС у зв’язку зі збором і використанням їх даних. По суті, це дозволило громадянам і резидентам ЄС, як споживачам, контролювати дані, які збираються з них і про них. Після прийняття GDPR у 2016 році бізнесу дали два роки, щоб привести свою діяльність у відповідність до вимог нового регулювання. З 25 травня 2018 року всі компанії по всьому світу, що працюють в ЄС, повинні відповідати GDPR.
Компанія, яка порушує GDPR, може бути оштрафована на 4% від її глобального річного доходу. Це має слугувати стимулом для захисту будь-якої інформації, зібраної про громадян ЄС (як в ЄС, так і за кордоном) та про людей, які відвідують ЄС.
Основний вплив GDPR на соціальну інженерію та OSINT полягає в тому, що закон дає людям можливість обмежувати збір іншими особами своєї персональної інформації (PI) та чутливої персональної інформації (SPI), що, в свою чергу, може значно зменшити поверхню атаки OSINT. Крім того, якщо персональні дані були вкрадені, а інформація стала загальнодоступною, це спричинить за собою величезні штрафи для компаній, які не забезпечили належного забезпечення зібраних ІП та СПІ.
Ще одним важливим положенням GDPR є право бути забутим. Це положення дозволяє фізичним особам ознайомитися з повним обсягом інформації, що зберігається про себе, що зберігається контролером даних, і вимагати негайного видалення їх PI або SPI.
Якщо ви працюєте в правоохоронних органах (державних, муніципальних або інших) або маєте ліцензію приватного детектива, у вас, напевно, є більше можливостей для збору і використання OSINT. Будь ласка, ознайомтеся з усіма чинними законами або проконсультуйтеся з юристом, перш ніж використовувати свої спеціальні повноваження в будь-яких операціях зі збору даних OSINT.
Наприклад, Американський союз громадянських свобод (ACLU) у 2012 році опублікував статтю, в якій попереджав про вкрай слизьку ситуацію використання великих даних та інших методів, включаючи OSINT, для виявлення потенційних злочинців до того, як вони порушать закон. ACLU обговорила практику отримання великих даних від правоохоронних органів, а потім використання цих даних для висловлення підозр у правопорушеннях щодо людей, які, можливо, не порушували закон, оскільки припущення про нього виникали виключно з комп’ютерних прогнозів. Джей Стенлі, автор статті ACLU, стверджує, що такий підхід до аналізу сприятиме неконтрольованому збільшенню обсягу зібраної інформації, з поважними причинами або без них. Це може призвести до того, що люди потраплять у поле зору кримінального правосуддя без належної правової процедури – просто тому, що «дані так сказали».
Якщо ви уклали договір на проведення пентесту та заходів соціальної інженерії як фізична особа, це не звільняє вас від необхідності дотримуватися законів про збір, захист і зберігання персональних даних. У деяких країнах і регіонах діють закони, які обмежують проведення OSINT-заходів фізичними особами навіть суворіше, ніж для юридичних осіб і правоохоронних органів.
Висновок: Тільки ви несете відповідальність за дотримання законів у районі, де ви та ваша жертва працюєте. Перш ніж приступити до збору OSINT, найкраще про всяк випадок проконсультуватися з місцевим юристом, який має специфічні знання законів, пов’язаних з цифровими даними, інформаційним бізнесом і безпекою.
Тематичне дослідження: Етичні обмеження соціальної інженерії
Наступний випадок стався, коли я був консультантом, який допомагав групі пентестерів. Мені довелося зателефонувати по телефону 25 потенційним цілям і написати рапорт на дзвінки. Компанія не надала мені приводу для дзвінка. (Деякі клієнти люблять надавати готовий сценарій дзвінка, хоча я вважаю за краще створювати власний, щоб переконатися, що співробітники не були заздалегідь поінформовані про огляд.)
Я зробив вигляд, що проводжу опитування організаційних компетенцій, яке придумав, щоб дозволити собі ставити досить нав’язливі запитання жертвам під приводом завдання від генерального директора. Організація надала мені список номерів, але без вказівки назв і назв кафедр. Оскільки сліпий дзвінок на номер зазвичай не призводить до успіху, мені довелося провести більше досліджень. З наданих номерів телефонів один виявився номером відділення поліції, а два інших – номерами місцевих судів. Я поговорив про це зі своїм менеджером, і ми вирішили відкинути їх з обережності.
Потім я підробив свій номер, щоб він виглядав як номер телефону Nielsen, який зазвичай проводить опитування для інших організацій. Я стверджував, що проводжу опитування, уповноважене генеральним директором організації, щоб з’ясувати, що співробітники знають про робоче місце та інші відділи організації. Було поставлено ряд запитань, таких як наступне.
Як давно ви працюєте в цій організації?
Чи є у вас доступ до бездротового інтернету? Якщо так, то яке ім’я мережі або точки доступу (SSID)?
Чи є у вас торгові автомати поблизу вашого робочого місця?
Який у вас комп’ютер? Операційна система?
Яку марку антивіруса ви використовуєте?
Чи знаєте ви імена охоронців на блокпосту?
Як звали вашу матір до того, як вона вийшла заміж?
Чи можете ви навести приклад попереднього або поточного пароля, який ви використовуєте?
В якості додаткового заходу безпеки я не записував дзвінки і проводив їх у приватному місці. Через деякий час кілька людей дали мені дівоче прізвище своєї матері, але паролі мені ще ніхто не давав.
Тоді я зателефонував за офіційним контактним номером організації. — відповіла приємна дама років шістдесяти. Ми обмінялися приємними побажаннями, і я пояснив суть дослідження. Вона погодилася допомогти, чим зможе, але сказала мені, що не дуже підкована в техніці.
“Я теж, – сказав я, – тому що я роблю невелике опитування на неповний робочий день, поки я навчаюся в коледжі ACME з психології”. Ми засміялися, і я почав опитування.
Я пройшла по стандартному списку. Вона відповіла на перші шість питань, але коли я запитав у неї ім’я її матері перед тим, як вона вийшла заміж, вона відповіла, що я задаюся питанням про відновлення пароля, відповідь на який вона нікому не повинна говорити. Я погодився рухатися далі, сказавши їй, що мені не завжди подобаються питання, які мені доводилося задавати. Я нагадав їй: що вона завжди може відмовитися відповідати на питання. Коли я попросив у неї пароль, який вона часто використовувала, вона завагалася, потім зітхнула і сказала мені: «Пахта»
“Пахта?” – запитав я.
Щоб налагодити з нею стосунки, я поділився правдивою історією про те, як у дитинстві я любив їсти покришену пахту кукурудзяного хліба, коли відвідував свого покійного дідуся.
Жінка розплакалася. Коли я запитала, чи все в порядку, вона відповіла, що кукурудзяний хліб з пахтою був улюбленою стравою її покійного чоловіка. Я відразу відчув себе приголомшеним. Вона сказала мені, що це буде його день народження на майбутній День подяки і що вона втратила його близько трьох років тому через рак.
Що робити в таких випадках? Я вирішив залишитися в характері, але спілкувався з нею, поки не був упевнений, що вона заспокоїлася. Було б неетично просто покласти трубку і перейти до наступного дзвінка. Ми згадували членів нашої покійної сім’ї, людей по сусідству, обговорювали погоду та інші традиційні теми для світських розмов.
Перш ніж закінчити розмову, я запитав її, чи все гаразд. Поклавши слухавку, я поговорив з керівником команди, розповів йому історію і сказав, що краще більше не дзвонити того дня. Він погодився, тому я переключився на інший проект, який не передбачав дзвінків.
Пахта – це рідкий залишок після збиття цільного молока у вершкове масло.
Основні правила опитування такі: завжди дозволяйте людям відмовитися від участі у розмові. Ви можете спробувати обережно вмовити їх продовжити, але не тисніть занадто сильно. Якщо вони відмовляться, просто йдіть далі. Якщо ви почуваєтеся впевнено, запитайте пізніше ще раз, але якщо вони знову скажуть «ні», зупиніться. Сила не допоможе вашій справі; задаючи делікатні питання, переконайтеся, що ви знаходитесь в тихому та безпечному місці, де вас ніхто не почує. Уникайте запису розмови, якщо ставите такі запитання; якщо ви запідозрили, що своїми питаннями зачепили когось за живе, знайдіть час, щоб заспокоїти його, або передзвоніть пізніше, або припиніть спілкування, залежно від того, що підходить для вашої кампанії; зв’яжіться зі своїм керівництвом, якщо ви опинитеся в ситуації, подібній до моєї. Вони повинні знати про подію на випадок, якщо згодом ваш співрозмовник зв’яжеться з ними, але вони також повинні знати про вашу душевну рівновагу та все, що може вплинути на вашу роботу.
Ми використовували матеріали з книги “Соціальна інженерія та етичний хакінг на практиці”, які були написані Джо Греєм.