Соціальна інженерія є важливою та актуальною темою у сфері кібербезпеки та захисту інформації. Цей термін відноситься до широкого спектру методів та технік, які використовуються для маніпуляції людьми з метою отримання невідповідної до їхніх інтересів інформації, конфіденційних даних або доступу до захищених систем. Суть соціальної інженерії полягає в тому, щоб використати людську природу та вразливості, заманити їх у пастку та переконати здійснити небезпечні дії. Це може бути здійснено через використання маніпулятивних технік, які базуються на довірчості, необережності або незнанні людей. Серед поширених прикладів соціальної інженерії є фішинг-атаки, де зловмисники намагаються отримати конфіденційні дані, наприклад, паролі чи номери кредитних карток, шляхом вимушування потерпілих натиснути на посилання або розкрити інформацію по телефону.
Іншим прикладом є соціальний інженеринг у фізичній формі, коли зловмисники використовують соціальні ситуації або вимагають доступ до обмежених приміщень або систем, використовуючи хитрість, переконливість або підступ. Запобігання соціальній інженерії вимагає поєднання технологічних та людських заходів. Основними кроками є освіта та навчання користувачів щодо потенційних загроз та методів маніпуляції, посилення свідомості щодо безпеки інформації, використання комплексних паролів та багаторівневої аутентифікації, регулярне оновлення програмного забезпечення та встановлення надійних антивірусних програм. Організації також повинні вживати заходів для захисту від соціальної інженерії, включаючи установку міцних систем безпеки, обмеження доступу до конфіденційних даних, здійснення перевірок з огляду на робоче місце та прийняття політик, що регламентують обробку конфіденційної інформації. Вищезгадані заходи є лише деякими засобами для захисту від соціальної інженерії, але вони відіграють важливу роль у попередженні атак та захисті цінних даних. Зрозуміння принципів соціальної інженерії та вживання відповідних заходів безпеки допоможуть зберегти інформацію від несанкціонованого доступу та запобігти потенційним загрозам.
Соціальна інженерія (social engineering) – це будь-яка атака, яка використовує людську психологію для на ціль, змушуючи її або виконати потрібну дію, або надати секретну інформацію. Ці атаки відіграють важливу роль в індустрії інформаційної безпеки та хакерському співтоваристві, але ми регулярно зустрічаємо приклади такої поведінки у своєму повсякденному житті. Наприклад, відділи продажу та маркетингу часто використовують тактику соціальної інженерії.
Продавець, який обдзвонює потенційних клієнтів, може спробувати вплинути на людей на іншому кінці лінії, запропонувавши вирішення їхніх проблем. Діти часто посилаються на «крутих хлопців», щоб досягти бажаного у своїх батьків, у той час як батьки можуть перебільшувати негативний ефект від неправильної поведінки дитини (згадайте, якими наслідками вас лякали дорослі, якщо ви будете їсти багато солодкого).
Що таке соціальна інженерія? Багато хто з тих, хто читає цю книгу, мабуть, відповідав на дзвінок «служби безпеки банку» або отримував електронний лист від «нігерійського принца». Багато людей, у тому числі я, отримували фішингові листи з погрозами злому поштової скриньки та пропозиції оновити паролі від соцмережі на підробленому сайті. Ця книга навчить основ соціальної інженерії з погляду пентестера1.
Представлені тут концепції допоможуть вам краще зрозуміти, як використовувати соціальну інженерію з етичної точки зору, копіюючи тактику зловмисника, щоб виявити слабкі місця в системі безпеки, які ви зможете виправити пізніше. На відміну від справжніх зловмисників у вас буде дозвіл на проведення атак соціальної інженерії, і ви не навмисно завдаватимете шкоди об’єктам атаки.
У розділах описані компоненти соціальної інженерії, включаючи найпоширеніші види атак. Як пентестер, ви можете застосувати будь-яку з них, але я зазвичай дотримуюсь суворих етичних обмежень, уникаючи використання особистих ресурсів співробітників, включаючи їхні мобільні пристрої, облікові записи соціальних мереж і домашні комп’ютери. Погані хлопці рідко обмежують себе мораллю, але це не означає, що ви повинні наслідувати їх у всьому, коли проводите тестування! Ми обговоримо цей момент у розділі 2.
Прийменник
Відповідно до концепції соціальної інженерії привід (pretexting) – це акт видачі себе за когось. Ви можете надіти чужу уніформу, розповісти вигадану передісторію або створити фіктивний привід для контакту. Я використовую цей термін для позначення будь-якого приводу для розмови з жертвою. Якщо, наприклад, ви заявили охоронцеві на прохідній, що працюєте в компанії з обслуговування сміттєвих баків, тримайте в руках блокнот і одягнені в уніформу компанії – це і є привід.
Розвідка по відкритим джерелам
Розвідка по відкритим джерелам (OSINT) – це збір інформації про вашу мету із загальнодоступних ресурсів. Джерела OSINT включають газети, пошукові системи, документи різних регулюючих органів, соціальні мережі, рекламу та оглядові сайти, і це неповний перелік. OSINT допоможе вам вигадати привід для контакту. 1 Пентест (pentest) – це скорочення від penetration test, т. е. тест на вторгнення в закриту область (наприклад, корпоративну мережу).
Пентестер – це спеціаліст з інформаційної безпеки, якого наймають для перевірки надійності захисту від вторгнень. – Прим. перев. 20 Розділ 1 OSINT може підтримати або зруйнувати ваші зусилля по соціальній інженерії, тому що для досягнення успіху вам часто потрібно знати важливі подробиці про компанію-жертву та її співробітників. Яку віртуальну приватну мережу вони використовують? Які ще технології вони використовують у своїй роботі? Яке фізичне планування будівлі організації? Знаючи цю інформацію, ви зможете значно спростити взаємодію. Декілька провідних фахівців із тестування на проникнення сказали мені, що оптимальне відношення часу, що витрачається на збір даних OSINT, до часу, витраченого на фактичне проникнення, коливається від 30/70 до 70/30.
OSINT може зробити або зруйнувати ваші зусилля з соціальної інженерії, тому що для того, щоб бути успішним, вам часто потрібно знати важливі деталі про компанію-жертву та її співробітників. Яку віртуальну приватну мережу (VPN) вони використовують? Які ще технології вони використовують у своїй роботі? Яке фізичне планування будівлі організації? Знаючи цю інформацію, можна значно спростити взаємодію. Кілька провідних тестувальників на проникнення сказали мені, що оптимальне співвідношення часу, витраченого на збір OSINT-даних, до часу, витраченого на фактичне проникнення, коливається від 30/70 до 70/30.
Це, мабуть, найпоширеніша форма соціальної інженерії. Фішинг (риболовля) – це розсилка шахрайських електронних листів з метою вплинути на жертву або змусити її надати інформацію, відкрити файли або перейти за посиланнями. Далі в цій книзі я розповім про різні методи, які ви можете використовувати для цього.
Звичайні фішингові електронні листи, як правило, не адресовані якомусь конкретному одержувачу. Замість цього вони відправляються на величезні списки адрес електронної пошти, куплених шахраями і злочинцями. Це означає, що ви можете надіслати електронний лист великій кількості людей, не збираючи OSINT про них. Наприклад, практично не знаючи контексту жертви, ви можете надіслати універсальний електронний лист, який спробує обдурити користувача, щоб він увійшов на шахрайський веб-сайт або завантажив файл. Коли жертви відкривають файл, на їхньому комп’ютері може бути відкритий віддалений доступ до оболонки командного рядка або встановлено шкідливе програмне забезпечення. Після того, як зловмисники запустили віддалену оболонку або встановили шкідливе програмне забезпечення, вони можуть інтерактивно взаємодіяти з системою та виконувати атаки запуску експлойтів та ескалації привілеїв, щоб продовжувати компрометувати систему та мережу.
Іноді комплекти експлойтів (програмне забезпечення, яке використовується для здійснення інших атак і завантаження шкідливих програм) використовують фішинг для поширення шкідливого програмного забезпечення. Згідно зі звітом про загрози безпеці Symantec Internet Security Report (ISTR) за 2018 рік, 0,5% всього трафіку URL-адрес є фішинговим, а 5,8% цього трафіку шкідливим. Це 1 з 224 всіх URL-адрес!
Однак прості фішингові атаки, подібні до описаної вище, не є поширеними в етичному хакерстві та тестуванні на проникнення. Якщо клієнт наймає вас для проведення тесту на проникнення, можна з упевненістю припустити, що він достатньо компетентний в області безпеки, щоб уникнути простої фішингової атаки.
Спис-фішинг – це тип звичайного фішингу, в якому фахівець із соціальної інженерії зосереджується на певній цілі. Якби ви були рибалкою, який використовує спис, а не мережу, вам, ймовірно, потрібно було б знати, як поводиться кожен вид риб і як до них наблизитися. Аналогічним чином, вам, як пентестеру, потрібно буде збирати, агрегувати та використовувати OSINT про вашу цільову компанію або особу, правильно підстерігати їх.
ISTR стверджує, що спис-фішинг є вектором номер один у цілеспрямованих атаках. У звіті за 2018 рік підраховано, що 71% організованих груп, включаючи національну розвідку, кіберзлочинців і хактивістів, використовують фішинг для досягнення своїх цілей. У 2019 році цей показник знизився до 65%.
Якби ви були пентестувальником з акцентом на соціальну інженерію (або консультантом у фірмі, де інші компанії платять вам за те, щоб ви діяли як зловмисники), ви, ймовірно, витратили б більшу частину свого робочого часу на розробку фішингу. Це найпоширеніші атаки, з якими стикаються компанії, і вони вимагають найменшої кількості прямої взаємодії, роблячи їх більш доступними для потенційних клієнтів.
Ви б почали з OSINT-розслідування в напрямку комп’ютера жертви або конкретної людини. Наприклад, ви можете отримати інформацію про постачальників послуг, якими вони користуються. Потім створіть фішинговий електронний лист, в якому сказано, що ви є представником страхової компанії і хочете уточнити деякі дані. Ви вставляєте логотип страхової компанії в електронний лист разом із формулюваннями, специфічними для таких компаній, а потім відправляєте жертву на клон реального веб-сайту компанії, щоб спробувати отримати їхні облікові дані або змусити їх завантажити файл.
Голосіння (китобійний промисел, китобійний промисел) – це фішинг, спрямований на «велику рибу» – як правило, топ-менеджерів компанії. Проводячи тести на проникнення за допомогою соціальної інженерії, я виявив, що ці люди заслуговують більшої довіри, ніж багато інших. Вони також зазвичай мають більше прав доступу, ніж звичайний користувач. Наприклад, це можуть бути локальні адміністратори в системі компанії. Потрібно по-іншому підходити до атак на цих людей, ніж фішинг або спис-фішинг, тому що ці люди мають інші мотиви та інтереси, ніж, скажімо, звичайний допоміжний або торговий персонал.
Уявіть, що ваша мета – фінансовий директор компанії. Можна спробувати скласти валяється лист від імені відділу кадрів, щоб налагодити додаткові відносини з потенційною жертвою. Ви можете персоналізувати електронний лист, згадавши ім’я та посаду, або торкнутися інших ключових особливостей компанії жертви, які повинен знати лише одержувач або відділ кадрів. Або, можливо, вам доведеться застосувати зовсім інший сценарій за участю торгової організації або професійної групи, до якої належить ваша ціль. OSINT може служити джерелом професійного жаргону, який можна видати за власний.
У вішингу зловмисник дзвонить жертві і розмовляє з нею по телефону. Вішинг часто складніше, ніж фішинг, оскільки вимагає навичок імпровізації. Хоча фішинг дає вам час подумати про те, що ви хотіли б сказати, перш ніж надсилати електронний лист, за допомогою вішингу вам потрібно скласти розмову на ходу та пам’ятати про це до найдрібніших деталей. У вас також може виникнути купа проблем: потерпілий не відповідає на телефонні дзвінки; ви неправильно зрозуміли, хто кому підпорядковується в компанії; Ви випадково зателефонували від імені людини, яка сидить в тому ж кабінеті, що і жертва, або використали неправильний акцент або стать.
Перевага вішинга в тому, що ви відразу можете побачити результат своєї атаки. Надсилаючи електронний лист, вам потрібно дочекатися, поки одержувач відкриє повідомлення, натиснути на посилання та ввести дані. Хоча це займає більше часу, ніж фішинг (особливо коли є багато потенційних жертв), ви можете завдати набагато більшої шкоди за коротший період за допомогою успішної кампанії вішингу.
Під час цих зустрічей ви, швидше за все, підробите номер телефону за допомогою спеціального додатка або іншого програмного забезпечення і зателефонуєте комусь під певним приводом. Під час дзвінка ви встановлюєте зв’язок зі своєю жертвою, а потім намагаєтеся змусити її виконати дію або надати інформацію.
Ви можете сказати, що проводите опитування, а можете сказати, що є клієнтом, постачальником або покупцем. Ви запитаєте у них інформацію, що стосується вашого приводу, а потім задокументуєте її у своєму звіті.
Будьте обережні, записуючи ці дзвінки. Намагайтеся отримувати і фіксувати тільки мінімально необхідну службову інформацію, яка не підпадає під дію законодавства про розголошення персональних даних медичної або банківської таємниці. Перш ніж проводити будь-яке тестування таким чином, розсудливий тестувальник або фірма повинні проконсультуватися з юристом, щоб переконатися, що всі дії є законними.
Іноді, можна використовувати приманку, щоб змусити жертву виконати потрібну дію. Традиційно в цій якості використовувалися USB-накопичувачі, але зараз можна скористатися більш сучасним варіантом у вигляді QR-коду, щоб змусити жертву завантажити шкідливий код.
Можна завантажити підроблені документи на USB-накопичувач або на спеціальний пристрій, який хакери називають Rubber Ducky, а потім покласти цей пристрій в пакет з привабливим написом типу «список на звільнення / підвищення», «виплата премій», «звітувати перед генеральним директором» і т. д. Потім викинути приманку на парковку, біля входу в офіс або в коридор компанії-жертви.
Використання «гумової качки» має свої переваги. За допомогою цього пристрою ви можете завантажувати шкідливі скрипти на пристрій разом із законними файлами. Підключення качки до комп’ютера обходить будь-які засоби захисту від втрати даних (програмне забезпечення або апаратні рішення, які запобігають переміщенню файлів із комп’ютера через USB-накопичувач, електронну пошту або протокол, наприклад FTP або SCP), оскільки він імітує USB-клавіатуру. Якщо ви Використовуючи звичайний USB-накопичувач, вас може зупинити програмне забезпечення для запобігання втраті даних, встановлене на комп’ютері жертви. На відміну від них, «качка» відкриє файл і розгорне корисне навантаження (скрипт або інструмент, який допомагає отримати бажаний результат).
Ви можете використовувати приманку для віддаленого доступу до оболонки командного рядка в системі, що в подальшому дозволить взаємодіяти безпосередньо з головним комп’ютером. Але домогтися успіху з приманкою непросто, адже важко гарантувати, що вона дістанеться жертві і що оболонка, з’єднання або інформація з вашого робочого комп’ютера виявляться в межах вашої досяжності. Користувачі можуть забрати диск додому та підключити його до домашнього комп’ютера, на атаку якого у вас не буде дозволу.
Ймовірно, найменш привабливою технікою соціальної інженерії є копання вмісту сміттєвих баків або пакетів зі сміттям, зібраних з офісу компанії-жертви, а потім винесення їх за межі офісу для аналізу та збору інформації. Ви можете дізнатися багато нового про організацію і знайти саме те, що шукали. Подумайте про речі, які ви викидаєте. Деякі з них надзвичайно особисті. Однак пакети для сміття можна заповнити залишками з офісної їдальні, які не мають нічого спільного з секретами компанії.
Для такого типу розвідки вам, швидше за все, доведеться прикинутися співробітником сміттєвої компанії і придумати якусь історію, щоб потрапити на місцеве сміттєзвалище. Опинившись там, перше, що потрібно зробити – зібрати кілька пакетиків зі сміттям, винести їх за межі офісу і спокійно оглянути вміст.
Колупаючись у смітниках, ви, ймовірно, захочете використовувати рукавички та респіратор. Ви навіть можете підняти місцеву економіку і найняти старшокласників або студентів коледжів для виконання брудної роботи. Конспектуйте знайдене, читайте будь-які письмові матеріали і склеюйте між собою всі розірвані документи. Те, що ви знайдете, може бути як кінцевою метою проникнення, так і сходинкою до чогось більшого.
Психологічні концепції в соціальній інженерії
На відміну від традиційної інформаційної безпеки, яка запозичує поняття з інформатики, системного адміністрування, програмування та адміністрування баз даних, соціальна інженерія запозичує більшість своїх понять з психології. З цієї причини фахівці з соціальної інженерії повинні добре розбиратися в психології та поведінці людини.
Працюючи над докторською дисертацією (яку я так і не закінчив), я більше часу приділяв читанню психологічних і соціологічних журналів, ніж журналів з інформатики. Я все ще час від часу переглядаю товсту папку, повну наукових статей, і користуюся доступом до академічних журналів, щоб отримати нову інформацію. У цьому розділі я розглядаю деякі основні психологічні поняття, корисні для соціальної інженерії.
Гумовий Ducky Hak5 – це пристрій з мікрокомп’ютером всередині, укладений в чохол, ідентичний звичайному USB-накопичувачу, який виконує роль клавіатури і може вводити дані в систему так, як якщо б користувач набирав їх сам.
Вплив – це нейтральний термін, який позначає діяльність людини, яка мотивує інших до певного результату. Вплив може бути позитивним або негативним. Прикладом впливу може бути розмова лікаря з пацієнтом про стан його здоров’я, зміни способу життя, які вони повинні зробити, і ризики, з якими вони стикаються, щоб надихнути пацієнта жити здоровим життям.
Маніпуляція
Поза світом психології люди зазвичай не бачать різниці між маніпуляцією і впливом. Але серед фахівців ці терміни мають абсолютно різне значення. Маніпуляція – це згубний вплив, зазвичай спрямоване на заподіяння шкоди. У соціальній інженерії і зловмисники, і пентестери з добрими намірами часто використовують маніпуляцію замість впливу через недостатню підготовку або необдуманість.
Взаєморозуміння (взаєморозуміння)
Коротше кажучи, взаєморозуміння – це взаємна довіра . Більшість словників визначають взаєморозуміння як «дружні, гармонійні відносини» і додають, що такі відносини зазвичай «характеризуються згодою, взаємною довірою або співпереживанням, що робить спілкування можливим або легким». Американська психологічна асоціація (APA) спирається на це визначення, кажучи, що «встановлення зв’язку з клієнтом у психотерапії часто є важливим проміжним елементом Метою терапевта є полегшення та поглиблення терапевтичного досвіду та сприяння оптимальному прогресу та вдосконаленню ».
Як і психотерапевти, фахівці з соціальної інженерії намагаються встановити контакт зі своїми суб’єктами, щоб завоювати їх довіру. Для побудови взаєморозуміння вони часто покладаються на спільний досвід (реальний чи уявний), грають на інтересах жертви та підкреслюють власні риси характеру. Ви можете використовувати OSINT, щоб дізнатися про симпатії та антипатії жертви.
У своїй книзі «Психологія впливу» психолог Роберт Чалдіні детально описує взаємозв’язок між впливом і маніпуляцією. Доктор Чалдіні виділяє шість основних принципів впливу: авторитет, привабливість, терміновість і дефіцит, сталість і послідовність, соціальний доказ , взаємність.
Давайте докладніше розглянемо ці принципи і їх застосування
Люди, як правило, виконують певні дії, коли хтось із авторитетів просить їх зробити це, або коли їх змушують повірити (правдиво або під неправдивими приводами), що та сама дія виконується авторитетною фігурою. Мені подобається використовувати посилання на впливових осіб у вішингу. Наприклад, я можу зателефонувати і сказати, що дію за дорученням генерального директора, CISO або відповідно до певного закону.
Використання повноважень може бути дуже ефективним. Майте на увазі, однак, що ніколи не варто прикидатися співробітником правоохоронних, податкових служб, митних та інших державних організацій, які мають особливі повноваження по збору конфіденційної та іншої інформації. Це незаконно!
Люди, як правило, прагнуть допомогти тим, кого вони вважають милими і привабливими. Ви коли-небудь зустрічали продавця, який хоча б не намагався виглядати як приємна людина? Швидше за все, він зробить вам компліменти за одяг, зовнішній вигляд і розум, щоб завоювати вашу прихильність.
Якщо є ризик, що людина щось не отримає, він починає хотіти цього набагато більше. Нещодавно я скористався акцією місцевого тренажерного залу. В процесі реєстрації на сторінці сайту з’явився таймер, який попереджав мене, що на завершення процедури залишилася одна хвилина, інакше мене виключать зі списку пільгових клієнтів. В якості експерименту я тричі проходила процедуру реєстрації. Перші два рази я входив з однієї і тієї ж IP-адреси протягом хвилини. Третій раз витратив близько п’яти хвилин, а таймер просто скидався без наслідків кожен раз, коли хвилина закінчувалася.
Мораль історії: тренажерний зал намагався терміново змусити мене записатися на щось, що може принести мені користь, а може і ні. Таймер дає потенційним клієнтам штучний ліміт часу і відчуття, що вони втратять щось важливе, якщо не будуть діяти швидко.
У фішингу багато шахраїв стверджують, що продають або віддають щось, чого існує лише невелика кількість. Щоб спонукати жертву діяти, будь то натискання на посилання або введення інформації, вони пропонують щось цінне в угоді, яка занадто хороша, щоб бути правдою, але за умови, що жертва повинна діяти в найкоротші терміни.
В інших випадках злочинець може спробувати змусити сплатити викуп за своє вимагацьке програмне забезпечення, надавши жертві лише кілька годин, щоб заплатити, перш ніж остаточно видалити, вкрасти або оприлюднити дані – незалежно від того, чи має він намір виконати загрозу. У будь-якому випадку злочинець сподівається налякати жертву і змусити її діяти, перш ніж вона встигне все обдумати.
Люди цінують послідовність і в більшості своїй не люблять змін. Фахівці з соціальної інженерії іноді зберігають послідовність, а іноді порушують сталість і послідовність, щоб вплинути на жертву. Продавець може стверджувати, що більше зацікавлений в успіху свого клієнта, ніж у комісійних, кажучи щось на кшталт: «Я завжди дбав про своїх клієнтів. Я розумію ваші потреби з першого дня співпраці. Я завжди працюю з вами за принципом «що обіцяно, те й зроблено». Цей прийом поширений серед продавців, успіх яких залежить від міцних довгострокових відносин.
Суспільство вимагає, щоб ми «не відставали від ближнього». Іншими словами, ми часто робимо речі виключно тому, що інші вважають це нормальним, відповідним або статусним. Ви можете спробувати переконати свою жертву в тому, що певна поведінка або дія підвищує соціальний статус, або що всі інші ефективні співробітники виконують якусь потрібну вам дію. Переконання співрозмовника в бажаності чого-небудь називається соціальним доказом. Продавець автомобілів може спробувати переконати вас купити розкішний автомобіль, сказавши, наприклад, що на ньому їздять успішні люди вашого віку.
Зловмисник може придумати соціальний доказ, використовуючи інформацію, отриману з OSINT. Наприклад, він може визначити, хто в компанії є інфлюенсером. Потім він надішле вам електронний лист із твердженням, що розмовляв із авторитетною людиною, яка захоплено говорила про вас і надала вашу контактну інформацію, щоб ви могли допомогти «вирішити проблему». Я зустрічав двох або трьох не дуже розумних рекрутерів, які надіслали мені електронного листа, стверджуючи, що мій друг дав їм мою контактну інформацію, але попросили мене не називати його ім’я. Вакансії, які вони пропонували, були пов’язані з розробкою на Java, про яку я не згадую ні в резюме, ні в LinkedIn. Звичайно, я відразу вніс їх в чорний список.
Ми охочіше допомагаємо людям, які нам допомогли. Часто соціальні пентестери допомагають комусь, а потім просять зробити щось натомість (і це не завжди в інтересах людини, яка допомагає). Один такий випадок трапився зі мною, коли я відвідав конференцію Layer 8, конференцію з соціальної інженерії в Ньюпорті, штат Род-Айленд. Біля пірсу я побачив пару, яка намагалася сфотографуватися перед вітрильником. Я запропонував їх сфотографувати.
“Звичайно, це вас не потурбує?” – запитали вони.
“Зовсім ні. І, до речі, тримайте мій телефон, щоб знати, що я не втечу з вашим”, – відповів я, щоб встановити з ними більш тісний контакт.
Я зробив знімок. У цей момент прямо за цією парою пропливла ще одна красива яхта, і я попросив їх не йти. “Дозвольте мені ще раз сфотографувати вас перед цією яхтою”,—сказав я.
Вони погодилися: «Це було б круто».
Я зробив ще кілька знімків. Коли я закінчив, я передав їм свій телефон, щоб вони могли переглянути фотографії, і мої нові знайомі подякували мені.
“Нічого, зовсім ні. Чи хотіли б ви хоч трохи допомогти мені з антропологічними дослідженнями, якими я займаюся цього літа?»
«Звичайно, що це за дослідження?» – запитали вони у відповідь.
Оскільки я допомагав їм фотографувати, вони відчували себе зобов’язаними відповісти взаємністю, хоча відповіді на мої запитання не обіцяли їм нічого хорошого.
«Я досліджую природу людської міграції та те, як змішуються різні етнічні групи. Я збираю інформацію про імена, про те, куди подорожують ці люди, про моделі поведінки і так далі. На жаль, у мене дуже мало інформації про батьків членів сім’ї, з якими я спілкувався. Наприклад, як звали вашу матір до того, як вона вийшла заміж?”
Зверніть увагу, що я не запитував: «Яке дівоче прізвище вашої матері?», тому що це питання миттєво насторожує. Це поширене питання для відновлення пароля, і люди захищають цю інформацію.
Вони обидва відповіли на моє запитання, а потім сказали, звідки вони. Я сказав, що у мене є друзі в цьому місті. Це була брехня – насправді я був просто смутно знайомий з місцевістю. Я повідомив, що мої друзі навчалися в тій самій середній школі в цьому місті. Вони відповіли, що ця школа конкурує з тією, в якій навчалися. «А що було зображено на гербі вашої школи?» – запитав я.
На це питання охоче відповідали і мої співрозмовники. Я міг би дуже довго допитуватися…
Відмінним способом налагодити взаєморозуміння є прояв симпатії – турбота про людину, яка погано себе почуває або відчуває стрес, наприклад, після втрати коханої людини або домашнього улюбленця. На відміну від симпатії, емпатія – це здатність відчувати ті ж почуття, що і інші люди, як якщо б ви були на їхньому місці. Емпатія означає загальна емоції або точки зору, тоді як співчуття висловлює співпереживання та турботу з вашого боку.
І те, і інше важливо для встановлення взаєморозуміння за певних обставин. Потрібно вміти висловлювати свої почуття і розуміти почуття жертви, вміти впливати і знати, коли перегинаєте палицю. Взаємодіючи з жертвою, ви можете поділитися історією (будь то реальність, вигадка або якась прикрашена комбінація) про подібну ситуацію, в якій ви опинилися, і про те, як ви до неї ставилися. Це дозволить їм проявити взаємне співпереживання до вашої ситуації і поліпшити ваше взаєморозуміння. Як варіант, якщо хтось говорить про ситуацію, до якої ви не маєте ніякого відношення, просто задайте уточнюючі питання, а потім скажіть, що шкодуєте, що так сталося, висловивши таким чином співчуття. Однак будьте обережні: якщо у вас є відповідь або історія, готові абсолютно на все, що вам розповість людина, у неї можуть виникнути підозри, тому використовуйте такий підхід з обережністю.
Ми використовували матеріали з книги “Соціальна інженерія та етичний хакінг на практиці”, які були написані Джо Греєм.
1028 
1074 
1041 
986 
1001 
951 
1069 
1134 
1027 