10.02.2026
1 хв
1
352
Справжні хакери рідко починають із написання коду – вони починають із розмови. У другій частині нашого розбору ми зануримося в психологію маніпуляцій та дізнаємося, як працює соціальна інженерія в реальному житті.
Ви зрозумієте, що таке претекстінг і чому продумана легенда сильніша за будь-який вірус. Ми розберемо техніки встановлення миттєвої довіри (рапорт), навчимося «читати» людей за системою DISC та виманювати секрети за допомогою елісітації, не ставлячи жодного прямого запитання. Дізнайтеся, як не стати жертвою «хамелеона» та вчасно розпізнати професійного маніпулятора.
Пам’ятаєте, на чому ми зупинилися в першій частині? Ми з вами були невидимими. Ми копирсалися у цифровому смітті, вивчали соцмережі жертви, знали, яку каву вона п’є і де гуляє собаку. Ми були привидами.
Але тепер настав час вийти з тіні. І це – найстрашніший момент для будь-якого соціального інженера. Уявіть цей мандраж: ви стоїте перед дверима офісу, в кишені у вас фальшивий пропуск, на шиї – краватка, яку ви ненавидите, а в голові – легенда, яку треба зіграти так, щоб вам повірив навіть Станіславський.
Крістофер Геднегі у своїй книзі каже прямо: комунікація – це мінне поле. Одне неправильне слово, занадто довга пауза, крапля поту на чолі або бігаючий погляд – і все. Гра закінчена. Вас викрили.
У цій частині ми не будемо говорити про теорію. Ми будемо вчитися акторській майстерності для шпигунів. Ми розберемо, як підійти до абсолютно незнайомої людини, заговорити з нею і через п’ять хвилин стати її найкращим другом, якому вона сама, добровільно, віддасть паролі від сервера.
Багато хто думає, що соціальна інженерія – це вміння професійно брехати. Це не зовсім так. Брехуна легко зловити. Брехун плутається в деталях. Він напружений. Соціальний інженер не бреше. Він займається претекстінгом.
Що це таке? Це створення сценарію, в який ви самі вірите. Коли актор грає Гамлета, він на сцені не Вася Пупкін, він – принц Датський. Він відчуває біль принца. Так само і хакер.
Давайте розберемо класичний приклад, який працює у 9 з 10 випадків. Чому? Бо він б’є по наших батьківських інстинктах.
Вам треба дізнатися внутрішню структуру мережі компанії. Якщо ви подзвоните і скажете: «Добрий день, я проводжу аудит безпеки», вас попросять надіслати офіційний запит і покладуть слухавку. Нудно. Не працює.
А тепер уявіть інший підхід. Хакер вмикає на фоні звуки офісного шуму (принтери, розмови). Він робить кілька глибоких вдихів, щоб голос звучав трохи збито, схвильовано. І дзвонить у техпідтримку або секретареві.
-«Алло… Вибачте, будь ласка, я, мабуть, не туди потрапив… Мене звати Сергій, я з відділу логістики, працюю тут третій день…» (Пауза, чути, як він нервує). «Слухайте, я повний ідіот. Шеф дав мені доступ до папки зі звітами, а я… я не знаю, що я натиснув, але воно все зникло. Там був червоний хрестик, я натиснув – і все. Пусто».
Що відбувається на тому кінці дроту? Жертва (наприклад, сисадмін або секретар) розслабляється.
Немає загрози. Це не перевірка, не начальник, не поліція. Це просто якийсь переляканий «чайник».
Почуття переваги (Его). «Боже, який телепень. Ну що з ним робити? Доведеться рятувати».
Бажання допомогти. Ми біологічно запрограмовані заспокоювати тих, хто в паніці.
І жертва каже: «Та заспокойся ти, Сергію. Нічого ти не видалив, просто ярлик зніс. Який у тебе номер термінала? Або давай я тобі продиктую шлях до сервера…» Бінго. Через хвилину у хакера є адреса сервера, структура папок і, можливо, навіть тимчасовий пароль, який добрий адмін створив, щоб «допомогти новачку».
Головне правило претекстінгу: Ваша легенда має бути простою і викликати емоцію. Найкращі емоції для злому – це жалість, бажання бути корисним або страх помилитися.
Добре, по телефону це одне. А як щодо особистої зустрічі? Як підійти до людини в барі, на конференції або в курилці так, щоб вона не послала вас під три чорти?
Геднегі цитує свого колегу, ветерана ФБР Робіна Дрейка. У нього є шикарна методика встановлення миттєвого контакту (рапорту). Ось найголовніші фішки, які працюють безвідмовно.
Згадайте, як ви напружуєтесь, коли до вас на вулиці підходить незнайомець з посмішкою. Перша думка: «Що він хоче продати?», «Це секта?», «Він забере в мене купу часу». Ви закриваєтесь.
Щоб зламати цей бар’єр, ви повинні одразу, в першій же фразі, дати зрозуміти: я зараз піду. Ви підходите і кажете:
«Привіт! Я тут чекаю на колегу, він вже паркується, але поки маю хвилинку, хотів запитати…»
«Слухай, я вже вибігаю, таксі чекає, але побачив у тебе цей бейдж…»
Це магія. Мозок співрозмовника каже: «Фух, це ненадовго. Можна розслабитися і послухати». Як тільки людина розслабилася – вона ваша.
Як ви стоїте? Руки схрещені на грудях? Ви дивитеся спідлоба? Вітаю, ви виглядаєте як загроза. Щоб викликати довіру на підсвідомому рівні:
Покажіть долоні. Відкриті долоні – це древній сигнал: «У мене немає каменя чи ножа, я безпечний».
Підніміть брови. Швидкий рух бровами вгору (на долю секунди) при зустрічі – це універсальний сигнал дружби у всіх приматів.
Нахиліть голову. Трохи схилена набік голова відкриває сонну артерію (найвразливіше місце). Це сигнал абсолютної довіри. «Я не боюся тебе, і ти не бійся мене».
Це найважче. Всі ми хочемо здаватися розумними, крутими й важливими. Але соціальний інженер має забути про своє Его. Ваша мета – зробити так, щоб співрозмовник відчув себе розумним і крутим. Якщо він каже дурницю – не виправляйте. Якщо він хвалиться – дивуйтеся і хваліть.
«Ого! Ти реально сам налаштував цей маршрутизатор? Та ну, це ж вища математика для мене. Як ти це зробив?»
Людина, яку щиро слухають і хвалять, розкаже вам усе. Вона розкаже про роботу, про проблеми з безпекою, про те, де лежать ключі від сейфа – просто щоб вразити такого вдячного слухача.
Ось ми вже говоримо. Контакт є. Як дізнатися секретну інформацію, не ставлячи прямих запитань? Якщо ви запитаєте: «Яка версія антивірусу у вас стоїть?», у людини ввімкнеться «сигналізація». Це підозріле питання.
Професіонали використовують техніку Елісітації (виманювання). Це діалог, побудований так, що людина сама хоче видати інформацію.
Люди обожнюють виправляти чужі помилки. Це тішить їхнє самолюбство. Використовуйте це! Не питайте: «Яке обладнання ви використовуєте?». Скажіть твердження, яке, ймовірно, є хибним або провокаційним:
«Ох, я бачу, ви теж мучитеся з цими старими серверами від IBM. Вони ж гудуть як трактори й гріються, правда?»
Якщо у них стоїть щось інше, співробітник (особливо технар) не втримається:
«Які IBM? Ти що! Ми ще минулого року перейшли на хмарні рішення від Amazon, у нас взагалі «заліза» в офісі немає, тільки тонкі клієнти!»
Все. Ви дізналися архітектуру мережі. Ви не питали. Ви просто «помилилися», а він вас виправив.
Прикиньтеся дурнішим, ніж ви є. Якщо ви покажете, що ви експерт, людина закриється («Він занадто розумний, треба бути обережним»). Якщо ви покажете, що ви «чайник», людина розслабиться і почне вас вчити.
«Слухай, я чув, що ці нові системи пропусків глючать, якщо прикласти картку разом з телефоном. Це правда?» Охоронець: «Та ні, тут же RFID-мітки, вони на іншій частоті працюють. Головне не гнути картку, бо чіп зламається».
Щоб щось отримати, треба щось дати. Поділіться «секретом» (бажано нешкідливим) про себе, і людина відчує обов’язок поділитися чимось у відповідь.
«Чесно кажучи, я сьогодні ледве прокинувся, вчора до третьої ночі квартальний звіт пиляв. Начальство звіріє». Співрозмовник: «Ой, розумію. У нас у відділі продажів те саме. Кінець місяця – це пекло, ми ще й базу клієнтів вручну переносимо, всі злі як собаки».
Ви дізналися, що у відділі продажів зараз хаос і перенесення бази даних. Це ідеальний час для атаки.
Люди різні. Те, що легко заходить із відкритою та усміхненою секретаркою, абсолютно не спрацює з похмурим начальником служби безпеки. Саме тому у профайлінгу часто використовують систему DISC – простий спосіб швидко «зчитати» людину. Це трохи схоже на гороскоп, але з нормальною логікою і практичним сенсом.
Як упізнати: Упевнений у собі, говорить коротко й різко, дивиться прямо в очі. Терпіти не може порожніх розмов і затягувань. Зазвичай виглядає строго або дорого – без випадкових деталей.
Як із ним говорити: Забудьте про «як справи» і довгі вступи. Йому важливий результат, а не процес. Чітко, по суті, без води.
Робоча фраза: «Є рішення, яке зекономить вам близько 20% часу. Потрібно лише одне коротке уточнення».
Як упізнати: Яскравий, говіркий, легко заводить розмову, активно жестикулює. Любить увагу і швидко перескакує з теми на тему. Часто – центр будь-якої компанії.
Як із ним говорити: Станьте його уважним слухачем. Смійтеся з жартів, підтакуйте, дайте йому простір говорити про себе. У потоці емоцій і балачок він сам викладе більше, ніж планував – і навіть не помітить цього.
Як упізнати: Спокійний, тихий, доброзичливий. Не любить різких змін, уникає конфліктів. Надійний командний гравець, якому важливий комфорт для всіх.
Як із ним говорити: Робіть акцент на стабільності та безпеці. Показуйте, що ви не несете загрози і не створюєте проблем. М’якість і спокій тут працюють краще за будь-який тиск.
Фрази на кшталт: «Хочемо, щоб усім було зручно» або «Не хочу створювати зайвих складнощів» – саме те, що потрібно.
Як упізнати: Чіткий порядок на столі, любов до цифр, правил і інструкцій. Часто – в окулярах. Регулярно ставить питання «чому?» і «де це прописано?».
Як із ним говорити: Емоції тут не працюють. Тільки факти, цифри, документи. Покажіть таблицю, графік або посилання на конкретний пункт регламенту. Він довіряє не людям, а системі – і діє відповідно до неї.
Отже, ми навчилися підходити до людей, читати їх як відкриту книгу і змушувати їх говорити, використовуючи їхні ж слабкості – марнославство, бажання допомогти або любов виправляти помилки.
Це звучить як маніпуляція? Так, це вона і є. Але, як каже Геднегі, ніж сам по собі не є злом. Злом його робить рука, яка його тримає. Ці навички можна використовувати, щоб отримати знижку на ринку або заспокоїти розлюченого клієнта. А можна – щоб вкрасти мільйон.
У третій, заключній частині, ми підемо ще далі. Ми розглянемо «темну магію» психологічного впливу. Як змусити людину відчувати провину? Як використовувати авторитет, якого у вас немає? І чому ми всі стаємо безпорадними дітьми, коли чуємо слова «Тільки сьогодні»? Готуйтеся, фінал буде вибуховим.
