Основной частью социальной инженерии является получение групповых или личных паролей путем разыгрывания роли по придуманному вами сценарию в надежде на то, что ваш собеседник подыграет вам. Но целью социальной инженерии необязательно являются пароли, и переговоры могут вестись не по телефону, а лично, либо по электронной почте. Личные переговоры требуют сильных нервов и незаурядного актерского мастерства, электронная почта больше подходит для тех, кто испытывает трудности с СИ (социальной инженерией) по телефону.
Непосредственная инженерия
Любое исполнение какой-либо роли является формой социальной инженерии. Это может быть перевоплощение во вполне конкретную личность (например, президента компании, который желает знать, почему не работает его пароль), или же абстрактную (техник имярек, который звонит, чтобы узнать, не возникло ли каких-нибудь проблем с компьютерами). При этом, как правило, используется телефон — во-первых, потому, что он дает возможность хакеру вести переговоры с удаленными пунктами, не выходя из дома, а во-вторых, телефон создает защитный барьер между хакером и его собеседником. Если беседа идет не так, как планировалось, можно повесить трубку; но если вы теряете контроль над разговором, который ведете лицом к лицу, вам нелегко будет выпутаться из этой ситуации.
Для практических занятий непосредственной социальной инженерией (т. е. лицом к лицу) существует одно неплохое правило: всегда надевать приличный костюм, который хорошо на вас смотрится. Вы должны выглядеть так, словно только что вышли из модного ателье. На худой конец, наденьте рубашку и галстук. Для женщин подойдет любая одежда в деловом стиле.
Многие методы СИ, которые срабатывают по телефону, не годятся для личной беседы. Вы не сможете притвориться, что звоните из офиса, сидя рядом с компьютером. Поэтому информация, полученная таким образом, будет минимальной, либо малоценной. Возможно, у вас появится больше вспомогательных сведений, чем необходимой на данный момент информации. Делая вид, что ищете работу в фирме, совершая экскурсию, или даже просто проникая в здание и бродя по нему в одиночестве, можно получить много полезной информации о взаимоотношениях сотрудников. Чтобы проникнуть в компанию, хакеры также часто притворяются ремонтниками, малярами и другими рабочими. Сыграть роль охранника-тоже неплохая выдумка. Прототипом непосредственного «социального инженера» можно взять социолога, который делает опрос. Вы стоите у входа в здание с ручкой и анкетой, и просите проходящих мимо людей заполнить для вас одну ячейку. «Социолога» интересуют имена сотрудников, их жен и мужей, их хобби, домашние животные и их клички, и тому подобная информация. Придя домой, попробуйте ввести всю эту информацию в качестве паролей. Вы можете возразить, что за заполнение анкеты полагается какой-нибудь приз. Что ж, анкеты могут, к примеру, разыгрываться в лотерее, а выигравшие получат билеты на какое-нибудь местное шоу или бесплатный визит в близлежащий ресторан. (Примечание: не приставайте к людям с анкетами по утрам, когда они спешат на работу).