尼克尔森说伪装不是扮演某个角色或者出演部分剧情,不是撒谎后不停地圆谎,而是真的成为那个人。你的一丝一毫都是正在扮演的那个人。走路的方式、说话的方式、肢体语言都与那个人-样。我同意他的这个伪装哲学。一部令人感到绝无仅有的电影.往往是因为演员的出色表演他们对于角色巧妙、精准的演绎让我们难分真假。
在我的生活经历中得到过验证,很多年前我和妻子观看了布拉德.皮特出演的《燃情岁月》。电影中他扮演一个自私的混蛋,拥有-个饱受折磨的灵魂,做了很多错误的决定。他的表演如此到位,以至于我妻子讨厌了这个演员好几年。他就是个很好的伪装者。
很多人以为伪装仅仅是乔装打扮。衣着的确能起到作用,但伪装是门学问。
伪装的定义是创造虚构的场景以劝说目标受害者泄露信息或者作出某种行为。这绝不仅仅是说谎那么简单,在某些案例中有可能是创造-个全新的 身份,然后用这个身份去获取信息。社会工程人员可以利用伪装技术扮演从事某些特定工作的人和他们从未担任过的角色。伪装没有固定的万能模式,社会工程人员必须在“职业生涯”中创造很多不同的伪装。所有伪装都有一一个共同的特点:研究。娴熟的信息收集技术是伪装成功的关键。打个比方,如果目标不需要外部技术支持,即使我们将技术支持人员模仿得再完美也无济于事。
伪装在生活领域发挥作用。销售人员、公共演讲者、算命者、神经语言程序学专家,甚至是医生、律师及临床医学家等,都需要使用- -定形式的伪装。他们都需要创造-一个适宜人们泄露隐私信息的场景。社会工程人员和其他伪装使用者的差异在于目标的设定。社会工程人员必须完全变身为伪装的角色,而不仅仅是装腔作势。
只要审计或者社会工程没有结束,都应该继续伪装。我就进人过角色,我的同事也是,有人在事情过后还沉浸在扮演的角色中。无论去什么地方,都要是所扮演的角色。此外,很多专业社会工程人员具有多个在线身份、社交网站的身份、电子邮件和其他账户,可供伪装的时候用。
有趣的花招:知名罪犯和骗子的一个常用伎俩是故意犯一些错。这个想法是基于“人无完人”而建立的,- 一些错误会让人感觉很真实。如果运用这个策略,得留心选择决定去犯的错误,虽然这确实让对话看起来更自然,但它增加了伪装的复杂性。少用这- -花招, 如果一-定要用,尽可能地简单。
现在我用以前审计过程中使用过或看见过的例子将上面几点结合起来。通过打电话的良好诱导,一名社会工程人员知道了公司所用的清洁公司的名字。通过网上搜索,他找到了能打印出来的清洁公司的标识。有很多本地或者网上商店可以按照客人的要求将标识印在衬衫或帽子上。
对照模板调整了几分钟,他订购了一-件衬衫和一个球帽,上面印有垃圾回收公司的标识。几天过后,穿着印有标识的衣服,带着一个写字夹板, 这位社会工程人员来到了目标公司的保安亭旁。
他说:“你好,我是ABC垃圾回收公司的乔,我们接到你们采购部门的电话,要求派-个人来检查后面被损坏的垃圾箱。明天会来人收垃圾,如果这个垃圾箱无法修复,我会让他们带一个新的来。但是我得去后面检查-下。”
保安人员毫不迟疑地说:“好吧,你需要带着这个微章过去。经过这里再绕到后面,就可以看到垃圾箱了。”
社会工程人员顺利拿到了通行证,对垃圾箱进行了长时间仔细的翻查,但是他还想扩大战果,试图进-步发现线索。他看着写字板说:“这里显示说要检修的不是食品垃圾箱,而是装纸张和技术垃圾的。到底会在哪里呢?”“哦,照着我告诉你的路线,它们在第3隔间。”保安说。“谢谢!”乔说。
简单的伪装,穿着有标识的衣服,带着“工具”(如写字板),并且故事情节简单而又好记。正是它的简单性和缺少细节使得这次伪装更加令人信服,进而发挥作用。
另一种惯用的伪装就是所谓的技术支持人员。只需-件Polo衫、 一条卡其裤就能进人任何地方。同样的法则也适用于这里,即保持故事情节的简单会使这种工具包。许多社会工程人员使用这种技术顺利进入了公司大楼,伪装也必须显得自然。
