Социальная инженерия и социальные хакеры. Часть I. Значение слова социальная инженерия и кто такие социальные хакеры (И. В. Симдянов, 2007)

…Была весна, была любовь. Бухгалтер фирмы средней руки Наташа была беззаветно влюблена в юношу Илью. Такого прекрасного, такого милого, такого обаятельного. Они с ним случайно встретились в ночном клубе, и там она узнала, что Илья недавно приехал в их город получать образование на вечернем отделении финансового факультета. Бывший слесарь, руки золотые. "Ну и что, что слесарь", – рассуждала Наташа, – "выучится скоро и будет финансистом". Коллега, можно сказать. В общем, затевалась большая свадьба, а впереди была только любовь и много всего приятного, что с этим связано. А при чем же здесь финансовые махинации, спросите вы? А при том, что в планы Наташи жестко вмешалась реальная жизнь, в которой кроме любви бывает еще и жестокий обман. И однажды она узнала, что с ее компьютера был осуществлен перевод на счет некоей фирмы немалой суммы денег. Она точно помнила, что ничего такого не делала, да и вообще девушка это была старательная и без вредных привычек. В общем, шок. Который усугублялся тем, что ее любимый Илья вдруг куда-то исчез. Между прочим, о том, что эту аферу провернул именно Илья, догадались не сразу, потому что никому в голову не могло прийти, что такой обаятельный, такой милый, такой отзывчивый вот так вот может.

Что же произошло? А произошел классический сюжет. Обаятельный Илья влюбил в себя Наташу для того, чтобы воспользоваться ее служебным положением. История очень часто происходящая, только цели разные. В данном случае целью было воровство денег.

Примечание

Мишень воздействия в данном случае – потребность Наташи в любви. Аттракция, естественно, любовные ухаживания Ильи за Наташей. Кроме того, аттракцией здесь также является и показ серьезности своих намерений (как помним, готовилась свадьба).

И вот, дождавшись удобного момента, когда он был один в рабочий день в кабинете Наташи, он перевел деньги туда, куда хотел. О том, как это делается, она сама ему рассказала, потому что он спрашивал, мотивируя свои вопросы тем, что ему это интересно для образования (он же, как помним, на финансовом факультете учился, да и вообще, все, что связано с легендированием, в данном случае сделано очень грамотно). Во время же этих бесед Илья выяснил, где лежат дискеты с ЭЦП (Электронно-цифровая подпись) главбуха и директора. Была ли Наташа дурочкой? Нет, не была. Хотя бы потому, что в Илью за те несколько месяцев, что он был рядом с Наташей, влюбились почти все сотрудники фирмы, включая директора, который лично благословил их быструю свадьбу и готов был в скором будущем взять Илью в штат своей фирмы. И потому, что она, по большому счету не виновата в том, что деньги во многих наших фирмах переводятся по упрощенной процедуре. Как по правилам должен происходить перевод денег? Нужно, к примеру, перевести какую-то сумму. Приходит главный бухгалтер, вставляет дискетку со своей ЭЦП, потом вставляет свою дискету директор. И только после этого деньги переводятся, так как наличие ЭЦП и директора и главбуха – необходимое условие для перевода денег. И если бы все делать по правилам, то такая атака, конечно же, немыслима. Но… даже самая мелкая фирма может делать в день до десяти переводов. А теперь представьте, что директор каждый раз будет бегать и вставлять свою дискету. А если фирма не мелкая? Да он фирму скорее закроет, чем таким самоистязанием будет заниматься. Поэтому очень нередко, когда обе дискетки с ЭЦП просто лежат в столе у того бухгалтера, который переводит деньги. Как было и в описанном случае.

А что было Илье? А ничего не было. Потому что он после того, как все сделал, сразу куда-то уехал. То ли в другой город, то ли в другую страну. Паспорт, естественно, был поддельным, у него вообще этих паспортов было больше, чем в паспортном столе.

Примечание

Оставим за скобками дальнейшее развитие или возможное развитие этой ситуации, так как нам оно, в принципе, не важно. Деньги могли быть и переведены, а потом обналичены, а могли и не успеть их обналичить, потому что сотрудники фирмы оперативно "откатили ситуацию". История финансовых махинаций знает примеры и того и другого вариантов развития событий. Для нас важен сам факт доступа к компьютеру, с которого осуществлялись банковские переводы, и факт осуществления этого перевода, т. е. тот этап работы, который связан с социальным хакерством был сделан, и сделан успешно. Разговор же о том, какими способами можно успеть обналичить деньги до того, как фирма (И/ИЛИ компетентные органы, если им сообщили об инциденте) начнет принимать меры, как можно сделать так, чтобы успеть обналичить деньги и т. д., выходит за рамки данной книги.

Честно сказать, универсальных рекомендаций, позволяющих защититься от данного вида атак, не существует. Эта история с точностью до небольших вариаций не раз происходила и наверняка еще не раз произойдет. Многие авторы в похожих случаях говорят мол, нужно быть внимательнее, нужно четко следовать инструкциям и подобные вещи просто будут невозможны. Мы с этими словами, конечно же, полностью согласны, но, увы, это только слова. Не имеющие никакого отношения к реальной жизни слова. А если дело поставлено серьезно, и им занимаются серьезные люди, знающие, как такие дела делаются, можно гарантировать, что на эту удочку попадутся процентов 90 населения. А многие – еще и не один раз. Поэтому не будем опускаться до банальностей и честно скажем: гарантированных способов защиты нет. А теперь представьте на секунду, что влюбили не девушку Наташу, а директора. И представьте последствия. Причем сделать все это не очень сложно: определяется психотип человека, на основании чего выясняется, какие девушки (или юноши) ему (ей) нравятся – и через некоторое время жертва находит "ту единственную и неповторимую любовь, о которой всю жизнь мечтала". Излюбленный метод мошенников всех времен и народов. И очень действенный метод, потому что является атакой, основанной на физиологических потребностях человека. О физиологических потребностях мы здесь говорим более шире, чем принято, и понимаем под этими потребностями не только, скажем, потребность в еде, сексе и прочее, а также потребность в любви, потребность в деньгах, потребность в комфорте и т. д. и т. п. И вот, когда мишенью является одна из таких потребностей, дело плохо. В том смысле, что очень сложно. А умные социальные инженеры в качестве мишеней выбирают именно такие потребности. Рассмотренная нами атака – как раз из этой категории, когда в качестве мишени воздействия была выбрана потребность в любви.

Давно известно, что в крупных городах России существуют целые агентства, которые содержат обольстительниц самого разного вида на самый разный, в том числе и изощренный, вкус. Цель их существования – получение прибыли путем "развода" богачей мужского пола. Действительно, зачем строить достаточно сложную комбинацию, как в только что приведенном примере, когда можно сделать все легче: влюбить в себя до беспамятства богатого человека, который сам по своей доброй воле будет переводить денежки на твой счет. Незачем нанимать орду хакеров, проворачивать финансовые аферы, балансировать на грани закона, – все можно сделать так, что человек сам отдаст деньги и отдаст их добровольно. Схема работы такая. На первом этапе сотрудники агентства выясняют все, что только можно о "клиенте": какую пищу предпочитает, какие книги, каких девушек, какие машины, какую музыку, – в общем все. Здесь действуют по принципу, что информация лишней быть не может. Это делается для того, чтобы в соответствии со вкусами жертвы, подобрать для него ту единственную и неповторимую, от которой он просто физиологически не сможет отказаться. Действительно, ну какой мужчина откажется от женщины, которая мало того что в его вкусе и красоты неписанной, но и страстная поклонница футбола (как и он сам, естественно), да еще и болеет за ту же самую команду. И, – о ужас, когда он как-то раз подвез ее на машине, она с сожалением и с некоторым кокетством констатировала:

– Володя, вот если бы не одно, но, я могла бы сказать, что ты мужчина моей мечты.

– Какое НО? – слегка насторожившись, но, придав тону игривость, спрашивает банкир Володя.

– Ты не любишь классику…

– Почему? Почему ты так решила, – слегка запнувшись, и уже без всякой игривости в голосе спросил он.

– А ты вечно крутишь какую-то попсу в машине, а классику ни разу не включил, а я попсу терпеть не могу.

– Что же ты раньше не сказала, ведь я тоже люблю классику, просто боялся тебе в этом признаться, думал, что сочтешь меня не современным.

– Какая, к чертям, современность, все эти "Муси-пуси, трали-вали, поцелуй меня же Люся, пока нас не разорвали", – с ехидством пропела она, – от этой нынешней классики жить не хочется. То ли дело Бетховен… Все эти трали-вали в сравнении с ним…

"Мой любимый композитор", – подумал он, а вслух спросил:

– А что тебе больше всего у Бетховена нравится?

– Соната до-минор, наверное, – ответила она, на мгновенье задумавшись.

"Моя любимая соната, – думает он, – о, ужас… Нет, таких совпадений не может быть. Я первый раз встретил красивую и современную девушку, от которой я и так почти без ума, и которой еще вдобавок нравится классика, и, более того, даже в классике наши вкусы совпали. А, впрочем, почему я так думаю? Разве я не заслужил того, чтобы мне господь послал ту единственную и неповторимую? Разве мало я детям помогал, деньги в детдом № 5 перечислял? Может это и есть та награда за добрые дела, о которой говорят умные авторы в умных книжках, над которыми мои друзья только цинично посмеиваются. Может на фиг все? Может рискнуть? Ну что жена… С ней никогда и раньше то общего не было, а сейчас, ошалев от моих денег, вообще перестала всем интересоваться, сидит только дома, обрюзгла вся… Тьфу, смотреть неприятно. Да еще служба безопасности докладывает, что вроде она с кем-то на стороне, с каким-то программистом молодым, которому женщины "в соку" нравятся. Черта с два, женщины ему нравятся. Видать жить не на что, вот и выманивает у моей дуры мои деньги. А может и эта, которая рядом, тоже из-за денег? А ну-ка мы ее сейчас спросим…"

– Марин, извиняюсь за нескромный вопрос, а ты чем занимаешься?

– Володь, я директор модельного агентства. Володь, если ты подозреваешь, что я специально подсела к тебе в машину для того, чтобы тебя соблазнить, то это решается просто. Останови машину, пожалуйста. Вот здесь, если не сложно.

– Да, что ты, Марина! Я просто ради интереса…

"Бог мой, она словно читает мои мысли", – подумал он. "Идиот. Тебе, Володя, уже не банком надо заведовать, а в Кащенку идти добровольно сдаваться, чтобы вылечили тебя там от твоей подозрительности. Я не могу ее просто так высадить. Чтобы она вот так просто ушла в никуда, и, возможно, мы больше никогда не увидимся. Нет, нельзя упускать такое счастье", – продолжал он думать, перестраиваясь в крайне правый ряд. "А как же дети?" – спросил строгий внутренний голос. – "Что ты скажешь детям, когда разрушишь семью?". "Дети уже выросли и вполне самостоятельны", – ответил он внутреннему голосу, – "детям уже тех денег, которые я им даю, не хватает для того, чтобы бегать за всеми "юбками", и они не должны быть на меня в обиде, я тоже имею право на любовь, а ведь для них я сделал не так уж и мало. Дети учатся в престижных вузах, три раза в год отдыхают за границей, я спонсирую их любовные похождения, наконец. А дети, к слову, ни разу не поинтересовались, как у папы дела".

– Марин, – наконец решился он, – а ты не против, если мы сегодня посидим в каком-нибудь уютном ресторанчике?

– Володь, если честно, то против.

– Почему?

– Нет, я не прочь провести с тобой вечер, мне первый раз встретился мужчина, который совмещает богатство с любовью к сонате до-минор. А я много общалась с людьми, которые намного богаче, чем я, и что-то от всех от них оставалось какое-то никудышное впечатление. А ты какой-то другой… И мне хочется, если честно, побыть с тобой хоть на чуть-чуть, но дольше, даже врать не буду. Но просто я не люблю рестораны…

– Марин, да если честно, я тоже их ненавижу! Давай тогда в мою вторую квартиру, в которой я люблю иногда наедине с самим собой побыть. А? Сейчас позвоню, привезут еды, вина, посидим вечерочек…

– Нет, давай я лучше чего-нибудь на скорую руку сама сготовлю. Я очень люблю готовить, но, увы, теперь не часто получается самой это делать, а тут такой случай.

– Я согласен, если ты, конечно, этого сама хочешь. А что ты будешь готовить, если не секрет?

– Секрет. Увидишь. Я сготовлю свое любимое блюдо. Сверим наши вкусы, как говорится.

"Терпеть не могу таких сюрпризов, сейчас сготовит что-то, что есть не сможешь, и придется себя пересиливать, лучше бы пригласить мою кухарку, чтобы она сготовила то, что я лю…"…

– Мариночка, это что же за блюдо такое, – закричал он, не додумав до конца свою мысль, когда Марина вошла в гостиную со свежеприготовленным "коронным блюдом".

– Володь, незачем так кричать. Это всего лишь лосось в икорном соусе.

– Откуда… Откуда ты узнала?

– Что узнала?

– Что это мое любимое блюдо?

– Да?! Если честно, даже не подозревала. Володя, как, оказывается, у нас с тобой много общего… А это, заметь, и мое любимое блюдо, меня научил готовить папа, он офицером служил на тихоокеанском флоте, и иногда по праздникам баловал нас этим деликатесом.

…Вот примерно так, все и происходит с некоторыми вариациями. Не буду дальше рассказывать о том, как развивались отношения Володи и Марины. Скажем лишь о том, что потом Володя добровольно перечислял огромные суммы на счет Марины, чтобы она себе ни в чем не отказывала, бросил семью, и даже уговорил Марину оставить свое модельное агентство, чтобы она как можно чаще была с ним. Его счастье бы очень омрачилось, узнай он о том, что сорок процентов с перечисленных им сумм Марина переводила держательнице агентства, "шахине", как они ее между собой называли. И ту машину, которую подарил ей Володя, она тоже должна была продать, после разрыва с ним, или найти сорок процентов ее стоимости в денежном эквиваленте, чтобы отдать их "шахине". Не знал Володя и того, что встреча его с Мариной была подстроена по всем правилам разведки. Что неполадка в ее авто была сымитирована, и то, что он в этот момент оказался рядом с ней, тоже было подстроено. Не знал он и того, что вариантов таких случайных встреч – масса. Не знал он и того, что скоро перестанет быть управляющим банком, так как те данные, которые собрала на него Марина, уже переданы "шахине", которая за приличную сумму продала их тем людям, которые спали и видели, чтобы Владимир Анатольевич перестал быть богатым управляющим банком, а стал бы бедным дворником. Ну, и, естественно, он не подозревал о том, что после того, как в его делах случится крах, он станет очень раздражительным человеком, чем и воспользуется Марина, чтобы его покинуть. Теперь уже очень состоятельной женщиной, так как тех денег, которые она "выкачала" из, теперь уже несчастного, Володи, ей хватит на очень долгое время безбедного существования, даже за минусом тех процентов, которые отдавались "шахине".

Небольшой комментарий на тему "случайных встреч"

Социальные хакеры – доки в организации "случайных встреч". Ряд приемов заимствован ими, в основном, из арсенала спецслужб, но и в собственной изобретательности многим не откажешь. Конечно, за обольстительницами, о которых мы в данный момент говорим, стоит немало "бойцов невидимого фронта", которые все эти спектакли и ставят. Потому что операция "случайная встреча" – немаловажный этап во всей этой большой игре и планируют ее с учетом рекомендаций психологов, которые на основе данных первого этапа достаточно точно прогнозируют психо– и социотип жертвы и предсказывают поведение клиента в той или иной ситуации. Ведь один "клиент" может "поплыть" сразу после первой встречи, а к другому, более упорному, и подозрительному подходец нужен, – с ним несколько раз нужно встречаться, с ним во время первой беседы вообще ни о чем серьезном говорить не стоит. Значит, нужно, чтобы девушка, которую жертва "случайно" подвозит, "случайно" забыла в его машине свой сотовый телефон, к примеру. Желательно, той же самой модели, что и он предпочитает. Ну чтобы был повод встретиться. А третий, скажем, вообще в свои машины никого не сажает. Значит, нужно у ворот его дома подвернуть ножку или упасть в обморок. И падают, и хорошо падают, потому это все заранее не раз репетируется. А четвертого чужие обмороки, даже в исполнении очень красивых девушек, мало волнуют, потому как человек очень жестокий и предпочитает "стерв", а не размазюнь, в обмороки шлепающихся в дело и не в дело. Этому устраивается автомобильная подстава, при которой автомобиль девушки врезается в его крутое авто. Он, конечно, сидит в машине, ждет, пока его охрана разберется с "нарушившим правила дорожного движения", и вдруг слышит гортанный женский голос: "Эй, вы бодигарды, кыш отседова. Говорите, сколько я вашему папаше должна, берите деньги, и проваливайте, не мешайте мне наслаждаться моей нелегкой женской долей. А вашему недоумку за рулем скажите, чтоб убирался на своем авто крутом подальше, как только бабу за рулем увидит". Слушает жестокий человек Петр Семенович, владелец нескольких крупных автозаправок в центре столицы и одного небольшого нефтезаводика, этот низкий гортанный голос и уже подсознательно понимает, что этот голос принадлежит "стерве его мечты". И решает он на нее своими глазами взглянуть. И после этого он – пропал. Потому что, как взглянул, уже сознательно понял, что это именно та девушка, которая снилась ему ночами. А для пятого, кроме денег помешенного еще на рукопашном бое и чувстве собственной значимости, устраивается спектакль, в котором участвует девушка его мечты и несколько крутых на вид и неопрятных мужланов. Эти мужланы пристают вон к той красивой девушке, и о, боже, даже рвут на ней платье. Естественно, в зоне видимости "клиента". И решает он броситься в драку и помочь девушке, и бросается и только зубы из-под его кулаков тренированных вылетают, и разлетаются хулиганы в разные стороны от его ударов (потому что проинструктированы на тему того, что "чем дальше и красивее улетят, тем выше гонорар за выступление"). Девушка, естественно, его благодарит сквозь слезы, и он, ее, естественно, подвозит (ну куда ж она в разорванном платье-то сама пойдет), и, конечно, всю дорогу поет ему оды на тему "какой он мужественный, и как он ловко вон тех гадов, которые ее чуть было не…".

Примечание

Примерно такие же спектакли, кстати, нередко устраивают некоторые кандидаты перед выборами. Подкупают какую-нибудь шпану, которой говорят, что мол "как вон то авто увидите, сразу бросайтесь… Да не под авто, под авто другие бросаться будут, а на любую красивую девушку. И начинайте ее бить. Без травм, но чтоб кричала. Ясно? А как из этого авто выбежит человек в белых брюках и белом пиджаке, и начнет бить вас, вы ему сразу не поддавайтесь, а тоже слегка помутузьте. Он в курсе и в обиде не будет. А после того, как он вас всех изобьет, чтоб врассыпную бросились с этого места, желательно с криками и стонами, и… Да не домой раны зализывать, он сильно бить не будет, а на вокзал. И чтоб вас до такого-то числа в городе не было. Вот билеты. Все понятно? И если хоть кому слово… Ну, не глупые, сами понимаете". Дальше все идет по плану: завидя авто, "хулиганы" бросаются на девушку, наш герой в белом ее героически вытаскивает из лап "бесчинствующих подростков", пресса, конечно же, тут как тут. Как пресса узнала? А никак. Просто она случайно рядом снимала какой-то репортаж из жизни города, о чем в штабе кандидата, естественно, знали. После этого на всех полосах газет и в первых минутах городских новостей показывают кандидата после драки, в уже не белом пиджаке, утешающего девушку, ставшую "жертвой нападения". Потом берут интервью у кандидата, где он скромно улыбается и говорит, что "он всегда таким по жизни был". Потом сама девушка дает много интервью, в которых чистосердечно (ей же никто не платил) говорит, что "не знаю как другие, но я точно проголосую за Бориса Викторовича, хотя бы просто в знак благодарности. Никто не подошел, а он… Спасибо ему".

Выведать информацию о маркетинговых планах организации и сыграть на опережение – едва ли не самый лакомый кусок для любого конкурента. Сделать это с помощью методов социальной инженерии проще всего. Не надо ломать сети, обходя бесчисленные количества файрволов и искать, на какой же машине лежит этот документ с маркетинговой стратегией. Не надо подбрасывать подслушивающие устройства на собрание акционеров или на совещание у генерального директора. Не надо снимать информацию по колебаниям оконного стекла лазерным лучом… Это все очень дорогие и не всегда надежные способы. Можно воспользоваться простейшими методами социальной инженерии. Два несложных примера. Я уверил как-то одного генерального директора предприятия о том, что проникну в их компьютерную сеть, и все их маркетинговые планы украду, прочитаю, и им потом перескажу. Он посмеялся, сказав, что это невозможно, что "три межсетевых экрана, целый отдел, занимающийся защитой информации, в котором спецы классные". Не сможешь, мол. Потому что это в принципе невозможно. Но спор, как говорится, принял. Про сеть, разумеется, было сказано для отвода глаз. На самом же деле, никто ни в какие сети проникать не собирался. Все было проще.

Примечание

Популярность социальной инженерии среди мошенников, тех, кто занимается конкурентной разведкой и тому подобным, связана, на наш взгляд, с тем, что большинство методов социальной инженерии просты. Иногда просты настолько, что их даже не интересно описывать в книге. Думаешь: ну ведь это же очевидно, какая, к черту, социальная инженерия, ведь этот прием первый раз показали в кино еще году в 50-м. А потом еще сотню раз показывали в тех или иных вариациях. На него то уж точно никто не попадется. И… парадокс, заключающийся в том, что именно на такие простые приемы как раз и попадается большинство. Но даже, когда для проведения того или иного приема требуется проведение сложной комбинации, подразумевающей неплохое владение психологией, все равно для тех, кто занимается, к примеру, конкурентной разведкой, проще применить приемы социальной инженерии, чем заниматься технической разведкой. Исходя, в том числе, и из того немаловажного фактора, что применить социальную инженерию обойдется во много раз дешевле.

Посещение стендов предприятия на выставке

Для того чтобы собрать большинство информации, оказалось достаточным просто посетить стенд этой организации на ближайшей выставке их продукции. Большинство менеджеров, которые находятся у своего стенда, стоит вам проявить лишь малейшую заинтересованность, с удовольствием расскажут вам все, что они знают о продукции и дальнейших перспективах. Очень часто нужно просто стоять и внимательно слушать (или не просто слушать, а записывать на диктофон, если на память не надеетесь).

Примечание

Именно таким образом одна компания из Санкт-Петербурга выкрала секрет производства соусов у своих конкурентов, при этом чуть было их не разорив. Люди весьма удивительные существа, они могут молчать при пытке их сотрудниками конкурирующей фирмы, но при этом с удовольствием выложат все секреты первому встречному на выставке.

Естественно, при этом вы должны выглядеть как солидный клиент, и, желательно, чтобы на вашем бейджике было что-то весьма значительное, вроде "Президент ОАО "Микрон"".

Примечание

Но если уж обозвались президентом, то и выглядеть должны, как президент. Это совершенно не значит, что нужно обвешаться перстнями, цепочками, наоборот – одеты вы можете быть скромно: вы уже и так значительный человек, и вам уже незачем производить впечатление. Но одеты должны быть со вкусом, быть очень опрятными и вести себя значительно: как президент. Немного подробнее об этом – далее в примечании "О важности вживания в роль".

Если менеджер не особо разговорчив, можно применить ряд простых уловок, нацеленных на то, что менеджер боится представить организацию в невыгодном свете (в нашей универсальной схеме – это и есть мишень. Аттракцией может являться, к примеру, ваша значимость, хоть и искусственно созданная – с помощью бейджика и поведения). К примеру, вы, представившись каким-нибудь президентом, можете спросить: "А что новенького у вас в этом году появится? Знаешь про это что-нибудь?" Кто-то сразу скажет, кто-то не скажет… Тому, кто молчит, можно сказать: "Ладно, если не знаешь, сам позвоню Марьяшевичу, у него спрошу" (фамилию гендиректора и всех остальных значимых лиц надо знать обязательно). И, уходя, пробормотать, "наприсылают черте-кого, уж на такие мероприятия могли знающего человека прислать"… Один важный момент: предыдущий вопрос, где вы так разозлились, что вам не ответили, должен быть для вас пусть и значимым, но …не очень. Потому что потом вы походите по другим стендам, через некоторое время вернетесь к интересующему вас стенду и зададите уже действительно значимый для вас вопрос: "А вот про это-то знаешь, вон у тех ребят все как хорошо написано, а вы будете такое же делать или мне сразу с ними договор заключать"? И про это, он уже с большой вероятностью расскажет, потому что боится своего влиятельного директора Марьяшевича, и расскажет даже больше, чем надо.

Примечание

Мне только единственный раз встретился менеджер, который, хоть и был крайне доброжелателен, но ничего сверх того, что было можно, не сообщил. Менеджер оказался …генеральным директором этого предприятия, который иногда любил вот так "выйти в народ".

…После того, как было немало узнано от менеджера, я пошел брать интервью у сотрудников предприятия.

Интервью с ключевыми лицами

Взять интервью – это один из самых простых, но вместе с тем и самых привлекательных способов узнать о том, что творится на предприятии: какие маркетинговые планы, кто против кого дружит, кто кого обидел… Способ действительно простой, но вместе с тем очень действенный. Мишень здесь – чувство собственной значимости людей. Люди хотят чувствовать свою значимость, об этом еще Карнеги превосходно написал, и, чтобы удовлетворить это чувство, нередко забывают обо всем, о любой безопасности. Поэтому интервью с удовольствием дают многие (особенно если это интервью для телевидения). А для социального хакера такое прикрытие очень надежно и выгодно, так как позволяет, не особо стесняясь, задавать практически любые вопросы без риска вызвать подозрение.

Примечание

Извлечение полезной информации из разговора с кем-то, кто не подозревает, что является объектом вытягивания информации, называется скрытым допросом. Скрытый допрос – это серия приемов, позволяющих ненавязчиво получить нужную информацию. Этой тактикой пользуются психологически грамотные продавцы, которые продают свой товар, психотерапевты, чтобы узнать информацию о пациенте, и многие другие. Естественно, пользуются ей и социальные хакеры.

Для того чтобы интервьюируемый перешел к интересующему вас вопросу, его следует слегка "задеть", для чего иногда достаточно сказать фразу типа "Но вот у организации А (называете конкурирующую организацию), в газете "Вести России" сказано, что их продукция по техническим характеристикам намного превосходит аналогичную продукцию, производимую на вашем предприятии?" чтобы интервьюируемый бросился защищать честь родного предприятия и рассказал все, что он знает о данной продукции. Это уже потом он бросится искать номер этой газеты, чтобы своими глазами убедиться в нахальности конкурентов, и не найдет он этот номер, конечно. Да и газету с таким названием не найдет. Для пущей убедительности можно иногда преднамеренно для интервью распечатать единственный экземпляр данной газеты специально для интервьюируемого или создать сайт газеты, на котором во время интервью продемонстрировать упомянутую вами статью. Конечно, в сумме проработка таких мелочей может занять время и повлечь финансовые затраты, но если дело того стоит, то чем больше таких мелочей предусмотрено, тем лучше. Выглядит гораздо эффектнее и практически сводит к нулю какие-либо подозрения, даже если они были вначале.

Примечание

Я полностью верю тому, что немалую часть информации многие и их и наши разведчики берут из газет. Я также верю в то, что слова одного из наших сограждан, которого осудили за шпионаж, что все "секреты" он брал сугубо из газетных материалов – это правда. Вообще, по разным мнениям, около 90% всей закрытой информации разведчики всех мастей и рангов получают из открытых источников. Мне рассказывали, что многие директора после того, как узнавали, что их сотрудники (иногда на уровне заместителей) понарассказывали в интервью, бросались обрывать телефоны редакций и предлагать любые блага, только бы это интервью не выходило.

Часто бывает выгодным и обратный подход, когда вы не нападаете на интервьюируемого, а, наоборот, разыгрывая из себя "технического дурака", просите объяснить ту или иную деталь. Это тоже весьма действенный способ.

Примечание

Забегая вперед, заметим, что в терминах трансактного анализа, вы в этом случае ведете общение по трансакции Дитя – Родитель (о трансактном анализе мы подробно будем говорить в главе 5). Вы находитесь в роли Дитя, отводя интервьюируемому роль Родителя. А куда деваться мудрому Родителю, кроме как не научить Дитя всему, что он сам знает? Трансакция Дитя – Родитель прекрасно подходит для начала многих манипуляций, и об этом мы тоже будем говорить в главе 5, в которой изложены основные положения трансактного анализа. Вспомните об этом примере, когда будете изучать эту главу. В том же случае, когда вы сказали интервьюируемому, что, мол, у конкурентов то продукция получше вашей будет, вы проводили обратный прием, и отвели себе роль нападающего Родителя, а того, кто давал интервью, загнали в роль Дитя, заставив оправдываться. Иначе говоря, ваше общение проходило по линии Родитель – Дитя.

Таким образом, побывав на выставке, взяв за пять дней 10 интервью, попив с некоторыми особо благожелательными интервьюируемыми пива в баре и поговорив "за жизнь", а также почитав все газеты за последние полгода, в которых сообщалось о деятельности этого предприятия, я знал практически все, включая интимные стороны деятельности высшего руководства, о чем этому руководству и доложил в своем отчете.

Спор был выигран, а руководство глубоко задумалось. Потом мы вместе придумывали как минимизировать последствия подобных атак. Которые, правда, и атаками-то сложно назвать. Никто не прорывал оборону противника, рискуя собственной жизнью, никто никого не вводил в транс, и вообще ничего противозаконного не делалось. Все было абсолютно легально и весьма просто. Но от того не менее страшно, потому что вот так, когда крупицы информации начинают складываться в мозаику, может получиться хорошая бомба, которая в умелых руках таких дел натворить может…

Примечание

Кроме интервью полезно выполнить и ряд сопутствующих мероприятий. Обязательно постойте в курилках, потолкайтесь у главного выхода. Однажды мы выехали к клиенту, на одно предприятие, а я забыл пропуск, и пару часов мне пришлось поскучать в ожидании коллеги у главного вестибюля предприятия. Так за эти пару часов я, сам того не желая, немало узнал о деятельности предприятия и о тех проблемах, которые у него на данный момент есть.

Теперь несколько небольших комментариев к этому подразделу.

О важности вживания в роль или об актерском мастерстве социальных хакеров

Кем бы не представлялся социальный хакер, какую бы роль он не играл, играть он ее должен убедительно. А для этого он должен "вжиться" в тот персонаж, который играет. Все успешные социальные хакеры – прекрасные актеры. Вживаясь в роль, они контролируют, в том числе, и свои невербальные реакции.

Примечание

О невербальных реакциях см. в приложении 1.

Простой пример. Допустим, вы мужчина, и переоделись в женщину, и хотите, чтобы все поверили, что вы – женщина. Вы сами понимаете, что просто переодеться, это мало. Потому что для того, чтобы окружающие поверили, что вы именно тот персонаж, роль которого вы играете, вы должны жить этой ролью. В нашем случае – вы должны вести себя как женщина. Даже если на вас будет работать десяток самых лучших гримеров, которые все сделают так, что "комар носа не подточит". А вы всю их работу угробите, закурив сигарету на типично мужской манер. И так далее. Если вы играете бомжа-алкоголика, значит, как только вы войдете в магазин, от вас должны все шарахаться, кричать на вас, к вам должны подскакивать охранники и под белы ручки выводить из магазина, при этом презрительно морщась.

Если человек хороший актер, то он может считать себя на 50% состоявшимся социальным хакером. Если же он еще и разбирается в психологии, то можно считать, что как социальный хакер он состоялся на 100%, потому что "охмурит" почти любого. Дело здесь в том, что очень много людей смотрят только на внешнюю атрибутику и не смотрят на суть. Это одно из основных правил социальной инженерии. Правило, которое давно поняли все, кто так или иначе связан с манипулированием людским сознанием: социальные хакеры, продюсеры, пиарщики всех мастей и рангов и т. д. Примеры действенности этого правила можно приводить сколько угодно, стоит посмотреть хотя бы результаты прошедших выборов.

Примечание

Это же правило прекрасно работает и при проведении переговоров, о которых мы подробно будем говорить в приложении 1.

Для того чтобы это правило проиллюстрировать, подробнее рассмотрим следующий пример. Предположим, что один из авторов этой книги придет читать лекцию. При этом войдет он в аудиторию неуверенной походкой, лекцию будет читать заикающимся голосом, в общем будет этаким сосредоточением робости перед слушателями. Но при этом он расскажет, что он лауреат того, сего, пятого и десятого, руководитель там-то, а еще консультант вот здесь и здесь, а также выложит перед собой все написанные научные работы и книги, коих немало. И вот если после лекции слушателям задать несколько вопросов, среди которых "Насколько, как вы считаете, автор разбирается в жизни", подавляющее большинство ответит, что по жизни он "полный дурак". Таким образом, все обратят внимание только на внешние проявления (в данном случае неуверенность), о том же, что премии и награды просто так не выдаются, книжки тоже не сами из-под пера вылетают, консультантам не за красивые глаза деньги платят, да и вообще, чтобы всего этого добиться, надо хотя бы немного "кумекать по-житейски", никто внимания, как правило, не обращает.

Примечание

С точки зрения трансактного анализа, о котором чуть позже, это объясняется тем, что в данном случае автор выступил в роли Дитя, а слушателям отвел роль Родителей. Естественно, поскольку люди местами просто помешаны на собственной значимости, Родители они мудрые и много понимающие в жизни (конечно, сточки зрения их субъективного мнения, – как в реальности, можно только догадываться). Ну а какой Родитель скажет, что Дитя разбирается в жизни? Правильно, никакой. Вообще позиция, когда вы находитесь в роли Дитя, а другим отводите роль Родителей, работая при этом в рамках трансакции Дитя – Родитель, – самая удобная для любых манипуляций.

Теперь допустим, что тот же автор перед теми же слушателями будет читать лекцию три дня спустя. Но при этом он уже будет говорить уверенно, четко, слушателей бояться не будет, а наоборот будет вести себя с ними даже слегка надменно, и так далее. И после лекции у слушателей снова спросят насчет понимания автором жизни. И вот теперь большинство ответит, что со времени прошлой лекции автор достаточно "поумнел по жизни". Таким образом, опять почти все обратят внимание только на внешнюю атрибутику, а то, что "поумнеть по жизни" за три дня мало кому удавалось, и лектор остался точно таким же, каким он и был в прошлый раз, никому и в голову не придет.

Если же социальный хакер, кроме актерского мастерства, владеет еще и психологией, то ему, как мы уже говорили, "все возрасты покорны". Потому что он очень хорошо осведомлен еще о двух других людских слабостях, играя на которых можно многого добиться.

Следующее правило социальных хакеров гласит, что "Большинство людей отрицательно зависимы от своего чувства собственной значимости". А это значит, что эта отрицательная зависимость может быть неплохой мишенью для атаки. Зависимость от чувства собственной значимости вообще сама по себе ничего плохого не означает. Наоборот: любому из нас хочется как-то и чем-то выделиться, то есть хочется чувствовать свою значимость. Вопрос в том, что выделяться можно по-разному и относиться к тому, что как-то нужно выделиться тоже можно по-разному. Отрицательная зависимость наблюдается тогда, когда человеку хочется выделиться любой ценой и делать это как можно чаще. Любой хакер, к примеру, это человек с отрицательной зависимостью от чувства собственной значимости.

Примечание

С точки зрения трансактного анализа отрицательную зависимость от чувства собственной значимости можно объяснить тем, что у такого человека слабая Взрослая компонента. Кстати, если у человека анализа слабый Взрослый (или в терминологии Фрейда слабое СуперЭго), то такому человеку достаточно лишь чуть-чуть польстить, и "он ваш". Как говорится, "что и не знал, расскажет, и что не мог, сделает".

Люди, у которых, наблюдается этот, скажем так, недостаток, очень уязвимы для действий социальных хакеров. Им действительно, очень часто достаточно только чуть-чуть польстить, чтобы они сделали для вас все, что вы захотите. Другой недостаток таких людей в том, что они очень завистливы. А зависть, по меткому выражению А. Розенбаума, это такое чувство, которое "из очень хороших людей делает очень больших скотов и подчас за очень короткое время". Зависть – это корень всех интриг. Играя на зависти одного сотрудника предприятия к другому, можно сделать очень многое. В организации распознать сотрудника, склонного к отрицательной зависимости от чувства собственной значимости, можно несложно. Иногда для этого ему достаточно сделать лишь справедливое замечание по его работе. Нормальный человек, если замечание действительно справедливо и сделано в нормальном тоне, подумает, как сделать так, чтобы такого больше не повторялось. Тот же, кто слишком много о себе возомнил, будет реагировать примерно так. Во-первых, сначала он набычится. После этого демонстративно с вами не согласится: любую наукообразную чушь начнет плести, лишь бы продемонстрировать свое несогласие. А потом либо открыто обидится, и всем своим видом будет демонстрировать, как вы его оскорбили в лучших чувствах, либо эту обиду затаит. А теперь представим, к такому "оскорбленному сотруднику" подойдет менеджер конкурирующей организации, которая спит и видит, чтобы увести у вас парочку сотрудников вместе с клиентской базой. Подойдет такой менеджер, немного "за жизнь" поговорит, польстит, а потом и скажет:

– Вижу, что вас здесь не очень-то ценят. А знаете что? Если хотите – пойдемте к нам? А? Зарплата лучше, условия лучше, коллектив лучше, и самое главное, клиентов вы будете искать не бесплатно, как здесь, а за отдельные деньги: 10% от сделки с каждого приведенного клиента (клиентская база то нужна, больше чем сам сотрудник, поэтому нужно его заинтересовать, чтобы он перетащил всех клиентов).

И очень многие пойдут.

Третье правило социальной инженерии гласит, что "Многие люди хотят, чтобы все хорошее, что только с ними в жизни может произойти, произошло как можно быстрее и желательно с минимальными усилиями с их стороны". Пример действия этого правила – тысячи обманутых вкладчиков того же пресловутого МММ, которые поверили, что вложив 100 рублей (отделавшись минимальными затратами) можно через год (и быстро, главное) получить миллион. Другой всем известный пример, это когда большинство людей голосуют за обещания кандидатов, в которых они на разный манер говорят одно и то же: "как только они придут, то все сразу будет хорошо".

Четвертое правило говорит о том, что "многие люди существа исключительно жадные до денег". Или говоря по-другому, некоторые утрачивают чувство реальности после того, как перед их носом помахать купюрой. А если не купюрой, а чемоданчиком с купюрами, то чувство реальности утрачивается всерьез и надолго. Игра на этой слабости – один из основных приемов в социальной инженерии. Применяется в разных вариациях: от банального подкупа до "писем счастья", в которых сказано, что "если перечислите на этот счет два доллара, то через месяц получите двадцать".

Социальная инженерия – это за редким исключением почти всегда игра на людских пороках и слабостях. К редким исключениям можно отнести, к примеру, излишнюю доверчивость. Хотя и здесь как сказать.

Успешный социальный хакер всегда продумывает все до мелочей. К примеру, если он пошел брать интервью, то у него будет заготовлена визитка, где будет написано, что он корреспондент такой-то газеты. Если вы позвоните по указанному номеру телефона, то тоже ничего странного не обнаружите, потому что трубку снимет девушка и обаятельным голосом произнесет:

– Редакция газеты "Мир города". Светлана Куприянова. Здравствуйте.

Договориться же о том, чтобы кто-то посидел на телефоне в течение пары часов – дело недолгое. Точно так же как договориться не только с девушкой, но и с мужчиной, который в случае чего скажет, что он главный редактор и попросит у интервьюируемого прощения за то, что "вот так вот, без предупреждения, прислали корреспондента, вы уж извините, номер горит, а информация о вашем предприятии как раз очень нужна, потому что ваше предприятие одно из значимых в нашем городе, но если конечно вы против, то Петр Семенович тут же уйдет и не будет вас беспокоить, но я очень вас прошу уделить ему времени, конечно, сколько сможете, я все понимаю, учитывая вашу занятость, как это трудно…". И ошалев от такой льстивой скороговорки генерального директора, вы соглашаетесь уделить время для интервью.

• Обязательно польстите собеседнику, показав, что вы осведомлены о его значимости в компании. Делать это лучше или вначале, прямо во время вступления к интервью, или ближе к середине разговора.

• Обязательно прорабатывайте все мелкие детали и постарайтесь узнать как можно больше информации об интервьюируемом и его деятельности еще до интервью. Люди раскрываются только перед теми, в ком они видят заинтересованного их персоной собеседника. Кроме этого, если вы "в теме", то у вас будет амплуа осведомленного человека, а по отношению к осведомленному человеку и процент доверия больше (мол, свой), и "внутренние тормоза" ослабевают (осведомленному и сболтнуть что-то лишнее не страшно, так как он наверняка и сам все это знает, а то что спрашивает – ну ему по плану его интервью там про это спрашивать положено. Однако не забывайте и говорить заведомо неверные вещи. Это тоже очень хороший прием, так как многим людям присуще желание показать свою значимость, и, как только вы покажете свою некомпетентность, они тут же станут вас поправлять.

• Наберитесь терпения. Скрытый допрос требует терпения. Никогда не торопите события. Если ваш собеседник поймет, что вам надо от него нечто большее, чем просто интервью, он просто замкнется и начнет говорить о погоде. Из этой же серии совет о том, что на собеседника ни в коем случае не стоит "давить", насильно подводя его к нужному вопросу.

• Внимательно слушайте собеседника. В течение всего времени интервью. Ни в коем случае нельзя делать так, чтобы показать свою заинтересованность каким-то конкретным вопросом. Потому что вас должны интересовать все вопросы, и тот вопрос, который вам действительно интересен, должен быть просто "одним из" в той череде вопросов, которые вы задаете. Желательно даже спланировать беседу так, чтобы интересующий вас вопрос задали не вы, а о нем стал говорить сам собеседник. Таким образом, вы должны так спланировать беседу, чтобы плавно подвести собеседника к интересующему вас вопросу.

• Не оканчивайте интервью, сразу после того, как все узнали.

После этого перейдите на нейтральные темы, и таким способом завершите разговор. Это важно не только из-за того, чтобы собеседник не заподозрил неладное, а еще и для соблюдения "закона края", согласно которому наилучшим образом запоминаются те моменты разговора, которые происходят в его начале и конце. А то, что в середине, соответственно, запоминается намного хуже. Вообще правилом хорошего тона в "вытягивании" информации является построение скрытого допроса так, чтобы собеседник вообще не узнал, что сболтнул что-то лишнее. Для этого надо соблюдать два простых правила, которые в 70% случаев приведут к нужному результату:

– маскируйте значимые для вас вопросы чередой незначимых;

– задавайте нужные вопросы в середине беседы, для того чтобы по закону края интервьюируемый забыл их первыми.

• Оставляйте благоприятное впечатление об интервью у своего собеседника. Это важно, в первую очередь, для того, чтобы ваш собеседник имел желание продолжить общение в будущем.

Примечание

О правилах ведения переговоров и о психологических законах, которые лежат в их основе, мы будем подробно говорить в приложении 1.

Простые правила, позволяющие избежать данный вид атак

Существует два очень простых правила, которые позволяют избежать данного вида атак.

• Правило первое. Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности. К сожалению, нередко это правило не соблюдается, и часто бывает так, что любой сотрудник знает не меньше генерального директора. Что, конечно же, не просто неверно, а очень опасно.

Большинство людей не умеют хранить секреты

Если вы руководитель какого угодно масштаба и ранга, запомните одно из самых важных правил, выполнение которого на много процентов обезопасит вас от многих социоинженерных атак. Правило такое: подавляющее большинство людей не могут хранить даже свои сокровенные секреты, не говоря уже о чужих. Если вы наедине поделитесь какой-либо информацией с сотней лучших сотрудников, предупредив каждого, что информация сугубо секретна, можете быть уверены, что 90 человек ее непременно "сольют на сторону". По самым разным причинам. Кто-то по глупости житейской, кто-то жене за вечерним чаем, кто-то "по пьяни", кого-то будет переполнять чувство собственной значимости, потому что "сам генеральный доверился и рассказал" и об этом, конечно же, нужно рассказать друзьям, которым никто никогда такой важной информации не доверял… Причин тут много. И они не главное – важен результат: большинство не могут хранить секреты. И, конечно, одно из качеств хорошего руководителя, – это умение разбираться в людях, которое полезно хотя бы для того, чтобы из этой сотки выделить те пять-десять человек, которым действительно не страшно довериться.

• Правило второе. Применяемое в том случае, если у кого-то из сотрудников возникнет желание с кем-то поделиться той информацией, которую ему положено знать по должности. В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной. Именно так – "ответственность вплоть до уголовной", так как все другие виды наказания (взыскания, штрафы и пр.) легко обходимы. Подумаешь, штраф какой-то. Его же не сотрудник будет платить, а та организация, которая, скажем, заказала ему вашу клиентскую базу данных, потому что к сумме счета за свои "услуги" ваш "сотрудник" просто добавит сумму штрафа.

Примечание

И еще. Небольшое добавление ко второму правилу. Вы можете себя не ограничивать в средствах запугивания своих сотрудников на предмет того, что с ними будет после того, как они что-то своруют в вашей организации. Потому что некоторых работников удержать от дурных поступков может только страх. Так как страх за свое дальнейшее будущее для многих это именно то единственное чувство, которое сильнее страсти к деньгам.

Рейдеры – это захватчики предприятий. Соответственно рейдерская атака – это атака по захвату предприятия.

Классическая схема рейдерской атаки выглядит следующим образом.

1 этап. Сбор информации о захватываемом предприятии

Как всегда, в любом виде деятельности, сбор информации – самый важный подготовительный этап. На этом этапе собирается и анализируется вся информация о предприятии: финансовая ситуация на предприятии, список контрагентов, список клиентов, список акционеров (реестр акционеров), информация о слабых и сильных сторонах предприятия, о вредных привычках руководства и сотрудников, кто с кем и против кого дружит на предприятии, информация о маркетинговых планах и прочее, прочее. На первом этапе в большинстве своем работают методы социальной инженерии, с помощью которых, как мы уже говорили ранее, собирать информацию легче всего. Как правило, этот этап занимает от одного до трех месяцев в зависимости от масштабов предприятия и от сложности добывания нужной информации. Самое важное для рейдера на этом этапе – получить тем или иным способом копию реестра акционеров.

2 этап. Начало атаки

Началом атаки можно считать тот момент, когда рейдер начинает скупку акций у миноритарных акционеров. Миноритарии, как правило, с акциями расстаются очень легко, так как реально ощутимых дивидендов по ним практически не получают, а рейдеры предлагают за акции суммы в размере годового оклада.

Примечание

Миноритарные акционеры – это акционеры с небольшим количеством акций. К примеру, в начале 90-х годов в разгул приватизации очень нередко, когда почти каждый работник какого-то большого предприятия с несколькими тысячами человек сотрудников имел по две-три акции. Вот такие акционеры и называются миноритарными.

Параллельно со скупкой акций у миноритариев проходит работа по "закошмариванию предприятия", если выражаться на рейдерском языке. Основная цель "закошмаривания" – дезорганизация работы предприятия. Кроме этого достигается также побочная цель: колеблющимся акционерам демонстрируется, что на предприятии имеются большие проблемы, после чего они со своими акциями расстаются гораздо охотнее. Второй этап для предприятия это действительно кошмар, лучше слово сложно придумать: руководству вчиняются иски от имени акционеров по поводу нарушения различных операций с акциями, нарушении порядка проведения сделок (о чем рейдер узнает на первом этапе), в отношении руководства и сотрудников предприятия возбуждаются уголовные дела (неважно по реальным поводам или нет – главная цель это издергать людей), инициируются проверки деятельности предприятия различными службами (налоговой инспекцией, санэпидстанцией, противопожарной службой, природоохранной прокуратурой и т. д. – чем больше, тем лучше), для парализации работы предприятия используется тактика гринмейлера, и т.д.

Примечание

На языке рейдеров гринмейл – это корпоративный шантаж, достигаемый реализацией прав мелких акционеров агрессивным образом или "закошмариванием" предприятия.

Способов, причем абсолютно легальных, "закошмарить" практически любое предприятие очень много. По сути, при "закошмаривании" предприятию устраивается классическая DDoS-атака (отказ от обслуживания) на социальном уровне.

Примечание

Как правило, при "закошмаривании" предприятия основную роль играют именно социальные хакеры, которые используют в своей работе методы социального программирования.

Руководство предприятия, видя, что стало объектом рейдерской атаки, как правило, начинает идти на увольнение работников, продающих свои акции, с целью устрашения тех, кто еще свои акции не продал. Иногда это дает результат, иногда нет. Кроме того, акции предприятия переводятся в доверительное управление или передаются в залог какой-нибудь конторе, подконтрольной предприятию. После этого руководством, как правило, проводится дополнительная эмиссия акций и организуется контрскупка акций.

3 этап. Внесение раскола в состав руководства предприятия

Для того чтобы заполучить предприятие практически легально, рейдерам достаточно 30% плюс одна акция. Однако в настоящее время ситуация такова, что управление предприятия держит в своих руках от 70% и более акций (так называемый консолидированный пакет). Поэтому рейдеру необходимо внести раскол между членами управляющего органа предприятия, для чего рейдер пытается расколоть управляющий орган, сыграв на различных внутренних противоречиях между управленцами предприятия (о их внутренних противоречиях тоже узнается на первом этапе). По сути 3-й этап – это этап "плетения интриг" между руководителями предприятия и этап скупки акций у основных держателей, которым делаются различные "интересные предложения".

Кроме того, на этом же этапе формируется оппозиция из недовольных миноритарных акционеров, для того, чтобы под флагом этой оппозиции рейдеры могли проникнуть на предприятие.

Руководство предприятия на этом этапе, как правило, делает два шага:

• пытается теми или иными способами смягчить конфликт между управленцами предприятия;

• идет на уступки миноритарным акционерам с целью смягчения давления оппозиции.

4 этап. Работа с активами предприятия

На этом этапе руководство предприятия пытается сделать так, чтобы захват предприятия потерял для рейдера смысл. Для этого руководству нужно либо вывести активы предприятия, либо каким-либо образом их обременить. Рейдеры же, естественно, пытаются этого не допустить.

5 этап. Вход на предприятие

Теперь рейдеру нужно легальным образом зайти на предприятие. Основной метод: внеочередное собрание акционеров и переизбрание совета директоров. Делается это примерно следующим образом. Если у рейдера имеется 30% плюс одна акция, то в действующий орган управления предприятием посылается требование о созыве внеочередного собрания акционеров. После того, как основное собрание проигнорирует требование, рейдеры имеют право провести такое собрание самостоятельно.

Примечание

Как правило, подобные собрания проводятся скрытно, чтобы на нем могли присутствовать только подконтрольные рейдеру акционеры. Известно немало случаев, когда подобные собрания проводились в воинских частях. Таким образом, рейдеры делают все, чтобы "ненужные акционеры" не попали на собрание. Известны случаи, когда рейдеры для этой цели разыгрывали целые спектакли. К примеру, перед входом в здание, где должно проходить собрание акционеров, представители рейдера на входе в здание перехватывали ненужных участников собрания и вели их в другой зал этого же здания, где перед ними разыгрывался спектакль под названием "собрание акционеров", а в это время на настоящем собрании в другом зале рейдерская партия большинством голосов переизбирала совет директоров. Иногда применяется обратный подход, при котором, наоборот, оппоненты допускаются на собрание для того, чтобы всему миру показать, что все законно, что на собрании были не только подконтрольные рейдеру оппоненты, но и представители противоположной стороны. Только при этом акции оппонента каким-либо образом "блокируются", т. е. делается так, что оппонент временно не может воспользоваться своими акциями (и, следовательно, иметь право голоса), к примеру, из-за того, что на него заведено уголовное дело на предмет того, что когда-то он добыл эти акции незаконным путем.

На первом собрании 30% плюс одна акция не является достаточным кворумом для принятия решения, поэтому на первом собрании констатируется отсутствие кворума, эта констатация заносится в протокол собрания, и все расходятся. Изюминка в том, что если собрать собрание повторно, 30% плюс одна акция уже будет кворумом, и решения принимаются большинством голосов. Решения и принимаются: прекратить полномочия прежнего совета директоров и избрать новый совет директоров. Таким образом создается параллельный орган управления. Умные рейдеры, как правило, делают еще один остроумный шаг. Они делают так, что один из участников собрания …направляет в суд претензию к проведению собрания и просит признать суд собрание недействительным. Казалось бы: зачем рейдерам это надо? Это же кажется нелогичным. На самом же деле все логично. Повод для претензии выбирается очень формальный, и, желательно, какой-то вздорный, в общем, такой, который суд не признает значимым. Суд и не признает и отказывает в удовлетворении иска. А поскольку заседание суда прошло, то у рейдера появляется документ о том, что фактически суд признал собрание легитимным (это называется словом преюдиция). Документ этот, естественно, очень ценный.

После того, как произошло собрание акционеров с переизбранием совета директоров, по сути, предприятие в руках рейдеров, и параллельный орган управления берет на себя контроль над деятельностью предприятия.

Дальнейшее развитие событий зависит от того, какую цель ставили перед собой рейдеры, захватывая предприятие. Если они захватывали предприятие только из соображений наживы, то после захвата быстро реализуется цепочка по продаже предприятия. Нередко, что в результате реализации этой цепочки предприятие попадает к добросовестному хозяину. Если же целью рейдеров был бизнес предприятия, то после захвата начинается этап "ликвидации последствий военных действий": начинаются выплаты зарплат сотрудникам, делаются перечисления в бюджет и т. д.

Примечание

Нередки случаи, когда прежние руководители предприятия переквалифицировались в рейдеров и начинали отбирать у захватчиков свое бывшее родное предприятие по всем правилам рейдерской атаки.

Вот примерно так происходят рейдерские атаки на различные предприятия.

Примечание

Естественно, подробное описание всех этапов рейдерской атаки выходит за рамки данной книги, но нам это и не особо важно. Для нас важно то, что на многих этапах этой атаки используются приемы социальной инженерии и социального программирования.

Где же применяется социальная инженерия и социальное программирование при организации рейдерских атак?

Социальная инженерия в классическом виде применяется в основном на первом этапе, то есть тогда, когда собирается информация об организации. А как мы говорили ранее, собирать информацию проще всего методами социальной инженерии. На втором этапе к методам социальной инженерии добавляются методы социального программирования, поскольку второй этап – начало рейдерской атаки это уже не сбор информации, а работа по дестабилизации деятельности предприятия и здесь лучше подходят различные методы социального программирования, один из которых – устройство предприятию атаки "отказ от обслуживания". Методы же социальной инженерии на втором этапе тоже могут применяться, к примеру, для дискредитации компании в сети Интернет. Для этого, как правило, используются форумы на сайте компании и прочие инструменты, посредством которых представители компании общаются в Интернете с посетителями своего сайта. Ну и, конечно, на третьем этапе, этапе интриг и заговоров, без социального программирования тоже никуда (конечно, в области его отрицательного применения). Таким образом, основные и значимые этапы "рейдерского наезда" – это социальное хакерство в чистом виде.

Почему социальное хакерство и социальное программирование популярный инструмент для рейдерских атак?

Дело в том, что основная концепция социального программирования состоит в том, что многие поступки людей и групп людей предсказуемы и подчиняются определенным законам. Простой и банальный пример. Если на предприятии стало плохо, то люди с него побегут. Совершенно всем понятная вещь. А ведь это социальное программирование в чистом виде. Сотрудники предприятия – это большая социальная группа. А сказав фразу "если на предприятии стало плохо, то люди с него побегут" мы, по сути, сказали, что разработали метод воздействия на большую социальную группу, которой в данном случае является многотысячная армия сотрудников предприятия. Таким образом, мы предсказали, как будет вести себя данная социальная группа под воздействием некоторой внешней силы. Внешняя сила здесь – ухудшение обстановки на предприятии, а прогнозируемый нами способ поведения – это констатация того факта, что при ухудшении условий сотрудники предприятие покинут. Все просто и банально, и, несмотря на это, мы увидели, что даже большой социальной группой можно вполне осознанно управлять, так как ее действия вполне прогнозируемы.

Как определить начало рейдерской атаки?

О том, что вас начали атаковать, можно определить по следующим признакам.

• Начались проверки предприятия различными инстанциями: налоговой полицией, санэпидстанцией, МЧС, МВД, различными надзорными организациями и др. Причем проверяющие просят предоставить копии документов, в которых указаны сведения об активах фирмы, о кредиторской задолженности, об акционерах.

• В средствах массовой информации (СМИ) появляются негативные статьи о предприятии, о его руководстве, да и вообще неожиданно ни с того ни с сего СМИ вдруг стали проявлять повышенную активность в отношении предприятия.

Примечание

Особенно этот пункт должен вас насторожить, если в СМИ появляются сообщения об ущемлении прав миноритарных акционеров.

• Акционеры вдруг получили заказные письма с уведомлением о вручении, в которых находится, к примеру, поздравление с ближайшим праздником. Или вообще ничего не находится. Или находится простой чистый лист бумаги. Не важно. Главное, что таким образом те, кто собрался вас атаковать имитируют формальность, так как согласно закону перед созывом внеочередного собрания акционеров нужно им направить предложение о созыве такого собрания. Вот и направили. А потом в суде атакующие скажут, что акционерам направлялось предложение о продаже их акций, а совету директоров предприятия было направлено предложение о внеочередном созыве собрания акционеров. Судья попросит предъявить доказательства того, что такие письма были направлены. Этим доказательством будет уведомление о вручении письма. А то, что противоположная сторона будет говорить, что, мол, не правда, там открытки лежали, так на это всегда можно сказать, что там лежали реальные документы, а про открытки это все наглая ложь.

• Миноритарные акционеры начинают проявлять интерес к деятельности предприятия, чего за ними никогда не замечалось.

Примечание

Особенно надо насторожиться в том случае, когда действуют не они сами, а по генеральной доверенности от их имени действуют какие-то родственники, которые, как нельзя кстати, являются большими специалистами в корпоративном праве.

• Вам стали часто поступать предложения о продаже ваших акций или их доли.

Теперь несколько примеров того, как рейдеры атаковали некоторые предприятия.

К руководителю ООО "Памир"[2] поздно ночью, когда он возвращался с работы, подошли два человека, которые представились сотрудниками правоохранительных органов, и предложили пройти с ними, чтобы подписать документы о передаче его доли акций, мотивировав это тем, что мол, поскольку фирма не платит налогов, у нее скоро начнутся серьезные проблемы. А сотрудники правоохранительных органов, так получилось, являются доброжелателями фирмы, так как сами не раз обращались за услугами в "Памир" и теперь хотят помочь руководству. Мол, у них на конспиративной квартире сидит покупатель, и если продать ему свою долю сейчас, то хоть какие-то деньги получишь, а через полгода вас все равно разорят, и останешься только должен. Фирма налоги платила исправно, грозы ничего не предвещало, серьезной аргументации "сотрудники правоохранительных органов" не имели. Директор от такой сомнительной сделки отказался, и вроде бы все затихло. Но через год после этого случая в 000 "Памир" к руководству пришел человек с предложением продать все предприятие или долю в нем, на что руководитель ему ответил, что никто ничего продавать не собирается. Через некоторое время после этого аналогичные предложения поступили остальным акционерам Общества. Они также отказались от продажи и поставили в известность руководство, которое справедливо заключило, что фирму кто-то взял "на мушку". Руководство, проанализировав ситуацию, поняло, что кому-то стало известно о некоторых пробелах в уставной документации Общества и срочно исправило их. После того, как были приняты изменения в уставе Общества, согласно которым любые изменения в учредительные документы может вносить только лично директор или те, из учредителей, которые получили от него генеральную доверенность, предложения о продаже поступать перестали.

Но так гладко все бывает не всегда. Согласно публикации в одной из газет, у ЗАО "Элерон", которое являлся собственником большого участка земли и недвижимости на нем, рейдерская атака на него последовала даже несмотря на то, что все документы были оформлены идеально. По уставу общества доли в нем могли переходить только между акционерами общества, третьим же лицам, согласно уставу, продажа долей была запрещена. После того как одна из участниц продала свои акции, от ее имени началась рейдерская атака, хотя по закону ее доля перешла остальным членам общества. Рейдеры от ее имени направили иск в арбитражный суд. Дальше было много неприятностей, и судебных заседаний, и "закошмаривания". Руководство фирмы и ее адвокаты обращались во многие инстанции, но везде им говорили примерно одно и то же, что, мол, пока фирму не отнимут, спокойной жизни не ждите. Ситуация разрешилась только после того, как руководство заручилось поддержкой высших лиц области.

Заметим, что сейчас количество рейдерских атак в рамках рассмотренной классической схемы пошло на убыль. Связано это с тем, что законодательство изменилось в лучшую сторону, оставив для рейдеров уже не такое большое количество законных возможностей по захвату предприятия. Кроме того, в крупных регионах уже почти все захватили. Ну и, наконец, основная причина на наш взгляд в том, что бизнес успешно учится защищаться, и самые лакомые кусочки рейдерам (основной пакет акций и активы предприятия) уже достать очень сложно, потому что активы предприятия, как правило, надежно спрятаны, а основной пакет акций консолидирован у руководства. Поэтому сейчас, как правило, применяется уже не классическая рейдерская атака, а так называемая тактика гринмейлеров. Дело здесь в том, что по закону "Об акционерных обществах" владение даже одной акцией позволяет такому акционеру запрашивать любую информацию о сделках компании, информацию об акционерах и т. д. И в принципе, поработав, можно даже с помощью одной акции перехватить власть у реального руководства. Руководство же знает, что связываться с профессиональными шантажистами – себе дороже, поэтому предпочитает от них откупаться. В результате за небольшой пакет акций (или даже за одну акцию гринмейлер получает неплохую сумму). Вот, примерно, таким образом гринмейлеры и зарабатывают.