ифыафыв. Максим Кузнецов Игорь Симдянов СанктПетербург бхвпетербург 2007

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
60 ров. Кроме того, что в браузерах будут создаваться черные списки фишинг-сайтов, предложено еще несколько способов.
 Генераторы одноразовых паролей Поскольку суть фишинга состоит в получении паролей и банковских сведений, необходимых для доступа к электронным счетам пользователей, использование генераторов одноразовых паролей позволяет обойти этот вид мошенничества. Генератор одноразовых паролей на вид напоминает обычный небольшой карманный калькулятор. Когда пользователь заходит на сайт банка, для того чтобы получить доступ к своему счету, ему необходимо ввести показанную генератором последовательность символов. Банк применяет тот же алгоритм для создания пароля. Доступ предоставляется только в том случае, когда оба пароля совпадают. Такой пароль нельзя украсть по той простой причине, что доступ по нему можно получить только один раз. Минусы использования такой системы состоят в дополнительных расходах для клиентов.
Ïðèìå÷àíèå В настоящее время генераторы одноразовых паролей применяют многие банки США и Европы, а также крупные интернет- провайдеры, к примеру, провайдер AOL.
 Использование устройств Суть данного приема сводится к тому, что пользователь не сможет получить доступ к своему счету, если он не подключит устройство к своему компьютеру. В этом случае мошенники также не смогут получить доступ к счету пользователя.
Ïðèìå÷àíèå Наряду с устройствами предлагалось использовать также специальные карты с микросхемами, которые вставляются в считывающее устройство, подключенное к компьютеру. Однако от этого варианта отказываются, как от дорогостоящего.
 Мобильное подтверждение Суть этого приема в том, что доступ к карте осуществляется только после того, как пользователь отправит со своего мобильного телефона, номер которого он сообщил банку, какое- либо сообщение SMS (Short Message Service).
 Хеширование паролей конкретного сайта Хеширование паролей предотвращает кражу конфиденциальных данных путем добавления к паролю информации, специфичной для того сайта, где предполагается применить пароль. Пользователь просто вводит в специальной форме свой пароль, а браузер преобразует его и добавляет необходимую информацию. Суть в том, что сайту, на котором пользователь вводит пароль, этот пароль в чистом виде не сообщается, на сайт приходит уже хешированный пароль. Таким образом, даже если пользователь и введет свой пароль на фальшивом сайте, то хакеры его применить не смогут. На настоящем же сайте применяется та же схема хеширования, что и у владельца карты.
Ôàðìèíã Более опасным видом мошенничества, чем фишинг, является так называемый фарминг. Фарминг заключается в изменении DNS- адресов так, чтобы страницы, которые посещает пользователь, былине оригинальными страницами, скажем, банков, а фишинг- страницами. Поскольку суть фарминга сводится к автоматическому перена- правлению пользователей на фальшивые сайты, фарминг гораздо более опасен, чем фишинг, так как в отличие от последнего новый метод хищения данных не требует отсылки писем потенциальным жертвами соответственно их ответа на них. Это, естественно, более изощренный, хотя и технически намного более сложный метод мошенничества, чем фишинг. Но зато при фар- минге у пользователя практически нет причин проявлять свою недоверчивость писем никто не присылал, на сайт никто заходить не просил. Пользователь сам по своему желанию решил зайти на сайт банка, и зашел. Только не на оригинальный, а на поддельный сайт. Опасность фарминга многие исследователи связывают еще и стем, что с целью его развития хакеры будут предпринимать все

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
62 больше атак на серверы, и эти атаки будут все изощреннее. Опасно же это тем, что если количество взломов серверов возрастет, то это приведет к настоящему хаосу в мировой сети.
Ïðèìå÷àíèå Служба DNS (Domain Name System) предназначена для того, чтобы сопоставить адрес сайта, который пользователь набрал в браузере, реальному адресу того сервера, на котором этот сайт расположен. Службу DNS нередко сравнивают с телефонным справочником, в котором вы сначала выбираете имя, потом смотрите номер и звоните по указанному номеру. Таки здесь выбираете имя сайта, служба DNS говорит вам его "номер" (адрес, после чего вы идете на указанный сайт. Кроме роста взлома серверов, исследователи также прогнозируют рост сетевых взломов типа ARP-spoofing, который, по сути, представляет собой подмену адреса и предназначен для прослушивания трафика между двумя машинами.
Ïðèìå÷àíèå Протокол ARP используется компьютерами для обращения друг к другу в пределах одной сети путем преобразования адреса в адрес нужного компьютера, после чего происходит связь по протоколу Ethernet.
Ðåéäåðñêèå àòàêè Рейдеры — это захватчики предприятий. Соответственно рейдер- ская атака — это атака по захвату предприятия. Классическая схема рейдерской атаки выглядит следующим образом Как всегда, в любом виде деятельности, сбор информации — самый важный подготовительный этап. На этом этапе собирается и анализируется вся информация о предприятии финансовая ситуация на предприятии, список контрагентов, список клиентов, список акционеров (реестр акционеров, информация о слабых и сильных сторонах предприятия, о вредных привычках руководства и сотрудников, кто с кем и против кого дружит на предприятии, информация о маркетинговых планах и прочее, прочее. На первом этапе в большинстве своем работают методы социальной инженерии, с помощью которых, как мы уже говорили ранее, собирать информацию легче всего. Как правило, этот этап занимает от одного до трех месяцев в зависимости от масштабов предприятия и от сложности добывания нужной информации. Самое важное для рейдера на этом этапе — получить тем или иным способом копию реестра акционеров.
2 ýòàï. Íà÷àëî àòàêè Началом атаки можно считать тот момент, когда рейдер начинает скупку акций у миноритарных акционеров. Миноритарии, как правило, с акциями расстаются очень легко, так как реально ощутимых дивидендов по ним практически не получают, а рейдеры предлагают за акции суммы в размере годового оклада.
Ïðèìå÷àíèå
Миноритарные акционеры — это акционеры с небольшим количеством акций. К примеру, вначале х годов в разгул приватизации очень нередко, когда почти каждый работник какого-то большого предприятия с несколькими тысячами человек сотрудников имел по две-три акции. Вот такие акционеры и называются миноритарными. Параллельно со скупкой акций у миноритариев проходит работа по "закошмариванию предприятия, если выражаться на рейдер- ском языке. Основная цель "закошмаривания" — дезорганизация работы предприятия. Кроме этого достигается также побочная цель колеблющимся акционерам демонстрируется, что на предприятии имеются большие проблемы, после чего они со своими акциями расстаются гораздо охотнее. Второй этап для предприятия это действительно кошмар, лучше слово сложно придумать руководству вчиняются иски от имени акционеров по поводу нарушения различных операций с акциями, нарушении порядка проведения сделок (о чем рейдер узнает на первом этапе, вот- ношении руководства и сотрудников предприятия возбуждаются уголовные дела (неважно по реальным поводам или нет — главная цель это издергать людей, инициируются проверки деятельности предприятия различными службами (налоговой инспекцией, санэпидстанцией, противопожарной службой, природоохранной прокуратурой и т. д. — чем больше, тем лучше, для парализации работы предприятия используется тактика гринмейлера, и т. д.
Ïðèìå÷àíèå На языке рейдеров гринмейл — это корпоративный шантаж, достигаемый реализацией прав мелких акционеров агрессивным образом или "закошмариванием" предприятия. Способов, причем абсолютно легальных, "закошмарить" практически любое предприятие очень много. По сути, при "закошма- ривании" предприятию устраивается классическая атака отказ от обслуживания) на социальном уровне.
Ïðèìå÷àíèå Как правило, при "закошмаривании" предприятия основную роль играют именно социальные хакеры, которые используют в своей работе методы социального программирования. Руководство предприятия, видя, что стало объектом рейдерской атаки, как правило, начинает идти на увольнение работников, продающих свои акции, с целью устрашения тех, кто еще свои акции не продал. Иногда это дает результат, иногда нет. Кроме того, акции предприятия переводятся в доверительное управление или передаются в залог какой-нибудь конторе, подконтрольной предприятию. После этого руководством, как правило, проводится дополнительная эмиссия акций и организуется контр- скупка акций.
3 ýòàï. Âíåñåíèå ðàñêîëà
â ñîñòàâ ðóêîâîäñòâà ïðåäïðèÿòèÿ Для того чтобы заполучить предприятие практически легально, рейдерам достаточно 30% плюс одна акция. Однако в настоящее время ситуация такова, что управление предприятия держит в своих руках от 70% и более акций (так называемый консолидированный пакет. Поэтому рейдеру необходимо внести раскол между членами управляющего органа предприятия, для чего рейдер

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè
65 пытается расколоть управляющий орган, сыграв на различных внутренних противоречиях между управленцами предприятия о их внутренних противоречиях тоже узнается на первом этапе. По сути й этап — это этап "плетения интриг" между руководителями предприятия и этап скупки акций у основных держателей, которым делаются различные "интересные предложения. Кроме того, на этом же этапе формируется оппозиция из недовольных миноритарных акционеров, для того, чтобы под флагом этой оппозиции рейдеры могли проникнуть на предприятие. Руководство предприятия на этом этапе, как правило, делает два шага
 пытается теми или иными способами смягчить конфликт между управленцами предприятия
 идет на уступки миноритарным акционерам с целью смягчения давления оппозиции.
4 ýòàï. Ðàáîòà ñ àêòèâàìè ïðåäïðèÿòèÿ На этом этапе руководство предприятия пытается сделать так, чтобы захват предприятия потерял для рейдера смысл. Для этого руководству нужно либо вывести активы предприятия, либо ка- ким-либо образом их обременить. Рейдеры же, естественно, пытаются этого не допустить.
5 ýòàï. Âõîä íà ïðåäïðèÿòèå Теперь рейдеру нужно легальным образом зайти на предприятие. Основной метод внеочередное собрание акционеров и переизбрание совета директоров. Делается это примерно следующим образом. Если у рейдера имеется 30% плюс одна акция, тов действующий орган управления предприятием посылается требование о созыве внеочередного собрания акционеров. После того, как основное собрание проигнорирует требование, рейдеры имеют право провести такое собрание самостоятельно.
Ïðèìå÷àíèå Как правило, подобные собрания проводятся скрытно, чтобы на нем могли присутствовать только подконтрольные рейдеру акционеры. Известно немало случаев, когда подобные собрания проводились в воинских частях. Таким образом, рейдеры делают все, чтобы "ненужные акционеры" не попали на собрание. Известны случаи, когда рейдеры для этой цели разыгрывали целые спектакли. К примеру, перед входом в здание, где должно проходить собрание акционеров, представители рейдера на входе в здание перехватывали ненужных участников собрания и вели их в другой зал этого же здания, где передними разыгрывался спектакль под названием "собрание акционеров, а в это время на настоящем собрании в другом зале рейдерская партия большинством голосов переизбирала совет директоров. Иногда применяется обратный подход, при котором, наоборот, оппоненты допускаются на собрание для того, чтобы всему миру показать, что все законно, что на собрании былине только подконтрольные рейдеру оппоненты, но и представители противоположной стороны. Только при этом акции оппонента каким-либо образом "блокируются, те. делается так, что оппонент временно не может воспользоваться своими акциями (и, следовательно, иметь право голоса, к примеру, из-за того, что на него заведено уголовное дело на предмет того, что ко- гда-то он добыл эти акции незаконным путем. На первом собрании 30% плюс одна акция не является достаточным кворумом для принятия решения, поэтому на первом собрании констатируется отсутствие кворума, эта констатация заносится в протокол собрания, и все расходятся. Изюминка в том, что если собрать собрание повторно, 30% плюс одна акция уже будет кворумом, и решения принимаются большинством голосов. Решения и принимаются прекратить полномочия прежнего совета директоров и избрать новый совет директоров. Таким образом создается параллельный орган управления. Умные рейдеры, как правило, делают еще один остроумный шаг. Они делают так, что один из участников собрания направляет в суд претензию к проведению собрания и просит признать суд собрание недействительным. Казалось бы зачем рейдерам это надо Это же кажется нелогичным. На самом же деле все логично. Повод для претензии выбирается очень формальный, и, желательно, какой- то вздорный, в общем, такой, который судне признает значимым. Суди не признает и отказывает в удовлетворении иска. А поскольку заседание суда прошло, то у рейдера появляется документ о том, что фактически суд признал собрание легитимным это называется словом преюдиция). Документ этот, естественно, очень ценный.

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè
67 После того, как произошло собрание акционеров с переизбранием совета директоров, по сути, предприятие в руках рейдеров, и параллельный орган управления берет на себя контроль над деятельностью предприятия. Дальнейшее развитие событий зависит оттого, какую цель ставили перед собой рейдеры, захватывая предприятие. Если они захватывали предприятие только из соображений наживы, то после захвата быстро реализуется цепочка по продаже предприятия. Нередко, что в результате реализации этой цепочки предприятие попадает к добросовестному хозяину. Если же целью рейдеров был бизнес предприятия, то после захвата начинается этап "ликвидации последствий военных действий начинаются выплаты зарплат сотрудникам, делаются перечисления в бюджет и т. д.
Ïðèìå÷àíèå Нередки случаи, когда прежние руководители предприятия переквалифицировались в рейдеров и начинали отбирать у захватчиков свое бывшее родное предприятие по всем правилам рейдер- ской атаки. Вот примерно так происходят рейдерские атаки на различные предприятия.
Ïðèìå÷àíèå Естественно, подробное описание всех этапов рейдерской атаки выходит за рамки данной книги, нонам это и не особо важно. Для нас важно то, что на многих этапах этой атаки используются приемы социальной инженерии и социального программирования. Где же применяется социальная инженерия и социальное программирование при организации рейдерских атак Социальная инженерия в классическом виде применяется в основном на первом этапе, то есть тогда, когда собирается информация об организации. А как мы говорили ранее, собирать информацию проще всего методами социальной инженерии. На втором этапе к методам социальной инженерии добавляются методы социального программирования, поскольку второй этап — начало рейдерской атаки это уже не сбор информации, а работа по дестабилизации деятельности предприятия и здесь лучше подходят различные методы социального программирования, один из которых — устройство предприятию атаки "отказ от обслуживания. Методы же социальной инженерии на втором этапе тоже могут применяться, к примеру, для дискредитации компании в сети Интернет. Для этого, как правило, используются форумы на сайте компании и прочие инструменты, посредством которых представители компании общаются в Интернете с посетителями своего сайта. Ну и, конечно, на третьем этапе, этапе интриги заговоров, без социального программирования тоже никуда (конечно, в области его отрицательного применения. Таким образом, основные и значимые этапы "рейдерского наезда" — это социальное хакерство в чистом виде. Почему социальное хакерство и социальное программирование популярный инструмент для рейдерских атак Дело в том, что основная концепция социального программирования состоит в том, что многие поступки людей и групп людей предсказуемы и подчиняются определенным законам. Простой и банальный пример. Если на предприятии стало плохо, то люди с него побегут. Совершенно всем понятная вещь. А ведь это социальное программирование в чистом виде. Сотрудники предприятия это большая социальная группа. А сказав фразу "если на предприятии стало плохо, то люди с него побегут" мы, по сути, сказали, что разработали метод воздействия на большую социальную группу, которой в данном случае является многотысячная армия сотрудников предприятия. Таким образом, мы предсказали, как будет вести себя данная социальная группа под воздействием некоторой внешней силы. Внешняя сила здесь — ухудшение обстановки на предприятии, а прогнозируемый нами способ поведения — это констатация того факта, что при ухудшении условий сотрудники предприятие покинут. Все простои банально, и, несмотря на это, мы увидели, что даже большой социальной группой можно вполне осознанно управлять, так как ее действия вполне прогнозируемы. Как определить начало рейдерской атаки О том, что вас начали атаковать, можно определить последующим признакам.

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè
69
 Начались проверки предприятия различными инстанциями налоговой полицией, санэпидстанцией, МЧС, МВД, различными надзорными организациями и др. Причем проверяющие просят предоставить копии документов, в которых указаны сведения об активах фирмы, о кредиторской задолженности, об акционерах.
 В средствах массовой информации (СМИ) появляются негативные статьи о предприятии, о его руководстве, да и вообще неожиданно ни с того ни с сего СМИ вдруг стали проявлять повышенную активность в отношении предприятия.
Ïðèìå÷àíèå Особенно этот пункт должен вас насторожить, если в СМИ появляются сообщения об ущемлении прав миноритарных акционеров.
 Акционеры вдруг получили заказные письма с уведомлением о вручении, в которых находится, к примеру, поздравление с ближайшим праздником. Или вообще ничего не находится. Или находится простой чистый лист бумаги. Неважно. Главное, что таким образом те, кто собрался вас атаковать имитируют формальность, так как согласно закону перед созывом внеочередного собрания акционеров нужно им направить предложение о созыве такого собрания. Вот и направили. А потом в суде атакующие скажут, что акционерам направлялось предложение о продаже их акций, а совету директоров предприятия было направлено предложение о внеочередном созыве собрания акционеров. Судья попросит предъявить доказательства того, что такие письма были направлены. Этим доказательством будет уведомление о вручении письма. А то, что противоположная сторона будет говорить, что, мол, неправда, там открытки лежали, так на это всегда можно сказать, что там лежали реальные документы, а про открытки это все наглая ложь.