Бизнес разведка. Изучение юридических лиц
Привет, друг. Сегодня поговорим про такое модное сейчас словосочетание, как бизнес разведка. Я уже затрагивал эту тему, а именно писал про офшоры и про то, как там собирать информацию, но сегодня рассмотрим вопрос более широко, ну или менее узко, тут кому как нравится.
Для понимания сути и чтобы не влезать глубоко в теорию, определимся что бизнес разведка это такое направление в OSINT, которое включает в себя сбор и анализ информации о коммерческих структурах и связанных с ними лицах. Но определения вторичны, первичен процесс. Потому на нём и сосредоточимся. Тема, конечно очень обширная, и разговаривать про неё можно бесконечно долго, но я постараюсь рассказать ключевые аспекты, достаточные для того чтобы начать всё это использовать на каком-то более-менее достойном уровне. Сначала разберем некоторые теоретические вопросы, а потом сосредоточимся на конкретных ситуациях и порядке действий.
Для начала нужно разобраться с некоторыми моментами, которые не помешает понимать если ты хочешь применять это на практике. Можем назвать их основными принципами.
Бизнес разведка. Основные принципы
Первое. Бизнес разведка это не какое-то автономное направление, которое существует само по себе. Она не ограничивается гуглированием чего-либо или изучением каких-то реестров или баз данных. Почти всегда тебе понадобится задействовать целый комплекс навыков. Это может быть анализ социальных сетей, изучение сайтов, сбор персональных данных, поиск и изучение документации, ну и так далее. Смысл в том, что тот комплекс мероприятий который тебе придётся задействовать, на прямую зависит от намеченной цели. Исходя из этого можно сформулировать второй важный принцип.
Второе. Бизнес разведка как процесс, очень требовательна к чёткому формулированию и пониманию конечной цели или, другими словами, нужного результата. Это объясняется очень просто. Изучение даже средних размеров фирмы, может сформировать до неприличного большой объём информации. Даже если пройтись по верхам, то это регистрационные данные, недвижка, сайты, социальные сети, сотрудники, возможно их родственники. А если ещё добавить контрагентов, то каждый из них потянет за собой ещё кучу информации. И это далеко не полный объём потенциально доступных данных. И теперь представь сколько не нужной информации придётся обработать если ты чётко не понимаешь чего хочешь. Конечно, можно работать и так, но только если твоя организация называется Артель «Бесполезный Труд». А на практике, первое что ты должен сделать это чётко наметить конечную цель и нужный результат.
Другой вопрос в том, что в процессе изучения ты можешь нащупать ещё какую-то интересную тему. Но её мы всегда можем вывести в дополнительное расследование. Перепрыгивать, в процессе, с темы на тему явно не стоит, так как высока вероятность запутаться и пропустить что-то важное.
Третье. Анализ данных. Даже при чётко сформулированной цели тебе всё равно придётся обработать довольно большой объём информации. А значит собранная информация должна быть сначала проанализирована, а затем чётко структурирована. Особенно это важно если ты собрался свой отчёт кому-то показывать. В этой ситуации он должен быть понятен постороннему человеку. Этого можно достичь используя логически верное построение структуры отчёта. Но опять же всё зависит от конечной цели. Если нужно просто собрать регистрационные данные, то структура не слишком важна. А вот если ты делаешь какие-то выводы, то нужно, во-первых показать пруфы подтверждающие твои выводы, а во-вторых продемонстрировать причинно-следственную связь между найденными фактами, произошедшими событиями и сделанными тобой выводами.
Четвёртое. Это не есть обязательное требование, но будет совсем не плохо если ты будешь, хотя бы базово, разбираться в экономической и налоговой терминологии и законодательстве. Хотя бы для того чтобы не выглядеть валенком в какой-то беседе. Ну, а если ты планируешь работать в сфере бизнес разведки, то этот скилл переходит в разряд обязательных. Потому как будет очень странно выглядеть, когда человек пытается анализировать какую-то структуру, но при этом не знает, например, какие бывают формы собственности.
Хорошая новость в том, что специально лопатить учебники по экономике или налоговый кодекс совсем не обязательно. В процессе сбора информации, когда ты сталкиваешься с каким-то термином или процессом, которые ты не понимаешь как работает или что означает, то достаточно просто изучить информацию именно об этом моменте, необходимую для базового понимания сути. В большинстве случаев этого хватит. И таким способом ты, со временем, начнёшь ориентироваться в ключевых направлениях.
Пятое. Пробив. Это вряд ли можно назвать навыком, скорее возможностью. Но если такая возможность есть, конкурентно ты будешь на голову выше чем тот кто такой возможностью не обладает. Фишка в том, что пробив позволяет быстро получать наиболее актуальные данные. Приведу пример.
Допустим нам нужно найти недвижимость зарегистрированную на юридическое лицо. Можно ли это сделать по открытым источникам? Да, можно. Как это делать мы разберем чуть позже. Вопрос в другом. Будет ли уверенность что мы нашли точно всю недвижимость? Такой гарантии нет. А будет ли уверенность, что то что нам удалось найти не продали неделю назад? Опять же такой гарантии нет. А сколько нам понадобится времени? Тут всё относительно, но сколько-то точно понадобится.
А как в такой ситуации поступит пробивщик? Он, за пару мятых купюр, купит эту информацию в соответствующем реестре (в каком именно зависит от страны). В итоге он потратит пару минут и получит полные данные, актуальные на момент запроса. Да, за деньги. Но, во-первых, за довольно небольшие, а во-вторых, оплачивать расходник, всё равно будет заказчик.
С общими принципами вроде как разобрались. Теперь давай переходить к практической части. Для простоты и удобства будем рассматривать разные направления работы по отдельности. Ну, а точнее, так как тема очень объёмная, то, для простоты понимания, сначала разберемся какая информация нам может понадобится, а потом разберем способы её сбора.
Регистрационные данные
Изучение любой организации всегда начинается со сбора регистрационных данных. Это необходимо для точной идентификации объекта. В зависимости от юрисдикции набор этих данных может отличаться. Но базовый набор практически всегда один и тот же. И, в большинстве случаев получить нужную информацию можно из открытых реестров, которые есть в любой стране. Кроме реестров, все данные нужно проверить отдельно через поисковик. Это часто даёт какую-то дополнительную информацию.
Название. Одного названия как правило не достаточно т.к. вполне могут существовать организации с одинаковым названием, но ни как не связанные между собой. Но это работает и наоборот. Многие не стремятся проявлять креативность и придумывать разные названия при регистрации. А потому просто слегка меняют первоначальное название или добавляют слово или цифры. По этой причине мы всегда гуглим название, как с использованием кавычек, для поиска по полному совпадению. Так и без кавычек, давая возможность гуглу склонять и дополнять введённое нами название.
Числовые идентификаторы. Любая организация имеет один или несколько числовых идентификаторов. Если это физическое лицо предприниматель то это будет его налоговый номер. Если это юридическое лицо, то это может быть его номер из реестра и, опять же, его налоговый номер. В любом случае это уникальные номера, которые не могут повторятся и позволяют точно идентифицировать нужный нам объект. Эти номера тоже стоит проверять через поиск по точному совпадению, т.к. во-первых мы сразу увидим записи из общедоступных реестров, а в разных реестрах может быть доступен разный объём информации. А во-вторых, если кто-то где-то упоминал эту организацию, то название могли указать не точно, а вот с регистрационным номером шансов ошибиться сильно меньше.
Учредители. Простыми словами это те кто создал юридическое лицо. Это могут быть как другие юридические лица, так и физические лица. Их данные мы также получаем из открытых реестров. Но тут нужно учитывать, что со временем учредители могут меняться, потому всегда обращаем внимание на исторические данные.
Также нужно помнить что учредитель это не всегда владелец или конечный бенефициар. Это может быть просто доверенное лицо настоящего владельца, ну или вообще левый пассажир. Тем не менее на них нужно всегда обращать внимание и собирать, хотя бы минимальную, информацию. Потому как они могут быть связаны с другими организациями, которые нам пока не известны. Либо могут привести нас к настоящему собственнику бизнеса.
Должностные лица. Это те кто осуществляют непосредственное руководство в организации. В большинстве случаев под должностными лицами мы подразумеваем директора, возможно его замов, и главного бухгалтера. В некоторых видах организаций встречаются чуть более специфические должностные лица, например — главный инженер. Иногда в открытых реестрах можно столкнуться с графой «уполномоченное лицо». Почти всегда это директор и главный бухгалтер. Но тут нужно помнить, что уполномоченным лицом так же может считаться тот кто имеет доверенность на представление интересов организации. Например для подачи налоговой отчётности.
Юридический адрес. Это адрес по которому зарегистрирована фирма. Это совсем не означает что фирма действительно там находится. Хотя конечно вполне может быть и такое, потому всегда лучше проверить. Но нужно знать, что есть предприимчивые владельцы офисов которые предоставляют свой адрес для регистрации юридических лиц. И если ты туда зачем-то придёшь, то увидишь небольшое помещение, в котором за компьютером будет сидеть часто моргающая девочка и раскладывать пасьянс.
Поэтому если ты смотришь юридический адрес и видишь там несколько десятков или сотен фирм, это, почти всегда, не означает что они как-то связаны между собой. В большинстве случаев это можно расценивать как фактор риска, говорящий нам о том, что изучаемая нами организация вполне может оказаться какой-то мутной конторой. В некоторых странах не нахождение юрлица по месту регистрации является нарушением. А, например, в офшорных юрисдикциях это повсеместное явление не означающее вообще ничего.
Бизнес разведка. Анализ связей юридического лица
Ну, допустим, регистрационные данные мы собрали. Это, конечно, нас приблизило к какому-то результату, но пока не сильно. Теперь нужно найти причастных и отсеять посторонних. Т.е. провести анализ связей изучаемой организации. Задача, не то чтобы очень сложная, но почти всегда объёмная.
Искать связи мы всегда начинаем исходя из регистрационных данных, которые уже у нас есть. Очередность не особо важна, но логичным выглядит начать с учредителей и директора. На данном этапе мы не выходим за пределы публичных реестров. Данных, которые там есть, на этом этапе достаточно (например: https://www.list-org.com/company/11581022). По очереди смотрим информацию о каждом учредителе, в том числе из исторических данных. И выписываем к каким ещё организациям они имеют отношение. Потом таким же способом анализируем найденные организации, с целью найти пересечения. Ну или какую-то другую нужную нам информацию. И так пока не надоест, или пока не поймём что уже достаточно.
При этом не забываем учитывать, что один и тот же человек может где-то быть директором, а где-то учредителем. И при этом ещё и работать охранником на рынке. По этой причине, в любом из реестров можно искать по ФИО. Но лучше искать по идентификационному коду, чтобы отсеять однофамильцев.
Для более простой визуализации, на многих сайтах-реестрах можно посмотреть дерево связей. Вот тут есть важный момент. Кроме того, что всю найденную информацию нужно записывать, уже на этом этапе нужно начинать набрасывать схему связей. Это поможет визуализировать что, как и к чему относится, а также отсеять не нужные направления и выделить нужные. Где её рисовать, тоже не особо важно. Где удобней там и рисуй. Можешь фломастером на стене, а можешь в онлайн редакторе. Лично мне нравится https://app.diagrams.net. Но это только если схему потом надо кому-то показывать. Если показывать не надо, то я рисую от руки на обычном листе. Мне так удобнее и понятнее.
И ещё один момент. Те деревья связей, которые с сайтов-реестров, подходят только для того чтобы визуально оценить ситуацию с наличием информации в реестре. Для всех остальных ситуаций она не подходит именно по той причине, что там информация только из реестра. А это, в свою очередь, означает что там есть много чего не нужного, и нет много чего нужного. Ну и кроме того, самостоятельное составление схемы связей поможет лучше разобраться в ситуации с объектом изучения.
Бенефициар
Следующий вид связей, это связи по бенефициару. Бенефициар это не тот кто главный по бумагам, а тот кому реально всё принадлежит. Сложность в том, что мы не всегда его знаем. Если это какой-то крупный, общеизвестный бизнес, то тогда, конечно же, бенефициар известен. Ну или если не очень известен, то его, как правило, не трудно найти. Сложнее дела обстоят с более мелкими бизнесами или не особо известными. Ещё хуже со всякими региональными.
Соответственно, вполне может сложится ситуация, что перед тем как изучать связи бенефициара, придётся искать его самого. Кстати, если говорить про реальные ситуации, то поиск настоящего владельца, а не бумажного, вполне может оказаться нашей конечной целью.
Так как бенефициар, по сути, ключевое лицо во всей схеме, то те связи, в основе которых лежит он сам, являются наиболее ключевыми и им нужно обязательно уделить внимание. При этом стоит помнить, что у одного человека может быть несколько бизнесов не пересекающихся между собой, или пересекающихся очень условно. Такие моменты нужно фильтровать в зависимости от намеченной задачи.
В случае с бенефициаром мы должны смотреть на связи не только по коммерческим структурам завязанным на него, но и по людям, входящим в ближайший круг общения. Вообще это хорошая практика, по ключевым персонажам изучать родственников. Очень часто попадается интересная информация.
Бизнес разведка. Способы сбора информации
Ну что ж. Собрали регистрационную информацию, проанализировали связи, отработали конечного бенефициара. Это тот объём которого нам достаточно для понимания общей картины. Но может такое случится, что нужно вникнуть глубже и собрать какую-то более детальную информацию по какому-то конкретному направлению. Давай разберем как это можно сделать.
Поиск документов
Документация компании это важный и, главное, достоверный источник информации. Бюрократию в системе государственного регулирования ни кто не отменял, а она подразумевает наличие бумажек про всё и обо всём. Соответственно любая информация о юридическом лице, которая может нам понадобиться, где-то зафиксирована. Именно по этому идеально работает пробив. Но он не является панацеей, можно и ручками найти много интересного.
Про поиск документов есть отдельная статья, поэтому здесь рассмотрим только некоторые нюансы.
Основной способ поиска документов это Google, его дорки и его привычка индексировать всё на свете. Использовать мы будем поисковый оператор filetype: комбинируя его с той информацией которая у нас уже есть.
В первую очередь ищем документы в которых упоминается название нужной нам организации. При этом не забываем проверять различные расширения файлов. Как правило достаточно pdf, текстовых документов, таблиц и, иногда, презентаций.
Одним названием не стоит ограничиваться. Обязательно нужно проверить на наличие документов сайт компании. Это можно сделать либо руками:
site:домен filetype:pdf
Либо используя Metagoofil. Я обычно сначала проверяю наличие файлов из поисковика и если их там такое количество, которое мне лень качать руками (т.е. больше двух), то я использую Metagoofil. Это банально быстрее, ну и сразу получаешь метаданные найденных документов, что тоже иногда бывает полезно.
Перечисленное, это программа-минимум по поиску документов. Кроме того иногда имеет смысл поискать документы в которых упоминаются числовые идентификаторы компании, а также фамилии учредителей и директора. В этом случае делаем всё тоже самое, т.е. гуглим нужную нам информации с дорком filetype. Ну и не забываем использовать кавычки, чтобы искать по точному совпадению.
Вообще, учитывая тот факт, что очень трудно прогнозировать какие документы получится найти в открытом доступе, то есть смысл пробовать их искать по любой, хоть сколько-нибудь, уникальной информации. Например, была ситуация когда нашлись очень интересные документы по запросу:
"название товара" filetype:docx
Ну и закрывая тему документов. Очевидный совет в том, что документы не достаточно просто найти, их ещё нужно очень внимательно изучить. На предмет получения нужной информации. Фамилии, адреса, телефоны, транспорт, контрагенты, ну и т.д. Лучше выписывать весь фактаж, эта как раз та ситуация когда количество имеет шанс перерасти в качество.
Поиск недвижимости
Ещё одна распространённая задача с которой можно столкнутся, изучая какую-то компанию, это поиск объектов недвижимости, которые ей принадлежат или используются.
На этом этапе у нас уже должен быть юридический адрес. Но, как я говорил ранее, далеко не факт что наша компания находится именно там. Кроме того у компании могут быть и другие офисы или помещения. Их и будем искать.
Для начала всегда стоит внимательно посмотреть сайт компании. В большинстве случаев адрес указанный там будет совпадать с юридическим адресом. Но при этом там могут быть указаны адреса филиалов или производственных мощностей.
Кстати каждый раз когда мы находим какой-то адрес, очень не лишним будет сходит на карту, в режиме просмотра улиц, и изучить что там находится и что есть рядом. Иногда всякие вывески, указатели и объявления дают дополнительную информацию. А иногда можно обнаружить машины и увидеть их номера, в некоторых ситуациях это могут быть машины сотрудников нужной нам организации. Карты конечно пытаются блюрить номера машин, но срабатывает это далеко не всегда.
Ну и кроме сайта и карт, ещё один способ поиска недвижимости это изучение страниц в социальных сетях. Как самой компании, так и её сотрудников. Там может быть прямо указан адрес или добавлена геолокация, на тех же фоточках, например. А может случится ситуация когда придётся геолоцировать фотографии из соцсетей. Короче, всё зависит от ситуации. Каких-то секретных методик или тайных технологий тут не существует. Просто идём в поиск и ручками лопатим инфу, одновременно выписывая всю интересную информацию, а не только локации компании.
Следующий источник откуда мы можем получить информацию о недвижке это https://2gis.ru. Ищем по названию и смотрим что там есть. Могут найтись адреса офисов, производства, складов ну и т.д. Не забываем проверять фотографии, иногда попадаются полезные.
Теперь переходим к менее очевидным способам поиска недвижимости.
Хороший способ находить офисы и производственные помещения это сайты с вакансиями. В объявлениях о поиске сотрудника указывается адрес места работы или вообще ссылка на карту где находится нужное место. Потому, используя дорк site:, ограничиваем поиск нужным сайтом вакансий и вписываем название организации.
После чего смотрим список вакансий и выписываем нужную информацию. Кстати, на отзывы работников, если они есть, тоже стоит обращать внимание, иногда попадаются информативные.
Таким же способом ищем информацию в реестрах судебных решений.
Кстати, именно реестры судебных решений стоит проверять всегда. Там кроме адресов объектов недвижимости, очень часто попадается дополнительная информация как о самой компании, так и о её деятельности. В том числе могут быть номера и даты всяких договоров, соглашений и других документов, а также описание о чём эти документы. В некоторых ситуациях это бывает очень полезно. Кроме того вдумчивый анализ судебных решений касающихся компании, даёт возможность понять её проблемные стороны и оценить риски связанные с её деятельностью.
Поиск сотрудников
Следующая ситуация, с которой у тебя есть шанс столкнуться, это поиск сотрудников работающих в компании. Мы уже частично пересеклись с теми подходами которые можно применять в этой ситуации. Это изучение документации, метаданные файлов с сайта, социальные сети. Причем по социальным сетям стоит также изучить страницы организации, потому как сотрудники, как правило, подписаны на страницу своей работы и могут оставлять комментарии к постам, по которым можно понять что это сотрудник.
Вообще, это особенно хорошо работает на западной аудитории. Там люди более охотно, в том же Facebook, указывают место работы. А LinkedIn в подобной ситуации это вообще решение всех проблем, там и работников посмотреть можно и кучу информации о них получить. Ну, а в других социальных сетях, чтобы собрать данные о работниках, придётся, так сказать, заниматься «ручным трудом».
Ещё один способ поиска сотрудников это корпоративная электронная почта. Особенно хорошо это работает в случае с большими компаниями, но проверять нужно всегда.
Фишка в том, что в компаниях обычно не принято придумывать никнеймы. А принято в адресе почты указывать фамилию, а иногда ещё и инициалы. Кроме того, многие люди довольно ленивы и используют адрес корпоративной почты для регистрации везде где им захочется. Именно эти два фактора мы и будем эксплуатировать. Ну, а домен нам известен изначально. Но если есть сомнения или доменов много, то смотрим адрес почты какой-нибудь пресс-службы, техподдержки или типа того. Это нужно чтобы точно определится какой домен используется в адресах почты. Хотя лучше всего проверить все домены, лишним точно не будет.
После этого перед доменом добавляем @ и всё это берём в кавычки. И так ищем.
Теперь просто выписываем все адреса электронной почты которые где-либо попадаются, а также сопутствующую информацию. Таким способом можно установить если не всех, то очень многих сотрудников.
Вместо выводов
А на этом наше знакомство с таким направлением как бизнес разведка можно заканчивать. Понятное дело что мы рассмотрели далеко не все способы и методы сбора информации о юридических лицах. Но мы разобрались в объёме достаточном чтобы ты начал что-то делать на каком-то неплохом уровне и с пониманием что вообще ты делаешь. А с практикой придёт пониманием нюансов и тонкостей. Потому как бизнес разведка, как и любое направление в OSINT, требовательно к наличию практики.
Твой Pulse.