Как один измененный символ в счете помогает мошенникам красть платежи

от

«Потратить месяцы на внедрение в чужую переписку, чтобы в итоге поменять всего один символ в SWIFT-коде, это не техническая уязвимость, это тактическое преодоление человеческого доверия через рутину.»

Механизм атаки: подмена как этап долгой игры

Фишинг действует быстро, атака на реквизиты рассчитана на месяцы. Цель — не вызвать мгновенную реакцию, а стать частью доверенного канала связи между двумя компаниями. Злоумышленник не спешит, он ждет удобного момента для одного, но критичного изменения.

Этот процесс разбивается на последовательные шаги:

  1. Выбор цели. Атакующие анализируют не ПО, а операционные процессы. Идеальные цели — компании с длинными цепочками поставок, где документы передаются по обычной почте, а платежи иногда подтверждаются устно. Часто уязвимым элементом оказывается субподрядчик или логистический партнер более крупной организации.
  2. Компрометация канала. Ключевой этап. Чаще всего происходит взлом почтового ящика сотрудника одной из сторон — например, менеджера по закупкам поставщика. Используются уязвимости в почтовых сервисах, перехват трафика или социальная инженерия. Результат — постоянный доступ к переписке между контрагентами.
  3. Мониторинг и ожидание. Скомпрометированный аккаунт используется только для чтения. Атакующие изучают шаблоны документов, стиль общения, порядок согласования счетов, частоту платежей. Они выясняют, как происходит проверка реквизитов и есть ли процедура двойного подтверждения.
  4. Создание идеальной копии. На основе изученных шаблонов формируется документ, идентичный реальному счету. Все основные реквизиты — название получателя, ИНН, расчетный счет — остаются настоящими. Меняется один параметр, неочевидный при стандартной проверке: SWIFT/BIC-код банка получателя или номер корреспондентского счета. Подменяется не сама организация получателя, а банк, на счет в котором должны прийти деньги.
  5. Внедрение в процесс. В момент ожидания крупного платежа атакующие перехватывают цепочку. Они блокируют или удаляют письмо с настоящим счетом от реального контрагента и отправляют свой вариант, с измененным реквизитом. Письмо идет с того же адреса, в той же исторической переписке. Альтернативный метод — внедрение позже под видом обновления реквизитов с пояснением «старый счет закрыт».

На этом этапе даже внимательный сотрудник, сверяющий ИНН и расчетный счет, может пропустить подмену. SWIFT-код воспринимается как техническая деталь, которую мало кто держит в памяти.

Почему возврат средств не мгновенный процесс

Когда ошибка обнаруживается, логичное желание — «отменить платеж». Однако механизм межбанковских переводов, включая российские системы, не рассчитан на мгновенный возврат.

Платеж, это последовательность сообщений между банками, в которых каждый участник списывает и зачисляет средства на своих внутренних счетах. После отправки денег со счета клиента банк-отправитель считает операцию исполненной. Дальше средства движутся по цепочке корреспондентских счетов.

Если платеж уже достиг счета в другом банке, возврат возможен только двумя способами:

  • Неисполнение платежа банком-получателем. Это редкий случай, когда счет закрыт, неверен или банк сам заблокирует операцию по признакам мошенничества. На это рассчитывать нельзя.
  • Официальный отзыв (recall). Процедура, которую инициирует банк-отправитель по заявлению клиента. Банк отправляет в банк-получателя специальное сообщение (например, MT192 или MT296 в системе SWIFT). Ключевой момент: банк-получатель не обязан его удовлетворять. Он запрашивает согласие своего клиента — того, кто получил деньги. Мошенник согласия не даст. После этого начинается долгий процесс официальных претензий и, часто, судебное разбирательство.

В этот период деньги находятся на контролируемом злоумышленниками счете. Их задача — быстро вывести средства дальше, через обменники или подставные фирмы, что делает возврат крайне сложным.

Стратегия защиты: перестройка процессов, а не проверка

Эффективная защита строится на изменении процессов, чтобы у атакующих не было возможности внедриться в канал или чтобы подмена была сразу обнаружена. Фокус смещается от разовой проверки документа на защиту всего цикла взаимодействия с контрагентом.

1. Защита каналов коммуникации

  • Используйте корпоративный портал для поставщиков или систему юридически значимого электронного документооборота (ЭДО) с двухфакторной аутентификацией для передачи платежных документов. Доступ должен осуществляться через защищенный канал.
  • Если ЭДО недоступно, применяйте шифрование (S/MIME, PGP) для всей финансовой переписки. Это снижает риск перехвата и чтения трафика.
  • Реализуйте DMARC, DKIM и SPF для корпоративной почты, чтобы минимизировать риск подделки домена.

2. Процедура верификации реквизитов

Проверка по ИНН и номеру счета недостаточна. Необходим многоэтапный протокол, нарушающий сценарий атаки:

  1. Первичное внесение в базу. Реквизиты нового контрагента (полные банковские данные) вносятся в систему на основании официального письма на бланке или через юридически значимый ЭДО, после сверки с данными из ЕГРЮЛ.
  2. Проверочный платеж. До начала крупных сделок совершается пробный перевод минимальной суммы. Получатель должен официально подтвердить его получение, указав точную сумму и дату. Это проверяет работоспособность всей цепи перевода.
  3. Процедура изменения реквизитов. Самый критичный процесс. Любое уведомление об изменении, пришедшее по электронной почте, считается недействительным по умолчанию. Действительным признается только изменение через защищенную систему ЭДО, подтвержденное по телефонному номеру, опубликованному на официальном сайте компании, или присланное заказным письмом. Реализуйте принцип двойного контроля: один сотрудник меняет данные, другой подтверждает.

3. Технический мониторинг и сегментация

  • Внедрите решения класса Email Security Gateway для анализа вложений и ссылок, а также для отслеживания попыток спуфинга доменов.
  • Настройте SIEM-систему на детектирование аномалий в почтовой активности ключевых сотрудников: входы из необычных локаций, установка правил пересылки на внешние адреса, массовая отправка в нерабочее время.
  • Сегментируйте сеть. Доступ сотрудников финансового отдела к интернету и почте должен осуществляться через отдельные, строго контролируемые точки с усиленным мониторингом трафика.

Действия при обнаружении атаки

Если инцидент произошел, действовать нужно немедленно и системно.

  1. Немедленно уведомить свой банк. Подать заявление об отзыве платежа (recall). Параллельно направить официальное заявление в банк-получатель с требованием заблокировать счет и не проводить операции по нему, приложив доказательства мошенничества.
  2. Обратиться в правоохранительные органы. Подать заявление по факту мошенничества. Приложить всю переписку, копии счетов, банковские выписки. Получение талон-уведомления создает формальное основание для дальнейших действий.
  3. Предупредить контрагента. Связаться с настоящим поставщиком по телефонному номеру с его официального сайта и сообщить о компрометации канала связи. Это необходимо для проверки их систем и смены учетных данных.
  4. Провести внутреннее расследование. Выяснить точный вектор компрометации: утечка, взлом почты, перехват. Проверить логи почтового сервера, историю входов, наличие скрытых правил пересылки. Обновить учетные данные всех сотрудников, связанных с перепиской.
  5. Анализ и укрепление процессов. Использовать инцидент как повод для аудита и пересмотра всех процедур работы с реквизитами и платежами. Донести обновленный регламент до всех вовлеченных сотрудников.

Возврат средств — длительный и не гарантированный процесс. Основная цель этих действий — минимизация ущерба, сбор доказательств и предотвращение повторения.

Итог: верификация через независимый канал

Уязвимость, которую используют злоумышленники, находится не в программном коде, а в человеческом доверии и рутинных процессах. Они эксплуатируют автоматическое восприятие информации из привычного источника как легитимной.

Защита строится на простом, но требовательном к дисциплине принципе: критичная финансовая информация должна подтверждаться по второму, независимому и заранее установленному каналу связи. Телефонный звонок по номеру из официального источника, сверка через юридически значимый ЭДО, проверочный платеж — эти действия создают разрыв, который делает долгую подготовку атакующего бесполезной. Современные угрозы требуют не только повышенной бдительности, но и структурного изменения бизнес-процессов, исходя из допущения, что любой цифровой канал может быть скомпрометирован.

Оставьте комментарий