«Счёт выглядит идеально, но деньги исчезают в другом месте. Это не ошибка бухгалтерии, а целый класс атак, где злоумышленник не меняет реквизиты, а подменяет сам канал связи. В итоге вы платите по легальному счёту, но мошеннику.»
Как это работает: подмена не данных, а канала
Классическая схема мошенничества с реквизитами — это когда вам присылают письмо с просьбой перевести деньги на новый счёт якобы контрагента. Здесь же всё иначе. Мошенник получает доступ к переписке между вашей компанией и реальным поставщиком. Он не вносит правок в уже существующие документы. Вместо этого он перехватывает момент, когда поставщик должен выставить новый счёт, и отправляет вам свой собственный документ первым.
Счёт при этом абсолютно легален: правильное название организации, актуальные банковские реквизиты, верные суммы и основания для платежа. Единственное отличие — номер счёта принадлежит мошеннику. Поскольку документ приходит в ожидаемое время и выглядит аутентично, вероятность успешной оплаты резко возрастает.
[ИЗОБРАЖЕНИЕ: Схема атаки: 1. Легитимная переписка между компанией А и поставщиком Б. 2. Мошенник перехватывает канал связи (почту, мессенджер). 3. В момент выставления счёта мошенник имитирует поставщика Б и отправляет компании А поддельный счёт со своими реквизитами. 4. Компания А оплачивает счёт мошеннику. 5. Поставщик Б не получает оплаты и выставляет свой, настоящий счёт, что вызывает путаницу.]
Технические векторы атаки: от взлома почты до BEC
Для реализации такой схемы злоумышленнику необходимо достичь одной из двух целей: либо получить доступ к почтовому ящику одной из сторон, либо убедительно его сымитировать.
Компрометация учётной записи
Самый прямой путь — фишинг или подбор пароля к корпоративной почте сотрудника, отвечающего за финансы, или его руководителя. Получив доступ, злоумышленник может не только пересылать письма, но и настраивать правила фильтрации, чтобы скрыть ответы настоящего контрагента о неполучении оплаты.
Атаки типа Business Email Compromise (BEC)
Более изощрённый метод — создание домена-двойника. Например, если ваш поставщик использует домен real-supplier.ru, мошенник регистрирует real-supplier.org или real-supplier.ru (с пропущенной буквой). С этого адреса отправляется письмо с извинениями о смене платёжных реквизитов. Подобные атаки требуют меньше технических навыков, но больше социальной инженерии.
Почему это проходит: человеческий фактор и рутина
Эффективность атаки строится на нескольких уязвимостях, не связанных с ИТ-системами напрямую.
- Доверие к установленному каналу. Если переписка с контрагентом годами ведётся через один email или чат, любое сообщение из этого источника воспринимается как легитимное.
- Автоматизм в обработке счетов. В отделе бухгалтерии или у руководителя часто существует регламент: «Счёт от Ивана Ивановича на такую-то сумму — к оплате». Проверка сводится к подтверждению знакомого отправителя и суммы, но не деталей платёжного поручения.
- Давление сроков. Счёт может быть выставлен срочно, под угрозой срыва поставки или отключения услуги. В условиях цейтнота многоуровневая проверка отходит на второй план.
Как обнаружить проблему: первые сигналы
Обычно инцидент вскрывается не сразу, а через несколько дней или даже недель. Ключевые признаки, что деньги ушли не туда, несмотря на «правильные» реквизиты в полученном документе:
- Повторный счёт от контрагента. Настоящий поставщик, не получив оплату, выставляет дубликат счёта или напоминание. Это самый очевидный сигнал. Важно не списать его на ошибку бухгалтерии партнёра.
- Несоответствие в деталях. Внимательный сотрудник может заметить мелкие нестыковки: немного другой шрифт в документе, отсутствие привычной электронной подписи, изменение формата номера счёта или ИНН в подписи отправителя письма.
- Тишина после оплаты. После перевода денег по «срочному» счёту контрагент не подтверждает их получение, хотя раньше это делал оперативно.
Действия при обнаружении: протокол реагирования
Если факт ошибочной оплаты установлен, действовать нужно быстро и по чёткому плану.
| Действие | Цель | Срок |
|---|---|---|
| 1. Уведомление своего банка | Заблокировать дальнейшие операции по счёту мошенника, инициировать процедуру возврата (отзыва платежа) | Немедленно, в течение часа |
| 2. Обращение в банк получателя | Проинформировать банк о проведении транзакции по мошенническому счёту, запросить информацию о владельце (в рамках закона) | В тот же день |
| 3. Письменное уведомление контрагента | Официально проинформировать партнёра о потенциальной компрометации переписки и факте мошенничества | В тот же день |
| 4. Сбор доказательств | Сохранить все письма, скриншоты переписки, сами счета, квитанции об оплате. Зафиксировать заголовки писем (email headers). | Немедленно |
| 5. Заявление в правоохранительные органы | Возбуждение уголовного дела по факту мошенничества. К заявлению прикладываются собранные доказательства. | В течение 1-2 дней |
Шансы на возврат средств невысоки, особенно если деньги быстро выведены. Однако эти действия необходимы для документирования инцидента и предотвращения повторных атак.
Профилактика: как сделать так, чтобы деньги уходили только туда
Технические и организационные меры позволяют свести риск к минимуму.
Организационные меры
- Двухуровневая проверка. Внедрить правило: любой новый или изменённый платёжный реквизит должен быть подтверждён через второй, независимый канал связи. Например, после получения письма о смене реквизитов необходимо позвонить контрагенту по известному, ранее использованному номеру телефона и устно перепроверить данные.
- «Белый список» контрагентов. Ввести реестр проверенных поставщиков с жёстко закреплёнными реквизитами в ERP-системе. Оплата возможна только по реквизитам из этого реестра. Любое изменение требует отдельной заявки с многоступенчатой авторизацией.
- Регулярные сверки. Проводить короткие плановые созвоны с ключевыми контрагентами для подтверждения актуальности контактных данных и реквизитов.
Технические меры
- Защита почтовых ящиков. Обязательное использование двухфакторной аутентификации (2FA) для доступа к корпоративной почте. Регулярный аудит правил фильтрации и переадресации в почтовых ящиках ключевых сотрудников.
- DMARC, DKIM, SPF. Настройка этих протоколов для своего домена затрудняет подделку писем (спуфинг). Аналогично стоит поощрять их настройку у своих контрагентов.
- Криптографическая подпись документов. Использование усиленной квалифицированной электронной подписи (КЭП) для всех первичных финансовых документов. Подписанный КЭП счёт невозможно незаметно изменить, а подделать подпись — крайне сложно.
[ИЗОБРАЖЕНИЕ: Инфографика: Сравнение стандартного и защищённого процесса оплаты. Слева: 1. Получение счёта по email -> 2. Оплата. Справа (защищённый): 1. Получение счёта, подписанного КЭП -> 2. Автоматическая проверка подписи в системе -> 3. Сверка реквизитов с утверждённым реестром контрагентов -> 4. В случае несоответствия или отсутствия подписи — автоматическое уведомление службы безопасности и инициация звонка контрагенту.]
Итог: проблема не в реквизитах, а в доверии
История с «правильным счётом» — это атака не на бухгалтерские процедуры, а на систему доверия внутри бизнес-коммуникаций. Она эксплуатирует автоматизм и устоявшиеся связи. Единственная эффективная защита — это внедрение культуры «параноидальной» проверки, где любой запрос на перевод денег, даже из самого доверенного источника, по умолчанию считается потенциально опасным, пока не будет верифицирован вне рамок атакованного канала. В современных условиях звонок по телефону становится не рутиной, а критически важным элементом кибербезопасности.