Мошенники массово подменяют платёжные реквизиты компаний и выводят деньги через фирмы-прокладки
Изображение: Jonas Leupe (unsplash)
В России фиксируется резкий рост атак на бизнес с использованием схем подмены платёжных реквизитов. По данным компаний, работающих в сфере кибербезопасности, число таких инцидентов за последнее время увеличилось на 20–25%.
Как рассказал Константин Ларин, руководитель департамента киберразведки компании «Бастион», речь идёт о целенаправленных атаках, жертвами которых становятся средние и крупные организации. В первую очередь — те, у кого сложные цепочки согласования и многочисленные партнёрские связи.
Такие структуры удобны для мошенников: они имеют высокую операционную активность, большое количество входящих и исходящих счетов и высокий уровень доверия между отделами.
Механизм атаки выстраивается поэтапно. Сначала злоумышленники собирают информацию о компании — о её контрагентах, характере договоров, объёмах и регулярности платежей. Эти сведения берутся как из открытых источников, так и из утечек данных. После этого мошенники пытаются получить доступ к корпоративной электронной почте — чаще всего с помощью фишинга или скомпрометированных учётных записей.
Далее идет регистрация домена, внешне похожего на официальный адрес компании или её партнёра. Как поясняют специалисты, такие домены, как правило, не содержат веб-сайтов и используются исключительно для почтовых рассылок. Это затрудняет их обнаружение системами мониторинга.
Мошенники либо встраиваются в текущую деловую переписку, либо полностью имитируют её, представляясь контрагентом. В ходе обмена письмами они незаметно меняют реквизиты в счёте на данные подконтрольной им организации-прокладки. После перевода средств следы быстро теряются: деньги уходят через несколько фирм, зарегистрированных по подставным документам.
Как сообщил Дмитрий Кирюшкин, руководитель направления Brand Protection в компании BI.ZONE, такие доменные подделки выявляются регулярно, но зачастую уже после того, как средства списаны. Особую уязвимость представляют компании с активными тендерами, закупками и большим объёмом внутренней электронной корреспонденции.
Атаки становятся возможными из-за высокой загруженности сотрудников, обрабатывающих финансовые документы, и сниженного уровня внимания при работе с большим потоком писем. Подмена одного символа в адресе или незначительное изменение в домене может остаться незамеченным, особенно если злоумышленники действуют аккуратно и по отработанному сценарию.
