Мошенники начали активно подменять реквизиты платежей компаний

Подмена реквизитов как очередная схема атак на бизнес набирает обороты в России, сообщили «Известиям» в компаниях по кибербезопасности. Число таких случаев за последнее время выросло в среднем на 20–25%. Под удар попадают средние и крупные структуры, у которых много контрагентов и сложная система согласований. Мошенники дистанционно внедряются в компанию, подменяют реквизиты в счетах и выводят полученные средства на другие организации-прокладки. Подробности схемы — в материале «Известий».

Как действуют мошенники

В России участились случаи атак на компании с использованием поддельных платежных реквизитов, сообщили «Известиям» в компаниях по кибербезопасности. По словам руководителя департамента киберразведки «Бастион» Константина Ларина, количество таких инцидентов выросло в среднем на 20–25%.

— Подобные схемы становятся одной из ключевых угроз для бизнеса в 2025 году, — отметил он. — Злоумышленники изучают жертву: кто клиенты организации, ее поставщики, с какими суммами и по каким договорам работает компания. Обычно для сбора этой информации используются открытые источники или утечки данных.

Кроме того, нередко аферисты получают доступ к корпоративной почте при помощи фишинга или компрометации учетной записи сотрудника. Зафиксированы случаи регистрации доменного имени, похожего на оригинальное, от лица которого злоумышленники собираются вести переписку — люди попадаются на уловку с похожей почтой и общаются с хакерами. Популярно также внедрение в существующую переписку или ее имитация.

Заключительный этап мошеннической схемы — подмена реквизитов в счетах и вывод полученных средств на другие организации-прокладки.

Специалисты BI.ZONE Brand Protection неоднократно фиксировали подобные схемы. Мошенники активно регистрируют доменные имена, имитирующие оригинальные.

— Чаще всего такие домены остаются без какого-либо контента, поэтому не все инструменты мониторинга способны выявить их, — добавил руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин. — Как правило, мошенники используют пустые домены для организации почтового сервиса. Мишенью может стать компания из абсолютно любой сферы. Одно из условий — наличие процедур закупки.

Этот фактор, по его словам, дает возможность преступникам написать письмо от имени контрагента, имитируя адрес его почтового ящика. Рассчитывая на большой поток электронной корреспонденции, которую обрабатывает сотрудник, атакующие делают ставку на снижение его внимательности.

— Это позволяет мошенникам подменить реквизиты, чтобы вывести денежные средства со счета жертвы, — добавил он.

Чаще всего под удар попадают средние и крупные компании, у которых много контрагентов и сложная система согласований. Это отрасли с повышенной частотой транзакций, например оптовая торговля, логистика, производство, строительство и IT. Подобная схема может затронуть любую организацию, но наиболее часто проявляется в промышленной, производственной, нефтегазовой отраслях и в контексте компаний, занимающихся производством удобрений, добавил директор центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар» Игорь Сергиенко.

— Жертвой потенциально может стать любая организация, взаимодействующая с другими юридическими лицами и осуществляющая оплату поставок по реквизитам, — сказал он. — Иногда злоумышленники просто регистрируют доменное имя для отправки почты, в ряде случаев создается полноценный фишинговый сайт, на страницах которого контактные данные заменены на контакты злоумышленников.

Какие еще есть атаки на бизнес

Помимо социального влияния аферисты применяют компрометацию аккаунтов сотрудников, взлом мессенджеров и фальсификацию документов.

— Подмена реквизитов в бизнесе вызывает все большее беспокойство в последние годы: число атак растет, а схемы становятся более изощренными, — отметил Константин Ларин.

Другие виды атак могут быть нацелены на широкий круг потенциальных покупателей продукции. Либо более сложными, подразумевающими инсайдерскую информацию о готовящейся крупной сделке и «вклинивание» в переписку по подготовке контракта, добавил Игорь Сергиенко.

— Последние наиболее опасны, — подчеркнул эксперт.

Помимо подмены реквизитов, компании часто сталкиваются с атаками через социальную инженерию против бухгалтерии и топ-менеджмента, добавил проджект-менеджер MD Audit (ГК Softline) Кирилл Левкин.

— Распространены схемы с заражением компьютеров троянами, которые отслеживают документы и платежные операции, — сказал он. — Используются также атаки на цепочки поставок — взлом контрагентов, через которых проникают в IT-инфраструктуру целевой компании. Заметен рост атак с использованием deepfake-звонков от «руководителей» с просьбой срочно перевести средства.

Распространены дипфейки и фейковые аккаунты в мессенджерах, отметила руководитель отдела аудита и консалтинга компании «Линза» Олеся Власенко.

— Например, подделка голоса и видео или аккаунта руководителя с поручением перевести деньги, — указала эксперт.

Как обезопасить компанию

С момента появления механизмов оплаты, при которых реквизиты не требуется вводить вручную, начали активно распространяться соответствующие атаки, отметил главный сетевой архитектор AxelNAC, Axel PRO Станислав Калабин. С развитием технологий, в частности с внедрением оплаты по QR-коду — когда все данные, включая сумму перевода, подставляются автоматически, — такие инциденты значительно участились.

— В случае физического взаимодействия сократить риски помогает использование динамически генерируемых QR-кодов на устройствах, находящихся под постоянным контролем сотрудников. Это позволяет минимизировать возможность подмены реквизитов, — сказал он.

Однако в сценариях, связанных с перепиской, технические решения и продукты не обеспечивают полной защиты от фишинга и спуфинга. Здесь ключевую роль играет уровень осведомленности и цифровой гигиены сотрудников.

Чтобы обезопасить себя от подобных схем, необходимо сохранять высокий уровень бдительности, подчеркнул Дмитрий Кирюшкин.

— Всегда проверяйте название почтовых ящиков: фишинговый адрес может отличаться всего на один символ, — отметил он. — Кроме того, компаниям, которые активно взаимодействуют с поставщиками, следует предупреждать контрагентов о подозрительных ресурсах и других попытках имитации компании атакующими. Это позволит минимизировать риск попасться на уловки злоумышленников.

Защита должна быть одновременно технической, организационной и процедурной, подчеркнул руководитель отдела тестирований на проникновения компании «Линза» Алексей Иванов.

— Введите правило «двойной проверки» для любых изменений реквизитов: изменение реквизитов — только по подтверждению по известному и ранее согласованному каналу: по телефону, указанному в договоре, не из письма, — отметил он. — Установите лимиты для онлайн-переводов и правило: любые срочные переводы или переводы на новые реквизиты требуют личного подтверждения от руководителя двумя независимыми каналами. Например, звонок и подтверждение.

Также следует использовать двухфакторную аутентификацию и регулярно обучать сотрудников цифровой гигиене, чтобы снизить риски, подчеркнули эксперты.

Яна Штурма

Источник - Известия