Письмо от директора, которое чуть не стоило клиенту 2,3 миллиона рублей
Два месяца назад мне позвонила бухгалтер одного из клиентов — голос дрожит, руки трясутся. Чуть не отправила 2,3 миллиона рублей на левый счёт по письму «от директора». Успели остановить платёж за сорок минут до закрытия банковского дня. С тех пор я эту историю рассказываю на каждой встрече с новым клиентом — потому что она не единичная, а типовая.
Что вообще такое BEC и почему бухгалтер — главная цель
BEC расшифровывается как Business Email Compromise — компрометация деловой переписки. Термин корявый, суть простая: мошенник притворяется вашим директором, партнёром или поставщиком и просит перевести деньги. Не вирус, не шифровальщик, не всплывающее окно с угрозами. Просто письмо. Иногда даже без вложений — голый текст в теле письма.
По статистике ФБР (IC3), BEC-схемы уже много лет держат первое место по объёму украденных денег среди всех видов киберпреступлений — обгоняют и вымогателей-шифровальщиков, и банковские трояны. Почему? Потому что тут не нужно ломать антивирус. Нужно обмануть человека, а человека обмануть дешевле и надёжнее любого эксплойта.
Бухгалтер — цель номер один по одной простой причине: у неё есть доступ к деньгам и она приучена выполнять поручения руководителя быстро, без пятнадцати вопросов. Директор сказал «срочно» — значит срочно. Вот эту рефлекторную исполнительность мошенники и эксплуатируют.
Как выглядит атака изнутри — реальный кейс
Расскажу подробно, потому что детали важнее общих слов. Клиент — торговая компания, 34 человека в штате, обычная бухгалтерия из двух человек. В четверг вечером, без десяти шесть, главбух получает письмо. Отправитель — «Игорь Николаевич», директор, реальное имя, реальная манера писать (у него правда короткие рубленые фразы без запятых).
Тема письма: «Срочно, не звони, я на переговорах». Текст примерно такой: нужно оплатить счёт новому подрядчику по клинингу, реквизиты во вложении, оплатить сегодня до закрытия банка, буду недоступен ближайшие два часа. Домен отправителя — itfresh-corp.ru вместо настоящего itfresh.ru. Одна буква разницы, которую в мобильном приложении почты просто не видно — там показывается только имя контакта, не адрес.
Бухгалтер начала готовить платёж. Спасло её не знание технологий, а въевшаяся привычка: у нас в компании правило — любой новый получатель свыше 50 тысяч рублей подтверждается голосовым звонком. Она набрала директора. Тот сказал: «Какое ещё письмо, я в такси еду, никому ничего не писал». Всё, атака сорвана. А если бы правила не было — сорок минут, и деньги ушли бы на счёт в другом банке, откуда их обратно вернуть примерно нереально.
Откуда мошенники берут информацию для убедительности
Самое неприятное в BEC — это не техническая часть, а разведка. Мошенники несколько недель (иногда месяцев) читают открытые источники: сайт компании, страницы директора в соцсетях, отзывы, вакансии, даже автоответы в отпуске. Из вакансии бухгалтера они узнают, какая у вас 1С, какой банк-клиент. Из отпускного автоответа директора — когда именно он будет недоступен, то есть когда лучше слать поддельное письмо.
Иногда разведка глубже: взламывают почту одного из ваших реальных подрядчиков (не вашу!) и месяцами читают переписку — кто кому платит, по каким счетам, в каком стиле общается директор с бухгалтерией. А потом в подходящий момент вклиниваются в реальную переписку с этим подрядчиком и просто меняют реквизиты в счёте — «у нас сменился расчётный счёт, платите сюда». Это называется схема подмены реквизитов, и она страшнее прямой подделки директора, потому что письмо приходит с абсолютно настоящего, знакомого вам адреса.
У одного из моих клиентов, юридической фирмы, было почти так: подрядчик по клинингу реально существовал, переписка была реальная, только в один прекрасный день в третьем письме внутри той же ветки появились новые реквизиты. Бухгалтер оплатила без звонка — потому что «мы же с ними месяц переписываемся, чего звонить». Сумма была небольшая, 180 тысяч, но осадок остался у всех.
Технические признаки подделки, которые видно невооружённым глазом
Первое и самое частое — домен-двойник. Настоящий домен itfresh.ru, поддельный itfresh-corp.ru, itfresh.com, itffresh.ru, it-fresh.ru. Разница в одну букву или дефис, которую на телефоне не заметишь, а на компьютере заметишь, если приучить себя смотреть не на имя отправителя, а на полный адрес — кликнуть или навести курсор.
Второе — несоответствие тона и терминологии. Настоящий директор всегда одинаково подписывается, всегда одинаково здоровается (или никогда не здоровается), использует конкретные слова — «оплати счёт», «переведи по реквизитам». Мошенник пишет более обще, более театрально: «срочно», «конфиденциально», «не звони мне сейчас», «доверяю тебе». Это сигнал: настоящие люди редко объясняют, почему нельзя позвонить — это как раз то, что мешает вам проверить.
Третье — давление по времени и запрет на верификацию. Классика жанра: «нужно сегодня до 18:00», «я на встрече, не могу говорить», «это конфиденциальная сделка, никому не говори». Все три фразы вместе в одном письме — почти стопроцентный признак подделки. Реальный директор, даже если реально спешит, не будет запрещать вам перепроверить платёж — потому что ему самому не нужны проблемы с деньгами компании.
Четвёртое, более тонкое — заголовки письма. Если открыть исходный код письма (в большинстве почтовых клиентов есть пункт «показать оригинал» или «просмотр заголовков»), видно поле Return-Path и Reply-To. У поддельного письма Reply-To часто отличается от адреса отправителя — то есть письмо визуально пришло с одного адреса, а ответ уйдёт совсем на другой. Бухгалтеру необязательно разбираться в SPF и DKIM, но посмотреть, куда реально уйдёт ответ, — пять секунд работы.
Чек-лист проверки платёжного письма — распечатайте и повесьте у бухгалтера
Вот список, который я обычно оставляю клиентам после настройки почты. Ничего сложного, но именно нарушение одного из этих пунктов чаще всего и приводит к потере денег.
Первое: любой новый получатель или смена реквизитов у существующего получателя — обязательный звонок по номеру из вашей телефонной книги, не из письма. Это правило номер один, оно перекрывает девяносто процентов схем. Второе: любое письмо со словами «срочно», «конфиденциально», «не звони» рассматривается как подозрительное по умолчанию, а не как приоритетное. Третье: проверяйте полный адрес отправителя, а не отображаемое имя — особенно если письмо пришло с телефона.
Четвёртое: заведите правило двух подписей для платежей выше определённой суммы — например, свыше 100 тысяч рублей платёж подтверждает не только бухгалтер, но и второй сотрудник или сам директор через отдельный канал, не через почту (мессенджер, звонок). Пятое: настройте на почтовом сервере DMARC, SPF и DKIM в строгом режиме — это не защитит от домена-двойника, но отсечёт значительную часть попыток подделать письмо именно с вашего настоящего домена. Шестое: раз в квартал проводите с бухгалтерией пятиминутку — показывайте свежие примеры таких писем, в идеале из новостей или от коллег по отрасли. Память у людей короткая, а мошенники обновляют схемы постоянно.
Что делать, если платёж уже ушёл
Если обнаружили подмену уже после перевода — счёт идёт на минуты, не на часы. Первое действие: немедленно звонить в свой банк с требованием отозвать платёж или заблокировать зачисление у банка-получателя. Формально это называется процедура «отзыв платёжного поручения» или обращение по факту мошенничества — у крупных банков есть горячая линия именно под такие случаи, и чем раньше позвонили, тем выше шанс, что деньги ещё не выведены со счёта получателя.
Второе: писать заявление в полицию (статья 159 УК РФ, мошенничество) и параллельно уведомлять банк письменно, не только по телефону — это нужно для дальнейшего возврата, если дело дойдёт до суда или страховой выплаты. Третье: менять пароли на всех почтовых ящиках, которые участвовали в переписке, и проверять, не было ли реальной компрометации (не подделка домена, а именно взлом вашего или партнёрского ящика) — потому что если ящик взломан по-настоящему, мошенник видит вообще всю вашу переписку, и разовой сменой пароля дело может не ограничиться.
У меня был случай, когда клиент среагировал за 25 минут и деньги вернули почти полностью — банк-получатель ещё не успел провести внутреннюю проводку. А в другом случае реакция заняла три дня, потому что бухгалтер стеснялась сразу сказать директору о своей ошибке. Из полутора миллионов вернуть удалось только 40 тысяч. Стыд — самый дорогой в деньгах враг в такой ситуации, чем раньше сказали, тем больше шансов.
Как я настраиваю защиту клиентам на практике
Я не сторонник продавать страх ради страха, поэтому расскажу, что реально делаю за разумные деньги. Первым делом — правильная настройка почтового домена: SPF, DKIM и DMARC в режиме reject, а не просто «none». Это занимает у нас день-два работы и стоит недорого, но закрывает попытки слать письма буквально с вашего домена (а не с домена-двойника) — довольно частый вариант атаки, если у вас изначально DMARC не настроен вообще.
Второе — банальная, но рабочая вещь: приучаем директоров подписываться однотипно и договариваемся о кодовом слове или фразе для действительно срочных платежей вне обычного распорядка. Звучит по-детски, работает отлично — злоумышленник это слово не знает и знать не может.
Третье — мониторинг похожих доменов. Есть недорогие сервисы, которые следят за регистрацией доменов, похожих на ваш (тайпсквоттинг), и присылают уведомление, если кто-то зарегистрировал itfresh-corp.ru или it-fresh.online. Для компании до 50 рабочих мест это стоит копейки в год, а предупреждает атаку ещё на этапе подготовки, до того как письмо вообще отправлено. Мы обычно ставим это в комплекте с базовым аудитом почты — занимает полдня, а нервов бухгалтерии экономит на годы вперёд.
Частые вопросы
Можно ли определить поддельное письмо только по внешнему виду, без техника?
Частично да. Смотрите на полный адрес отправителя, а не на отображаемое имя, ищите фразы про срочность и запрет звонить, и обращайте внимание на непривычный тон директора. Но стопроцентной гарантии визуальная проверка не даёт — схема с подменой реквизитов в реальной переписке визуально почти неотличима. Поэтому правило звонка на проверенный номер важнее любой визуальной проверки.
Сколько стоит защититься от BEC-мошенничества компании до 50 рабочих мест?
Базовая настройка SPF/DKIM/DMARC и мониторинг похожих доменов обычно укладывается в 15-25 тысяч рублей разово плюс небольшая абонентская плата за мониторинг доменов, порядка 3-5 тысяч в год. Это несопоставимо дешевле даже одного успешного платежа мошенникам, а такие платежи у наших клиентов исторически были от 150 тысяч до 2,3 миллиона рублей.
Страхует ли банк такие переводы, если бухгалтер сама их подтвердила?
Как правило нет, если перевод был технически корректным и подтверждён самим сотрудником компании — банк исполнил ваше распоряжение, ошибки в проведении платежа не было. Это не мошенничество со взломом счёта, а обман человека, поэтому ответственность и убытки обычно ложатся на компанию. Именно поэтому организационные меры внутри фирмы важнее любой банковской защиты.
Достаточно ли обучить одного бухгалтера, если платежи проводит только он?
Нет, потому что мошенники бьют туда, где человек один и некому переспросить — отпуск, больничный, замена. Обучайте минимум двух человек с доступом к платежам плюс директора, чтобы правило проверочного звонка работало даже когда основной бухгалтер отсутствует. Один обученный человек — это единая точка отказа.
Наша команда за один день настроит SPF/DKIM/DMARC, поставит мониторинг доменов-двойников и распишет чек-лист для бухгалтерии под вашу компанию.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
