Письмо якобы от генерального директора: «Срочно нужен перевод поставщику, я на встрече, звонить не могу, сделай прямо сейчас». Так выглядит классическая атака BEC (business email compromise) — компрометация деловой переписки, при которой преступники выдают себя за руководителя или другого сотрудника с правом подписи. Цель одна — заставить бухгалтера или менеджера перевести деньги или раскрыть данные, пока никто не успел проверить запрос.
Как устроена эта схема
Мошенники заранее изучают компанию: сайт, соцсети, новости, иногда — взломанную почту сотрудника. Они узнают, кто директор, кто финансовый менеджер, с какими поставщиками работает фирма и в каком стиле обычно общается руководство. Дальше в ход идёт один из вариантов:
- Письмо с адреса, который похож на настоящий, но отличается на одну букву или домен (например, вместо «company.com» — «cornpany.com»).
- Взлом реальной почты сотрудника и рассылка писем с его настоящего адреса.
- Звонок или голосовое сообщение, имитирующее голос руководителя (в том числе с помощью синтеза речи).
- Сообщение в мессенджере якобы с личного номера директора.
Во всех случаях сценарий похож: срочность, секретность и давление на то, что «начальника нельзя подвести».
Признаки, которые должны насторожить
- Срочность и давление. «Нужно сделать прямо сейчас», «до конца дня», «это конфиденциально, никому не говори».
- Необычный канал связи. Директор, который обычно звонит, вдруг пишет только в мессенджер или с личной почты.
- Просьба обойти обычный порядок. Без привычного согласования, без счёта, без второй подписи.
- Новые реквизиты. Просьба перевести деньги на «другой» счёт поставщика или купить подарочные карты и прислать коды.
- Странности в тексте. Непривычная манера речи, ошибки, слишком формальный или, наоборот, слишком неформальный тон для этого человека.
- Недоступность автора. «Не могу говорить, я в самолёте/на переговорах» — и при этом просьба перевести крупную сумму.
Что сделать, если пришёл такой запрос
- Остановитесь и не платите сразу. Никакая срочность не отменяет право проверить запрос — это нормально и не является неуважением к руководителю.
- Свяжитесь с человеком напрямую, но по другому каналу. Не отвечайте на то же письмо и не звоните по номеру, указанному в сообщении. Наберите номер, который у вас уже был записан раньше.
- Спросите у коллеги. Второй человек, который в курсе процесса, часто быстро замечает нестыковку.
- Проверьте реквизиты отдельно. Если меняются банковские данные поставщика, позвоните ему по старому проверенному номеру телефона, а не по тому, что указан в письме.
- Не спешите с переводом на незнакомый счёт или покупкой подарочных карт. Легитимные крупные платежи почти никогда не оформляются в такой форме.
Как защититься на уровне компании
- Введите правило: любой платёж выше определённой суммы требует подтверждения вторым сотрудником и звонка по заранее известному номеру.
- Настройте двухфакторную аутентификацию для корпоративной почты и ограничьте доступ к общей информации о структуре компании и графике руководства в открытых источниках.
- Регулярно напоминайте сотрудникам, что срочность — это не повод отступать от обычного порядка согласования.
- Проверяйте настройки почтового домена, которые помогают отличать поддельные письма (спросите у своего ИТ-специалиста или провайдера почты о защите от подделки отправителя).
- Обучайте новых сотрудников: чаще всего атакуют именно тех, кто плохо знаком с внутренними процессами и боится переспросить руководство.
Если перевод уже отправлен
Сразу свяжитесь со своим банком — иногда перевод можно остановить или отозвать, особенно если сообщить о мошенничестве быстро. Сохраните все письма, скриншоты переписки и данные о счёте получателя. Сообщите о случившемся в полицию и, если применимо, в регулятора или отраслевую организацию, которая занимается такими случаями в вашей стране.
Короткий чек-лист
- Просьба срочная, конфиденциальная и не по обычному каналу — повод перепроверить.
- Новый счёт или подарочные карты в качестве оплаты — стоп-сигнал.
- Перезвоните по номеру из своей записной книжки, а не из письма.
- Правило «второй подписи» для крупных платежей защищает всю компанию.
- Проверить компанию-контрагента и её реквизиты можно и через независимый сервис деловой репутации, если сомнения остаются.
BEC-мошенничество работает не через технику, а через психологию: спешку, уважение к руководству и страх ошибиться. Простое правило «сначала проверь, потом плати» останавливает подавляющее большинство таких атак — и не требует ничего, кроме одного лишнего звонка.