Малий бізнес приваблює шахраїв не менше, ніж великі компанії, а іноді навіть більше — через обмежені ресурси, брак окремого відділу безпеки та звичку довіряти партнерам на слово. Добра новина в тому, що більшість поширених схем шахрайства мають типовий сценарій, а отже й типові ознаки, за якими їх можна впізнати заздалегідь.
Підміна платіжних реквізитів
Шахраї надсилають лист чи дзвінок нібито від існуючого постачальника з повідомленням, що змінилися банківські реквізити для оплати. Лист виглядає переконливо: логотип, підпис менеджера, навіть посилання на реальний договір. Гроші йдуть на рахунок зловмисника, а справжній постачальник дізнається про це лише тоді, коли надішле нагадування про несплачений рахунок.
Компрометація ділової електронної пошти (BEC)
Це один із найдорожчих видів шахрайства для бізнесу. Зловмисник отримує доступ до пошти керівника чи бухгалтера (або створює схожу адресу, де одна буква відрізняється) і від його імені просить бухгалтерію терміново провести оплату або передати конфіденційні дані. Тон листа зазвичай створює відчуття поспіху й секретності: «зробіть це швидко, я зараз на переговорах і не можу говорити».
Фальшиві рахунки за товари чи послуги, яких не було
Компанії надсилають рахунок за рекламу в довіднику, домен, продовження підписки на сервіс чи «терміновий» дрібний товар, який ніхто не замовляв. Розрахунок на те, що в бухгалтерії малого бізнесу рахунок оплатять автоматично, не перевіряючи, чи справді було замовлення.
Шахрайство з "новими клієнтами" та переплатою
Незнайомий покупець замовляє великий обсяг товару чи послуг, платить наперед завищеною сумою (наприклад, фальшивим чеком або платежем, який згодом скасовується) і просить повернути різницю на інший рахунок. Поки банк виявляє, що оригінальний платіж не пройшов, різницю вже виведено, а бізнес залишається у мінусі.
Фальшиві постачальники та передоплата за товар
Шахрай створює переконливий сайт чи профіль постачальника, пропонує вигідні умови й вимагає передоплату. Товар або послуга ніколи не надходить, а контакти зникають одразу після отримання коштів.
Фішинг та підроблені державні листи
Листи чи дзвінки нібито від податкової, банку або реєстратора з вимогою «підтвердити дані компанії», «оплатити штраф» чи «пройти верифікацію» за посиланням. Мета — отримати логіни, паролі або реквізити карток.
Прості звички, які запобігають більшості шахрайств
Жодна з описаних схем не потребує складних технологій захисту — здебільшого достатньо кількох звичок, які варто закріпити в щоденній роботі бізнесу.
- Перевіряйте зміну реквізитів окремим дзвінком. Якщо постачальник повідомляє про нові банківські дані, зателефонуйте за номером, який вже є у вас у договорі чи на офіційному сайті, а не за тим, що вказаний у новому листі.
- Розділяйте право підпису і виконання платежу. Навіть у маленькій команді корисно, щоб великі перекази підтверджувала друга людина, а не лише той, хто отримав прохання.
- Не поспішайте через тиск "термінового". Прохання зробити оплату негайно, без звичної процедури — це класична ознака маніпуляції, а не реальної надзвичайної ситуації.
- Перевіряйте контрагента перед першою угодою. Подивіться дані компанії в офіційному реєстрі, пошукайте відгуки та згадки про неї в незалежних джерелах, перевірте, чи збігається юридична адреса з реальною діяльністю.
- Уважно дивіться на адресу відправника листа. Домени, схожі на справжні лише з однією літерою різниці, — типовий інструмент шахраїв.
- Не оплачуйте рахунки без підтвердженого замовлення. Введіть правило: жоден рахунок не оплачується, якщо немає відповідного договору чи заявки в системі.
- Обмежте доступ до фінансових даних. Чим менше людей мають доступ до банківських паролів і облікових записів пошти, тим менше шансів на витік чи компрометацію.
- Використовуйте двофакторну автентифікацію для пошти, бухгалтерських сервісів та банківського кабінету — це закриває більшість спроб фішингу навіть у разі викрадення пароля.
- Навчіть команду впізнавати типові сценарії. Короткий інструктаж про підміну реквізитів і BEC-шахрайство коштує набагато менше, ніж одна успішна атака.
Що робити, якщо шахрайство вже відбулося
Якщо ви підозрюєте, що платіж пішов не туди, негайно зв'яжіться зі своїм банком — іноді переказ можна зупинити або відкликати, якщо діяти швидко. Збережіть усі листи, скриншоти та деталі транзакції, повідомте про випадок у поліцію та розкажіть партнерам і клієнтам, якщо шахраї могли скористатися вашим іменем для атаки на них.
Малий бізнес не може повністю виключити ризик стати ціллю шахраїв, але може суттєво зменшити ймовірність втрат. Найкращий захист — це не одна складна технологія, а стала культура перевірки: підтверджувати незвичні прохання, не поспішати під тиском і завжди мати перевірений спосіб зв'язку з реальними партнерами.