Ви отримуєте лист, нібито від генерального директора: терміново потрібно оплатити рахунок постачальнику або перевести кошти на новий рахунок, «дзвонити не потрібно, я в дорозі». Це класична схема компрометації ділової електронної пошти (Business Email Compromise, BEC) — один із найдорожчих видів шахрайства для компаній, бо жертва сама, без злого умислу, віддає гроші. Розберемося, як це працює і як зупинити атаку до того, як гроші зникнуть.

Як влаштована ця схема

Шахраї заздалегідь вивчають компанію: хто керівник, хто головний бухгалтер, з якими постачальниками працює фірма, як зазвичай спілкуються співробітники. Інформацію беруть із сайту компанії, соцмереж, публічних реєстрів, а іноді — зі зламаної поштової скриньки одного з працівників чи партнера.

Далі використовують один із трьох підходів:

  • Підроблена адреса — домен, що виглядає майже як справжній (наприклад, з переставленою буквою або іншою доменною зоною).
  • Скомпрометована скринька — шахрай реально отримав доступ до пошти керівника чи партнера і пише з неї.
  • Підміна імені відправника — у мобільному застосунку часто видно лише ім'я, а не повну адресу, і це полегшує обман.

Чому ці листи спрацьовують

Схема експлуатує психологію, а не технічні вразливості:

  • Терміновість — «потрібно зробити зараз, до кінця дня».
  • Авторитет — начебто пише директор або власник, з яким незручно сперечатися.
  • Секретність — «поки нікому не кажи», «це конфіденційна угода».
  • Незвичний канал — прохання написати особисто у месенджер або відповісти лише на цей лист, а не дзвонити.

Часто атаку планують на момент, коли реального керівника важко застати — під час відрядження, відпустки чи наприкінці робочого дня в п'ятницю.

Червоні прапорці

  • Прохання про оплату або зміну реквізитів надійшло раптово, без попереднього обговорення.
  • Наголос на терміновості й конфіденційності одночасно.
  • Прохання не дзвонити й не обговорювати з іншими співробітниками.
  • Адреса відправника трохи відрізняється від звичної (інша доменна зона, зайва буква, цифра замість літери).
  • Зміна банківських реквізитів постачальника «через аудит» або «зміну банку» без офіційного підтвердження.
  • Лист написаний із незвичною стилістикою або граматичними помилками, не типовими для цього керівника.
  • Тиск на конкретну людину — часто бухгалтера чи фінансиста, яка має право проводити платежі.

Що робити, якщо отримали такий лист

  1. Зупиніть платіж. Жоден терміновий переказ не важливіший за перевірку. Справжній керівник почекає кілька хвилин на дзвінок.
  2. Зв'яжіться з відправником іншим каналом. Зателефонуйте за номером, який знаєте самостійно (не з підозрілого листа), або підійдіть особисто.
  3. Перевірте адресу відправника уважно. Порівняйте символ за символом із попередніми легітимними листами.
  4. Перевірте реквізити отримувача. Будь-яка зміна банківського рахунку постачальника чи партнера має підтверджуватися дзвінком за відомим номером, а не через лист.
  5. Повідомте колег і керівництво. Навіть якщо платіж не пройшов, варто попередити інших — атака може повторюватися по всій компанії.
  6. Зверніться до банку негайно, якщо кошти вже переказано. Чим швидше повідомити банк, тим більше шансів зупинити або повернути транзакцію.

Як захистити компанію наперед

  • Впровадьте правило «двох підписів» або обов'язкового підтвердження дзвінком для будь-якого термінового платежу чи зміни реквізитів.
  • Навчіть співробітників, що прохання про секретність і терміновість одночасно — привід перевірити, а не діяти швидше.
  • Захистіть корпоративну пошту: складні паролі, двофакторна автентифікація, обмеження на переадресацію листів.
  • Регулярно перевіряйте, яка інформація про структуру компанії й керівництво публічно доступна — надлишкові деталі полегшують шахраям складання переконливого сценарію.
  • Заведіть звичку перевіряти нового чи «оновленого» контрагента через офіційний реєстр підприємств і незалежні відгуки, перш ніж переказувати кошти на нові реквізити.
  • Розкажіть команді про реальні (анонімізовані) приклади таких листів — це підвищує пильність краще, ніж загальні інструкції.

Головне правило

Терміновість і секретність — це не привід поспішати, а сигнал зупинитися й перевірити. Легітимний керівник чи партнер завжди готовий підтвердити прохання дзвінком або особисто. Якщо є сумнів у контрагенті чи його реквізитах, перевірте компанію через офіційні реєстри та сервіси перевірки бізнесу — кілька хвилин перевірки коштують значно менше, ніж втрачений платіж.