Ви отримуєте лист, нібито від генерального директора: терміново потрібно оплатити рахунок постачальнику або перевести кошти на новий рахунок, «дзвонити не потрібно, я в дорозі». Це класична схема компрометації ділової електронної пошти (Business Email Compromise, BEC) — один із найдорожчих видів шахрайства для компаній, бо жертва сама, без злого умислу, віддає гроші. Розберемося, як це працює і як зупинити атаку до того, як гроші зникнуть.
Як влаштована ця схема
Шахраї заздалегідь вивчають компанію: хто керівник, хто головний бухгалтер, з якими постачальниками працює фірма, як зазвичай спілкуються співробітники. Інформацію беруть із сайту компанії, соцмереж, публічних реєстрів, а іноді — зі зламаної поштової скриньки одного з працівників чи партнера.
Далі використовують один із трьох підходів:
- Підроблена адреса — домен, що виглядає майже як справжній (наприклад, з переставленою буквою або іншою доменною зоною).
- Скомпрометована скринька — шахрай реально отримав доступ до пошти керівника чи партнера і пише з неї.
- Підміна імені відправника — у мобільному застосунку часто видно лише ім'я, а не повну адресу, і це полегшує обман.
Чому ці листи спрацьовують
Схема експлуатує психологію, а не технічні вразливості:
- Терміновість — «потрібно зробити зараз, до кінця дня».
- Авторитет — начебто пише директор або власник, з яким незручно сперечатися.
- Секретність — «поки нікому не кажи», «це конфіденційна угода».
- Незвичний канал — прохання написати особисто у месенджер або відповісти лише на цей лист, а не дзвонити.
Часто атаку планують на момент, коли реального керівника важко застати — під час відрядження, відпустки чи наприкінці робочого дня в п'ятницю.
Червоні прапорці
- Прохання про оплату або зміну реквізитів надійшло раптово, без попереднього обговорення.
- Наголос на терміновості й конфіденційності одночасно.
- Прохання не дзвонити й не обговорювати з іншими співробітниками.
- Адреса відправника трохи відрізняється від звичної (інша доменна зона, зайва буква, цифра замість літери).
- Зміна банківських реквізитів постачальника «через аудит» або «зміну банку» без офіційного підтвердження.
- Лист написаний із незвичною стилістикою або граматичними помилками, не типовими для цього керівника.
- Тиск на конкретну людину — часто бухгалтера чи фінансиста, яка має право проводити платежі.
Що робити, якщо отримали такий лист
- Зупиніть платіж. Жоден терміновий переказ не важливіший за перевірку. Справжній керівник почекає кілька хвилин на дзвінок.
- Зв'яжіться з відправником іншим каналом. Зателефонуйте за номером, який знаєте самостійно (не з підозрілого листа), або підійдіть особисто.
- Перевірте адресу відправника уважно. Порівняйте символ за символом із попередніми легітимними листами.
- Перевірте реквізити отримувача. Будь-яка зміна банківського рахунку постачальника чи партнера має підтверджуватися дзвінком за відомим номером, а не через лист.
- Повідомте колег і керівництво. Навіть якщо платіж не пройшов, варто попередити інших — атака може повторюватися по всій компанії.
- Зверніться до банку негайно, якщо кошти вже переказано. Чим швидше повідомити банк, тим більше шансів зупинити або повернути транзакцію.
Як захистити компанію наперед
- Впровадьте правило «двох підписів» або обов'язкового підтвердження дзвінком для будь-якого термінового платежу чи зміни реквізитів.
- Навчіть співробітників, що прохання про секретність і терміновість одночасно — привід перевірити, а не діяти швидше.
- Захистіть корпоративну пошту: складні паролі, двофакторна автентифікація, обмеження на переадресацію листів.
- Регулярно перевіряйте, яка інформація про структуру компанії й керівництво публічно доступна — надлишкові деталі полегшують шахраям складання переконливого сценарію.
- Заведіть звичку перевіряти нового чи «оновленого» контрагента через офіційний реєстр підприємств і незалежні відгуки, перш ніж переказувати кошти на нові реквізити.
- Розкажіть команді про реальні (анонімізовані) приклади таких листів — це підвищує пильність краще, ніж загальні інструкції.
Головне правило
Терміновість і секретність — це не привід поспішати, а сигнал зупинитися й перевірити. Легітимний керівник чи партнер завжди готовий підтвердити прохання дзвінком або особисто. Якщо є сумнів у контрагенті чи його реквізитах, перевірте компанію через офіційні реєстри та сервіси перевірки бізнесу — кілька хвилин перевірки коштують значно менше, ніж втрачений платіж.