Автор статьи — Сандра Хорма, руководитель Комитета по предотвращению мошенничества Союза банков Эстонии

Исчезновение почти 700 000 евро со счетов Союза художников Эстонии стало шоком для общественности. Не только из-за размера суммы, но и потому, насколько по-человечески началась вся эта схема. Преступники не взламывали сейф и не проникали через банковские системы безопасности. Они просто позвонили, убедительно говорили на эстонском языке, сначала представившись сотрудниками надёжного государственного учреждения, а затем банковскими работниками. Им удалось убедить главного бухгалтера, что, действуя быстро, она помогает предотвратить ещё больший ущерб. В результате были потеряны не только деньги организации, но и её собственные личные средства.

Этот случай уникален в деталях, но не по своей сути. Сегодня мы уже давно имеем дело не столько с мошенниками-хакерами высокого уровня, сколько с профессиональными манипуляторами. Они играют на срочности, доверии, доброжелательности людей и страхе совершить ошибку. Тот же сценарий ежедневно повторяется как в отношении частных лиц, так и организаций. Полиция получает по 50-60 сообщений в день о случаях, когда мошенники пытались обманом вовлечь людей в свои схемы. В среднем каждый день деньги теряют около десяти человек или компаний. Только за первые четыре месяца этого года в Эстонии было зарегистрировано 1100 случаев организованного мошенничества, а общий ущерб составил около 8 миллионов евро.

Одной из самых распространённых мошеннических схем, направленных против компаний, является так называемый BEC (Business Email Compromise) — компрометация деловой электронной переписки. Проще говоря, мошенники создают на первый взгляд профессиональную переписку, выдавая себя за руководителя компании, сотрудника или делового партнёра. Их цель — убедить человека перевести деньги на подставной банковский счёт.

Недавно одна эстонская компания потеряла почти 1,6 миллиона евро именно в результате BEC-мошенничества. Компания получила письмо, якобы отправленное её деловым партнёром, с просьбой в дальнейшем оплачивать счета на новый банковский счёт. Внешне письмо выглядело абсолютно достоверным и создавалось впечатление, что оно действительно было отправлено представителями партнёра. Однако на самом деле письмо поступило с поддельного аккаунта. Несмотря на то, что в компании действовал принцип двойного контроля («четырёх глаз»), это не помогло предотвратить мошенничество.

Судебная практика показывает, что в подобных ситуациях ответственность не всегда ложится исключительно на человека, который выполнил перевод. Например, в одном из недавних судебных дел некоммерческая организация подала иск против своего сотрудника. В этом случае бухгалтер организации на основании мошеннических электронных писем выполнил три денежных перевода, в результате чего организации был причинён ущерб на десятки тысяч евро. Часть средств впоследствии удалось вернуть, однако организация всё же обратилась в суд с иском к бухгалтеру. Суд признал, что бухгалтер действительно нарушил свои обязанности, но в конечном итоге разделил ответственность между бухгалтером и организацией поровну. При определении размера компенсации суд учёл, помимо прочего, что организация не внедрила надлежащие меры ИТ-безопасности, не проводила обучение сотрудников по вопросам кибербезопасности и не обращала их внимание на риски фишинговых писем. Это важный урок для любой организации: если от сотрудника ожидают умения распознавать мошенничество, ему необходимо предоставить соответствующие инструменты, обучение и чёткие инструкции по действиям в критических ситуациях.

Мошенничество, которое не выглядит как мошенничество

Опасность компрометации деловой электронной переписки заключается в её поразительной правдоподобности. В таких письмах не обещают выигрыш в лотерею, не просят пароль на ломаном языке и не всегда содержатся подозрительные ссылки. Наоборот, они могут быть практически неотличимы от обычной рабочей переписки, к которой сотрудники привыкли и которой доверяют.

«Пожалуйста, используйте новый банковский счёт для дальнейших платежей.»
«Этот счёт необходимо оплатить сегодня.»
«По решению правления требуется срочно выполнить перевод.»

Подобные сообщения являются частью повседневной работы многих организаций, и именно поэтому такие схемы настолько опасны. В подобных ситуациях сложно говорить о простой небрежности. Чаще всего человек действует вполне естественно, опираясь на привычные рабочие процессы и устоявшиеся шаблоны поведения.

В случае с Союзом художников схема была несколько иной, однако вывод остаётся тем же. В центре мошенничества оказался не поддельный счёт, а многоэтапное психологическое воздействие. Всё началось со звонка якобы от Omniva, затем последовали звонки от представителей «Банка Эстонии» и «полиции». Бухгалтера убедили, что она участвует в секретной операции по защите средств организации. В результате она установила на свой компьютер программу удалённого доступа и подтверждала операции с помощью PIN-кодов. В конечном итоге деньги организации были переведены на счета в иностранных банках.

Преступники стали настолько профессиональными, что способны заставить даже хорошо разбирающихся в своей сфере людей совершать действия, которые со стороны кажутся совершенно нелогичными. Они умеют выбрать подходящий момент, подходящего человека и точно знают, на какие психологические рычаги воздействовать. Для одних главным фактором становится страх, для других — чувство долга, желание не подвести руководителя или партнёра, а для третьих — уверенность в том, что они выполняют важное и ответственное дело.

Киберриск ≠ ИТ-отдел

Для компаний и организаций это означает, что кибербезопасность нельзя рассматривать исключительно как задачу ИТ-отдела. Компрометация деловой электронной переписки (Business Email Compromise, BEC) не зависит от того, есть ли в организации межсетевой экран, антивирусное программное обеспечение или сложная политика паролей. Как только счёт попадает к человеку, который имеет право распоряжаться денежными средствами, на первый план выходят внутренние механизмы контроля и процессы принятия решений в организации.

Может ли один сотрудник самостоятельно осуществить крупный платёж? Всегда ли изменение банковских реквизитов проверяется через независимый канал связи? Имеет ли сотрудник право сказать: «Мне необходимо сначала это проверить», даже если запрос выглядит срочным и, на первый взгляд, поступил от руководителя или важного делового партнёра? Понимают ли все сотрудники организации, что полиция, банк или любое государственное учреждение никогда не будут запрашивать PIN-коды, банковские карты, удалённый доступ к компьютеру или просить скрывать какую-либо информацию от работодателя?

Статистика и практический опыт показывают, что эти вопросы не должны восприниматься как нечто само собой разумеющееся. Напротив, каждая организация и компания должна заранее прорабатывать подобные сценарии и быть готовой к ним.

Как защитить себя

Ошибки в языке или подозрительный адрес электронной почты уже давно не являются основными признаками мошенничества. Обычно это характерно для плохо подготовленных схем, тогда как современные мошеннические атаки выглядят значительно более убедительно. Поводом для настороженности должно стать любое письмо или телефонный звонок, в котором просят изменить банковские реквизиты, совершить платёж на сумму, превышающую обычную, сохранить операцию в тайне или немедленно принять меры под угрозой негативных последствий.

Также серьёзным сигналом опасности является ситуация, когда человек, представляющийся сотрудником банка, полиции или компании-партнёра, просит сообщить PIN-коды, данные банковской карты или установить на компьютер программу удалённого доступа.

Самый простой способ защиты — это проверка информации. Не следует отвечать на то же самое письмо. Вместо этого необходимо связаться с партнёром или руководителем по ранее известному номеру телефона. Другой вариант — использовать официальные контактные данные компании, опубликованные на её сайте. Если партнёр сообщает новые банковские реквизиты, их обязательно нужно подтвердить через отдельный канал связи, а не посредством ответа на то же письмо. Если руководитель просит срочно осуществить платёж, необходимо дополнительно подтвердить этот запрос у самого руководителя. Если кто-то утверждает, что звонит из банка или полиции, следует завершить разговор и самостоятельно перезвонить по официальному номеру учреждения, чтобы убедиться в подлинности предыдущего звонка.

Шесть простых правил

1. Всегда проверяйте изменение банковских реквизитов

Если вы получили электронное письмо с информацией об изменении банковского счёта, не следует автоматически использовать новые реквизиты. Подтвердите изменение по ранее известному номеру телефона или через другой заранее согласованный канал связи. Не используйте новый номер телефона, указанный в письме, не переходите по содержащимся в нём ссылкам и не отвечайте на это письмо.

2. Включите многофакторную аутентификацию

Хотя это может казаться дополнительным неудобством, многофакторная аутентификация способна предотвратить значительный ущерб. Если доступ к электронной почте защищён только паролем, риск существенно возрастает. Особенно важно использовать такую защиту сотрудникам, работающим со счетами, платежами и договорами.

3. Крупные платежи не должны подтверждаться одним человеком

Так называемый принцип «четырёх глаз» не означает, что второй сотрудник лишь формально наблюдает за процессом. Оба участника должны чётко понимать, кому перечисляются средства, за что производится платёж и соответствуют ли банковские реквизиты ранее подтверждённым данным.

4. Не поддавайтесь давлению срочности

Мошенники часто используют фактор времени. Якобы срок оплаты счёта вот-вот истечёт, руководитель находится «на совещании» и просит действовать немедленно, или партнёр утверждает, что без срочного платежа работа остановится. Если запрос кажется необычно срочным, следует особенно тщательно убедиться в его подлинности.

5. Не всем нужны все права доступа

Доступ к банковским счетам и конфиденциальным документам должны иметь только те сотрудники, которым это действительно необходимо для выполнения своих обязанностей. Организациям рекомендуется регулярно пересматривать права доступа, особенно в случаях смены должности сотрудником или его увольнения.

6. Если что-то пошло не так — действуйте немедленно

Если возникает подозрение, что деньги были переведены на неправильный счёт или что вы стали жертвой мошенничества, нельзя ждать и надеяться, что проблема решится сама собой. В первую очередь необходимо связаться с банком по его официальному номеру телефона, а затем сообщить о произошедшем в полицию. Настоящие организации всегда положительно относятся к тому, что человек перепроверяет информацию через независимые источники. Своевременное уведомление через официальные каналы может помочь минимизировать ущерб.

Случай с Союзом художников Эстонии является болезненным напоминанием о том, насколько быстро могут возникнуть убытки и насколько сложно, а порой и невозможно, вернуть утраченные средства. Это предупреждение для всех, кто имеет доступ к денежным средствам, счетам и подтверждению платежей. Поэтому каждой организации стоит задать себе один важный вопрос: есть ли у нас система, способная выдержать ситуацию, когда один из ключевых сотрудников, принимающих решения, оказывается под давлением мошенников?

Сандра Хорма
Союз банков Эстонии
Maakri 30, 10145 Таллинн