Корпоративный email-фрод (BEC): как защитить бизнес от атаки через почту

BEC (BEC — компрометация корпоративной электронной почты) — вид мошенничества, при котором злоумышленник выдаёт себя за руководителя компании, партнёра или контрагента и убеждает сотрудника перевести деньги или раскрыть конфиденциальные данные. По данным ФБР, BEC ежегодно наносит бизнесу по всему миру ущерб свыше 2,7 миллиарда долларов. Казахстанские компании — не исключение: АРРФР и Комитет информационной безопасности МЦ РК фиксируют рост BEC-атак на отечественные предприятия.

Основные схемы BEC

CEO-фрод

Злоумышленник создаёт адрес электронной почты, почти идентичный адресу генерального директора (например, меняет одну букву или использует другой домен), и пишет финансовому директору или бухгалтеру: «Срочно переведите X тенге на счёт — конфиденциальная сделка, не обсуждайте с коллегами». Давление срочности и авторитета руководства заставляет сотрудников действовать без должной проверки.

Фальшивые счета от «партнёра»

Мошенник взламывает или имитирует почту реального поставщика компании. В нужный момент он перехватывает переписку о платеже и подменяет реквизиты в счёте на свои. Бухгалтерия переводит деньги, считая, что оплачивает законный инвойс.

Компрометация аккаунта сотрудника

Через фишинг злоумышленник получает пароль от корпоративной почты сотрудника и ведёт переписку от его имени — договаривается о переводах, запрашивает данные клиентов или внутренние документы.

Схема с юристом

Мошенник представляется юристом, якобы сопровождающим сделку компании, и под предлогом соблюдения «юридических формальностей» требует срочного перевода средств на «эскроу-счёт».

Реальный кейс

«Казахстанская производственная компания перевела 47 миллионов тенге на счёт «нового партнёра» — после получения письма якобы от своего немецкого поставщика с просьбой изменить реквизиты. Письмо пришло с адреса, отличавшегося от настоящего одной буквой в доменном имени. Обнаружили обман только при сверке с реальным поставщиком через две недели».

— Из доклада Комитета информационной безопасности МЦ РК, 2023

Признаки BEC-атаки

• Необычный адрес отправителя, схожий с корпоративным, но не идентичный.
• Срочность и требование сохранить конфиденциальность — типичные маркеры манипуляции.
• Изменение банковских реквизитов в последний момент перед платежом.
• Просьба обойти стандартные процедуры согласования.
• Письмо пришло в нерабочее время или в пятницу вечером, когда проверить сложнее.

Технические меры защиты

Организационные меры

1. Введите правило: любой перевод свыше определённой суммы требует устного подтверждения по отдельному каналу (телефон, личная встреча) — независимо от того, кто «написал».
2. Обучите сотрудников бухгалтерии и финансового отдела распознавать признаки BEC.
3. При любом изменении банковских реквизитов партнёра — перезванивайте по известному номеру, а не по тому, что указан в письме.
4. Настройте оповещения о письмах с внешних доменов, имитирующих внутренние адреса компании.
5. Установите политику: сотрудник, получивший «срочный запрос» от руководства на перевод, сначала звонит руководителю лично.

Что делать, если перевод уже ушёл

Действовать нужно в первые часы: деньги ещё могут быть на транзитном счёте. Немедленно звоните в свой банк с просьбой инициировать отзыв платежа. Параллельно подайте заявление в полицию. Если получатель — казахстанский счёт, АРРФР может заморозить его по обращению пострадавшей стороны. Сохраните все письма, скриншоты и выписки — они понадобятся для расследования.

BEC-атаки часто задействуют счета субъектов финансового мониторинга (СФМ) — транзитные счета, уже попавшие в антифрод-реестр. Если ваш корпоративный счёт оказался заблокирован в результате такой атаки, StopAntiFraud поможет оперативно снять ограничения.