# Корпоративный email-фрод (BEC): как защитить бизнес от атаки через почту > BEC-мошенничество обходится бизнесу дороже любого другого вида киберпреступлений. Злоумышленники имитируют директора или контрагента и уводят миллионы за одно письмо. Разбираем схемы и защитные меры для казахстанского бизнеса. - **Дата публикации:** 2024-02-10 - **Автор:** Болат Ахметов - **Язык:** Русский - **Теги:** мошенничество, кибербезопасность, банки, Казахстан, антифрод --- _BEC_ (BEC — компрометация корпоративной электронной почты) — вид мошенничества, при котором злоумышленник выдаёт себя за руководителя компании, партнёра или контрагента и убеждает сотрудника перевести деньги или раскрыть конфиденциальные данные. По данным ФБР, BEC ежегодно наносит бизнесу по всему миру ущерб свыше 2,7 миллиарда долларов. Казахстанские компании — не исключение: Национальный банк и Комитет информационной безопасности МЦ РК фиксируют рост BEC-атак на отечественные предприятия. ## Основные схемы BEC ### CEO-фрод Злоумышленник создаёт адрес электронной почты, почти идентичный адресу генерального директора (например, меняет одну букву или использует другой домен), и пишет финансовому директору или бухгалтеру: «Срочно переведите X тенге на счёт — конфиденциальная сделка, не обсуждайте с коллегами». Давление срочности и авторитета руководства заставляет сотрудников действовать без должной проверки. ### Фальшивые счета от «партнёра» Мошенник взламывает или имитирует почту реального поставщика компании. В нужный момент он перехватывает переписку о платеже и подменяет реквизиты в счёте на свои. Бухгалтерия переводит деньги, считая, что оплачивает законный инвойс. ### Компрометация аккаунта сотрудника Через фишинг злоумышленник получает пароль от корпоративной почты сотрудника и ведёт переписку от его имени — договаривается о переводах, запрашивает данные клиентов или внутренние документы. ### Схема с юристом Мошенник представляется юристом, якобы сопровождающим сделку компании, и под предлогом соблюдения «юридических формальностей» требует срочного перевода средств на «эскроу-счёт». ## Реальный кейс > «Казахстанская производственная компания перевела 47 миллионов тенге на счёт «нового партнёра» — после получения письма якобы от своего немецкого поставщика с просьбой изменить реквизиты. Письмо пришло с адреса, отличавшегося от настоящего одной буквой в доменном имени. Обнаружили обман только при сверке с реальным поставщиком через две недели». > > — Из доклада Комитета информационной безопасности МЦ РК, 2023 ## Признаки BEC-атаки - Необычный адрес отправителя, схожий с корпоративным, но не идентичный. - Срочность и требование сохранить конфиденциальность — типичные маркеры манипуляции. - Изменение банковских реквизитов в последний момент перед платежом. - Просьба обойти стандартные процедуры согласования. - Письмо пришло в нерабочее время или в пятницу вечером, когда проверить сложнее. ## Технические меры защиты Технология Что защищает Сложность внедрения SPF (Sender Policy Framework) Блокирует письма с поддельных IP Низкая DKIM (DomainKeys Identified Mail) Подпись письма — подтверждает подлинность домена Средняя DMARC Политика обработки писем, не прошедших SPF/DKIM Средняя MFA для корпоративной почты Защита аккаунта от компрометации Низкая Email-фильтрация с ML Выявление аномальных паттернов переписки Высокая ## Организационные меры 1. Введите правило: любой перевод свыше определённой суммы требует устного подтверждения по отдельному каналу (телефон, личная встреча) — независимо от того, кто «написал». 2. Обучите сотрудников бухгалтерии и финансового отдела распознавать признаки BEC. 3. При любом изменении банковских реквизитов партнёра — перезванивайте по известному номеру, а не по тому, что указан в письме. 4. Настройте оповещения о письмах с внешних доменов, имитирующих внутренние адреса компании. 5. Установите политику: сотрудник, получивший «срочный запрос» от руководства на перевод, сначала звонит руководителю лично. ## Что делать, если перевод уже ушёл Действовать нужно в первые часы: деньги ещё могут быть на транзитном счёте. Немедленно звоните в свой банк с просьбой инициировать отзыв платежа. Параллельно подайте заявление в полицию. Если получатель — казахстанский счёт, Национальный банк может заморозить его по обращению пострадавшей стороны. Сохраните все письма, скриншоты и выписки — они понадобятся для расследования. BEC-атаки часто задействуют **счета субъектов финансового мониторинга** (СФМ) — транзитные счета, уже попавшие в антифрод-реестр. Если ваш корпоративный счёт оказался заблокирован в результате такой атаки, StopAntiFraud поможет оперативно снять ограничения.