Новый фокус: мошенники атакуют денежные переводы в России

04.10.2021 |

В августе и сентябре участились случаи мошенничества, направленные на международные денежные переводы российских компаний, выяснили «Известия». Злоумышленники вторгаются в корпоративные переписки и под разными предлогами подсовывают компаниям-жертвам ложные платежные данные от имени партнера. В среднем ущерб от одной такой атаки обходится пострадавшей стороне в €100 тыс. За III квартал 2021 года были зарегистрированы сотни таких случаев, а общий ущерб за этот период составил от €10 до €15 млн. Эксперты отмечают, что в зоне риска прежде всего компании из сфер производства, промышленности и IT.

Старые письма о главном

Российские юрлица, ведущие бизнес с заграничными партнерами, сталкиваются со множественными случаями внедрения мошенников в деловую переписку по электронной почте с дальнейшими хищениями денежных средств, заявили в российской компании, предоставляющей услуги в сфере информационной безопасности и судебной экспертизы RTM Group. За полгода количество таких инцидентов увеличилось по меньшей мере на 50%. Только за III квартал 2021 года компания зарегистрировала сотни случаев мошенничества в корпоративной среде. Наибольшая активность хакеров пришлась на август и сентябрь.

Злоумышленники посредством социальной инженерии, перебора паролей или при помощи инсайдеров атакованной организации проникают в чужую переписку, изучают ее содержание и после встраиваются в этот диалог, представляясь партнером жертвы. Для этого мошенники нередко создают адрес почтового ящика, похожий на адрес одного из участников переписки, меняя пару букв или домен.

— После установления контакта поддельный партнер сообщает потенциальной жертве о смене реквизитов счета для отправки денег за товар, например. Как правило, предоставляются реквизиты специально созданной для этого компании-однодневки. После того как жертва переводит деньги, преступники отправляют их на свои счета и закрывают подставную фирму, — пояснили в RTM Group.

Такой вид атак называется Business Email Compromise (BEC). По данным «Лаборатории Касперского», они не всегда направлены именно на международные переводы. Подобным образом злоумышленники могут покушаться не только на деньги жертвы, но и на конфиденциальную информацию: клиентские базы или разработки. Только за май–июль 2021 года «Лаборатория Касперского» предотвратила более 100 целевых BEC-атак на российские компании.

— Как правило, для реализации одной такой атаки требуются большие временные и ресурсные затраты — подготовка может занимать от нескольких недель до нескольких месяцев, — рассказал «Известиям» ведущий антиспам-аналитик «Лаборатории Касперского» Роман Деденок.

Директор по технологиям специализирующейся на услугах в сфере информационной безопасности компании Infosecurity Никита Пинчук отметил, что рост подобных инцидентов фиксируется его компанией на протяжении последних двух лет. Специалисты по разработке инновационных решений в сфере информационной безопасности из Positive Technologies также отметили увеличение числа таких атак, которое наблюдается с 2018 года.

Большой куш

В среднем одна атака обходится жертве в €100 тыс., отметили в RTM Group. А за последний квартал общий ущерб российских компаний варьируется от €10 до €15 млн. Чаще других страдают организации, занимающиеся производством, технологиями, инжинирингом.

— Именно у них существует регулярная потребность в международных переводах разным контрагентам, — пояснили в RTM Group.

В «Лаборатории Касперского» не назвали цифры за конкретный период, но согласились, что одна успешная BEC-атака может привести к многомиллионному ущербу. Также там отметили, что с манипуляциями, в основе которых лежит компрометация корпоративной переписки, сталкиваются организации в разных отраслях, но выделили такие сферы, как авиаперевозки, промышленность, ритейл, IT и логистика.

Аналитик по информационной безопасности Positive Technologies Яна Юракова отметила, что чаще всего сумма ущерба исчисляется в сотнях тысяч и миллионах рублей. А выделить какую-либо популярную сферу для такого типа атак сложно потому, что компании из разных областей в равной мере интересуют хакеров.

— Они исходят из доступных и созвучных доменных имен, которые усыпляют бдительность сотрудников компании-жертвы. При этом стоит отметить, что в большинстве случаев злоумышленники пишут сотрудникам из финансовых отделов, — объяснила она.

В Infosecurity подтвердили, что точные суммы ущерба подсчитать невозможно. Одним из главных препятствий для решения этой задачи, пояснил Никита Пинчук, становится нежелание компаний, столкнувшихся с мошенничеством, распространяться об BEC-атаках.

— Под ударом в первую очередь промышленность и производство. В этих отраслях часто заключаются очень крупные контракты, скажем, на поставку оборудования. Впрочем, с таким видом мошенничества может столкнуться любая компания, — предупреждает специалист.

Мошенник долгорукий

В RTM Group связывают рост числа таких инцидентов с общим увеличением кибермошенничества, наблюдавшимся в период пандемии. Также распространение BEC-атак может указывать на то, что данный вид атак показал себя эффективным с точки зрения злоумышленников — они часто концентрируются именно на тех тактиках, которые дают наибольшую выгоду. В конце концов, утверждают эксперты компании, в некоторых странах ввиду проблем, которые вызвал COVID-19, власти стали менее пристально проверять фирмы-однодневки. А именно их реквизиты мошенники часто подсовывают в переписке с жертвами.

— При взаимодействии между российскими организациями подобную схему реализовать сложно, поскольку любые реквизиты можно проверить по базе данных налоговой службы. А для иностранных агентов замена нескольких букв или цифр, а иногда и страны не является столь подозрительной, особенно когда речь идет об организации с развитой филиальной сетью. Например, одному из пострадавших координаты фирмы в Италии предложили заменить на координаты в Польше, — рассказали в компании.

В Infosecurity согласились, что транснациональность подобных атак влияет на их популярность. Взаимодействие спецслужб разных стран — эффективный метод борьбы с киберпреступниками, но медленный: некоторые процедуры растягиваются на месяцы и даже годы. За это время теряются важные для расследования следы.

— Акцент на международные атаки делается потому, что там проще ввести в заблуждение контрагента, предоставив ему недостоверные данные для перевода. Злоумышленники пользуются слабым знанием жертвы финансовой системы другой страны, — объяснил Никита Пинчук.

На рост числа атак влияет их успешность, отметил руководитель группы исследования угроз Positive Technologies Денис Кувшинов. Благоприятствовала этому в том числе пандемия, которая дала мощный толчок развитию логистических компаний, упростив тем самым взаимодействие юридических лиц на мировом рынке.

— Если данный вид атак продолжает приносить прибыль хакерам, то его будут использовать до тех пор, пока его применение будет приносить мошенникам пользу, — считает эксперт.

Замедленное взаимодействие контролирующих органов также играет на руку преступникам, согласилась Яна Юракова. За время, потраченное на согласование и передачу сведений от одной страны другой, они успевают вывести денежные средства.

Роман Кильдюшкин