Кто под маской? «Словесный портрет» мошенников, специализирующихся на юридических лицах

BIS Journal №2(37)/2020

22 мая, 2020

Кто под маской? «Словесный портрет» мошенников, специализирующихся на юридических лицах

В последнее время много говорят о социальной инженерии, о том, как мошенники «разводят» клиентов банков – физических лиц. Но не стоит забывать, что преступники также атакуют и юридических лиц. Если верить отчёту ФинЦЕРТа, таких немало. Так кто же они – эти мошенники, крадущие деньги у организаций? Кто под маской?

 

ВНЕШНЕЕ МОШЕННИЧЕСТВО

Внешнее мошенничество совершается лицом или группой лиц, целенаправленно атакующими юридические компании. Мошенники рассылают фишинговые письма для последующего заражения АРМ с банк-клиентом. Зачастую сотрудник компании, отвечающий за банк-клиент, сам «помогает» мошенникам, т.к. не соблюдает правила информационной безопасности, предъявляемые Банком, в частности, оставляет носитель ключевой информации воткнутым в USB-порт, хранит логин и пароль в системе, не имеет антивируса, использует удалённый доступ для работы в системе и т.п.

Мошенники, взломав АРМ компании, могут достаточно долго наблюдать за системой, дожидаясь удобного случая для списания всех денежных средств со счёта. А потом, войдя в интернет-банк, меняют пароль, создают платёжные поручения на «своих» получателей, подписывают их ключом электронной подписи, который оставил воткнутым в USB-порт бухгалтер, и выводят денежные средства, отправив платёжные поручения в Банк. Как правило, мошенники, дробят остаток на счёте и несколькими платежами выводят всю сумму.

Второй способ, которым пользуются мошенники для вывода денежных средств, это подмена реквизитов получателя в платёжном поручении. Они не взламывают банк-клиент, а ждут, когда бухгалтер зайдёт в систему, создаст легитимные платёжные поручения и перед подписанием ключом электронной подписи, подменяют реквизиты получателя, номер счёта, ИНН и Банк получателя, создавая видимость, что бухгалтер отправил платежи по верным реквизитам. Такое мошенничество может пересекаться с внутренним мошенничеством. Например, бывший сотрудник, увольняясь, получает доступ к АРМ с банк-клиентом или заражает его вредоносным ПО, или сотрудник ИТ, оставляя себе лазейки, удаленно подключается к АРМ с банк-клиентом с домашнего компьютера и совершает платежи.

Получается, что лица, совершающие такие мошенничества, технически подкованы, владеют вредоносным ПО, необходимым для заражения АРМ. Имеют данные об обороте денежных средств и уровне защищённости атакуемой компании, могут иметь инсайдера внутри компании. Долго наблюдают за компанией, готовятся и ждут подходящего момента для атаки.

      

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ У ЮРИДИЧЕСКИХ ЛИЦ

Методы социальной инженерии мошенники начинают применять с момента, когда компания планирует открыть счёт в Банке и ищет людей, которые окажут в этом помощь. В Интернете достаточно много сайтов фирм, которые оказывают помощь компаниям в подготовке документов и открытии счёта. Не все фирмы добросовестные, многие из них мошенники.

Как их распознать? Как правило сайты таких фирм одностраничные, без точного указания адреса местонахождения, без адреса электронной почты, но с контактным номером телефона. Директор компании, «клюнувший» на крючок фирмы, сам передаёт мошенникам учредительные документы и свои персональные данные. Мошенники заверяют документы, нотариус обычно у них в доле, открывают счёт в банке, получают комплект документов на банк-клиент, разводят директора на пополнение счёта и осуществляют платежи без его ведома.

Так же мошенники орудуют на разных интернет-площадках, чаще на avito, разводя индивидуальных предпринимателей и компании малого бизнеса. ИП и директора малых предприятий ищут там различные фирмы-поставщики для своего бизнеса и… попадают на мошенников. Мошенники, войдя в доверие, предлагают товары или услуги и, вводя предпринимателей в заблуждение, сообщают реквизиты для перечисления денежных средств. Получив деньги, мошенники пропадают.

Иногда мошенники взламывают почту «своих» клиентов, т.к. клиенты не соблюдают рекомендации Банка по информационной безопасности, и реализуют схемы, о которых сказано выше. Известны случаи, когда мошенники звонили ИП, представлялись сотрудниками Банка и, имитируя работу кол-центра, вынуждали совершить платежи на подставных получателей.

Таким образом, мошенниками, использующими данные методы, являются организованные группы людей, в которых заранее расписаны все роли, составлены схемы и просчитаны ходы в краже и выводе денежных средств. Мошенники психологически подготовлены, знают методы и средства воздействия на "жертву", разбираются в рыночных отношениях, обладают техническими навыками. Таких сложно вычислить, т.к. все их контакты – это контакты подставных лиц, а получателями являются фирмы-однодневки, либо подставные физические лица.

 

ВНУТРЕННЕЕ МОШЕННИЧЕСТВО

Внутреннее мошенничество – это мошенничество, совершаемое внутри компании лицами, связанными с данной компанией. Этими лицами могут быть: сотрудник, отвечающий за всю бухгалтерию и финансы (бухгалтер, соучредитель, директор и т.д.), ИТ-специалист (системный администратор, сотрудник технической поддержки и т.д.) или увольняющийся сотрудник. Сотрудник, отвечающий за бухгалтерию и финансы, имея на руках все необходимые документы и доверенность от генерального директора, может спокойно, без ведома директора, открыть счёт в Банке, получить носитель с ключами электронной подписи на имя директора и спокойно проворачивать свои схемы с выводом средств со счёта фирмы.

Либо же директор сам (а часто так и бывает) доверяет сотруднику носитель с ключами электронной подписи для подписания платёжных поручений при осуществлении переводов. И так получается, что директор не знает о "тёмных" схемах этого сотрудника. ИТ-сотрудник под видом настройки или установки обновлений легко может получить доступ к АРМ с банк-клиентом и необходимым аутентификационным данным. Имея всё необходимое, он спокойно создаёт, подписывает и направляет платёжные поручения на подставных получателей или, подменив реквизиты получателя в уже созданных платёжных поручениях, делает так, чтобы их подписал и отправил бухгалтер. Случается, что увольняющийся сотрудник, например, ИТ, директор или бухгалтер, напоследок перечисляют на свой счёт деньги компании.

Лица, совершающие внутреннее мошенничество, мотивируют свои действия тем, что хотят больше денег, делают назло своим руководителям, пытаются таким образом рассчитаться со своими долгами…

***

Таким образом, можно составить общий портрет мошенника, атакующего юридических лиц. Под «маской» оказывается организованная группа лиц с распределёнными ролями, обладающая техническими, психологическими и финансовыми навыками. Эти люди имеют необходимые инструменты для взлома, обладают инсайдерской информацией, умеют скрывать следы своей деятельности. И – главное – имеют терпение месяцами выжидать удобного случая для вывода денежных средств.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных