Кто под маской? «Словесный портрет» мошенников, специализирующихся на юридических лицах

BIS Journal №2(37)/2020

22 мая, 2020

Кто под маской? «Словесный портрет» мошенников, специализирующихся на юридических лицах

В последнее время много говорят о социальной инженерии, о том, как мошенники «разводят» клиентов банков – физических лиц. Но не стоит забывать, что преступники также атакуют и юридических лиц. Если верить отчёту ФинЦЕРТа, таких немало. Так кто же они – эти мошенники, крадущие деньги у организаций? Кто под маской?

 

ВНЕШНЕЕ МОШЕННИЧЕСТВО

Внешнее мошенничество совершается лицом или группой лиц, целенаправленно атакующими юридические компании. Мошенники рассылают фишинговые письма для последующего заражения АРМ с банк-клиентом. Зачастую сотрудник компании, отвечающий за банк-клиент, сам «помогает» мошенникам, т.к. не соблюдает правила информационной безопасности, предъявляемые Банком, в частности, оставляет носитель ключевой информации воткнутым в USB-порт, хранит логин и пароль в системе, не имеет антивируса, использует удалённый доступ для работы в системе и т.п.

Мошенники, взломав АРМ компании, могут достаточно долго наблюдать за системой, дожидаясь удобного случая для списания всех денежных средств со счёта. А потом, войдя в интернет-банк, меняют пароль, создают платёжные поручения на «своих» получателей, подписывают их ключом электронной подписи, который оставил воткнутым в USB-порт бухгалтер, и выводят денежные средства, отправив платёжные поручения в Банк. Как правило, мошенники, дробят остаток на счёте и несколькими платежами выводят всю сумму.

Второй способ, которым пользуются мошенники для вывода денежных средств, это подмена реквизитов получателя в платёжном поручении. Они не взламывают банк-клиент, а ждут, когда бухгалтер зайдёт в систему, создаст легитимные платёжные поручения и перед подписанием ключом электронной подписи, подменяют реквизиты получателя, номер счёта, ИНН и Банк получателя, создавая видимость, что бухгалтер отправил платежи по верным реквизитам. Такое мошенничество может пересекаться с внутренним мошенничеством. Например, бывший сотрудник, увольняясь, получает доступ к АРМ с банк-клиентом или заражает его вредоносным ПО, или сотрудник ИТ, оставляя себе лазейки, удаленно подключается к АРМ с банк-клиентом с домашнего компьютера и совершает платежи.

Получается, что лица, совершающие такие мошенничества, технически подкованы, владеют вредоносным ПО, необходимым для заражения АРМ. Имеют данные об обороте денежных средств и уровне защищённости атакуемой компании, могут иметь инсайдера внутри компании. Долго наблюдают за компанией, готовятся и ждут подходящего момента для атаки.

      

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ У ЮРИДИЧЕСКИХ ЛИЦ

Методы социальной инженерии мошенники начинают применять с момента, когда компания планирует открыть счёт в Банке и ищет людей, которые окажут в этом помощь. В Интернете достаточно много сайтов фирм, которые оказывают помощь компаниям в подготовке документов и открытии счёта. Не все фирмы добросовестные, многие из них мошенники.

Как их распознать? Как правило сайты таких фирм одностраничные, без точного указания адреса местонахождения, без адреса электронной почты, но с контактным номером телефона. Директор компании, «клюнувший» на крючок фирмы, сам передаёт мошенникам учредительные документы и свои персональные данные. Мошенники заверяют документы, нотариус обычно у них в доле, открывают счёт в банке, получают комплект документов на банк-клиент, разводят директора на пополнение счёта и осуществляют платежи без его ведома.

Так же мошенники орудуют на разных интернет-площадках, чаще на avito, разводя индивидуальных предпринимателей и компании малого бизнеса. ИП и директора малых предприятий ищут там различные фирмы-поставщики для своего бизнеса и… попадают на мошенников. Мошенники, войдя в доверие, предлагают товары или услуги и, вводя предпринимателей в заблуждение, сообщают реквизиты для перечисления денежных средств. Получив деньги, мошенники пропадают.

Иногда мошенники взламывают почту «своих» клиентов, т.к. клиенты не соблюдают рекомендации Банка по информационной безопасности, и реализуют схемы, о которых сказано выше. Известны случаи, когда мошенники звонили ИП, представлялись сотрудниками Банка и, имитируя работу кол-центра, вынуждали совершить платежи на подставных получателей.

Таким образом, мошенниками, использующими данные методы, являются организованные группы людей, в которых заранее расписаны все роли, составлены схемы и просчитаны ходы в краже и выводе денежных средств. Мошенники психологически подготовлены, знают методы и средства воздействия на "жертву", разбираются в рыночных отношениях, обладают техническими навыками. Таких сложно вычислить, т.к. все их контакты – это контакты подставных лиц, а получателями являются фирмы-однодневки, либо подставные физические лица.

 

ВНУТРЕННЕЕ МОШЕННИЧЕСТВО

Внутреннее мошенничество – это мошенничество, совершаемое внутри компании лицами, связанными с данной компанией. Этими лицами могут быть: сотрудник, отвечающий за всю бухгалтерию и финансы (бухгалтер, соучредитель, директор и т.д.), ИТ-специалист (системный администратор, сотрудник технической поддержки и т.д.) или увольняющийся сотрудник. Сотрудник, отвечающий за бухгалтерию и финансы, имея на руках все необходимые документы и доверенность от генерального директора, может спокойно, без ведома директора, открыть счёт в Банке, получить носитель с ключами электронной подписи на имя директора и спокойно проворачивать свои схемы с выводом средств со счёта фирмы.

Либо же директор сам (а часто так и бывает) доверяет сотруднику носитель с ключами электронной подписи для подписания платёжных поручений при осуществлении переводов. И так получается, что директор не знает о "тёмных" схемах этого сотрудника. ИТ-сотрудник под видом настройки или установки обновлений легко может получить доступ к АРМ с банк-клиентом и необходимым аутентификационным данным. Имея всё необходимое, он спокойно создаёт, подписывает и направляет платёжные поручения на подставных получателей или, подменив реквизиты получателя в уже созданных платёжных поручениях, делает так, чтобы их подписал и отправил бухгалтер. Случается, что увольняющийся сотрудник, например, ИТ, директор или бухгалтер, напоследок перечисляют на свой счёт деньги компании.

Лица, совершающие внутреннее мошенничество, мотивируют свои действия тем, что хотят больше денег, делают назло своим руководителям, пытаются таким образом рассчитаться со своими долгами…

***

Таким образом, можно составить общий портрет мошенника, атакующего юридических лиц. Под «маской» оказывается организованная группа лиц с распределёнными ролями, обладающая техническими, психологическими и финансовыми навыками. Эти люди имеют необходимые инструменты для взлома, обладают инсайдерской информацией, умеют скрывать следы своей деятельности. И – главное – имеют терпение месяцами выжидать удобного случая для вывода денежных средств.

Смотрите также