Подмена платежных реквизитов становится новой распространенной схемой атак на бизнес в России, сообщили «Известиям» эксперты из компаний, специализирующихся на кибербезопасности. По их данным, количество подобных случаев в последнее время увеличилось примерно на 20–25%. В зоне риска оказываются средние и крупные предприятия с большим числом контрагентов и сложной процедурой согласования платежей. Мошенники проникают в компанию дистанционно, подменяют реквизиты в выставленных счетах и выводят деньги через организации-прокладки. Подробнее о методах таких атак — в материале «Известий».

В России участились случаи атак на корпоративные структуры с использованием поддельных платежных реквизитов, сообщили «Известиям» специалисты по кибербезопасности. Руководитель департамента киберразведки «Бастион» Константин Ларин отметил рост подобных инцидентов в среднем на 20–25%.

— Эти схемы становятся одной из главных угроз бизнесу в 2025 году, — пояснил он. — Мошенники тщательно изучают жертву, анализируя информацию о клиентах, поставщиках, суммах сделок и договорах. Обычно эти данные собираются из открытых источников или утечек.

Кроме того, преступники часто получают доступ к корпоративной почте путем фишинга или взлома учетных записей сотрудников. Бывают случаи регистрации доменов, сильно похожих на оригинальные, с которых ведется переписка – сотрудники ошибочно общаются с мошенниками, принимая почту за настоящую. Популярными остаются внедрение в реальную переписку либо создание ее имитации.

Заключительная стадия преступной схемы — замена реквизитов в счетах и перевод денег на счета подставных организаций.

Специалисты BI.ZONE Brand Protection неоднократно выявляли подобные действия. Мошенники активно регистрируют домены, копирующие оригинальные.

— Часто такие домены пусты и не содержат контента, поэтому не все системы мониторинга способны их обнаружить, — отметил руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин. — Обычно эти домены используются для организации почтового сервиса. Любая компания с процедурами закупок может стать целью.

По словам эксперта, именно это дает преступникам возможность отправлять письма с адресов, которые выглядят как почта реального контрагента. Операторы делают ставку на то, что сотрудники, обрабатывающие большой объем корреспонденции, могут перепутать и пропустить подлог.

— Такая тактика позволяет мошенникам менять реквизиты и похищать денежные средства с банковских счетов жертв, — добавил он.

Наибольшему риску подвергаются средние и крупные организации с большим числом контрагентов и сложными процессами согласования платежей. Это особенно характерно для отраслей с высокой частотой транзакций — оптовой торговли, логистики, производства, строительства и IT-сектора. Аналогичные схемы чаще встречаются в промышленности, нефтегазовой сфере и компаниях, выпускающих удобрения, пояснил директор центра мониторинга внешних угроз Solar AURA, ГК «Солар» Игорь Сергиенко.

— Практически любая компания, работающая с юридическими лицами и осуществляющая оплату поставок по реквизитам, рискует стать жертвой, — сказал он. — Иногда злоумышленники просто регистрируют домен для отправки почты, в некоторых случаях создается полноценный фишинговый сайт с поддельными контактами.

В дополнение к социальным методам аферисты используют компрометацию аккаунтов персонала, взлом мессенджеров, а также подделку документов.

— Подмена реквизитов становится все более тревожной проблемой: число атак растет, а способы мошенников усложняются, — подчеркнул Константин Ларин.

Другие типы атак могут затрагивать широкий круг клиентов либо базироваться на инсайдерской информации о крупных сделках с последующим вмешательством в переписку, добавил Игорь Сергиенко.

— Такие ситуации являются особенно опасными, — отметил эксперт.

Помимо подмены реквизитов, компании регулярно сталкиваются с социальными атаками на бухгалтерию и руководство, отметил проджект-менеджер MD Audit (ГК Softline) Кирилл Левкин.

— Распространены сценарии заражения компьютеров троянами, которые отслеживают документы и платежи, — рассказал он. — Также наблюдается рост атак через цепочки поставок, когда через взломанных контрагентов злоумышленники проникают в IT-инфраструктуру компаний. Увеличивается число deepfake-звонков от «руководителей» с просьбами срочных переводов средств.

Руководитель отдела аудита и консалтинга «Линза» Олеся Власенко отметила распространение дипфейков и поддельных аккаунтов в мессенджерах.

— Например, подделка голоса и видео или аккаунта руководителя с требованием перевести деньги, — указала эксперт.

С появлением автоматизированных методов оплаты, исключающих ввод реквизитов вручную, атаки подобного рода стали распространяться интенсивнее, отметил главный сетевой архитектор AxelNAC, Axel PRO Станислав Калабин. С развитием технологий, в частности с распространением оплаты по QR-коду, где данные подставляются автоматически, число инцидентов значительно выросло.

— При физическом взаимодействии снизить риски помогает использование динамически генерируемых QR-кодов на устройствах под постоянным контролем сотрудников, — отметил он. — Это минимизирует возможность подмены реквизитов.

В то же время в случаях переписки технические решения не дают полной защиты от фишинга и спуфинга, поэтому важна грамотная цифровая гигиена и высокий уровень осведомленности персонала.

Для предотвращения подобных угроз следует сохранять максимум внимания, подчеркнул Дмитрий Кирюшкин.

— Обязательно проверяйте адреса почтовых ящиков: фишинговый адрес может отличаться всего одним символом, — предупредил он. — Компаниям с интенсивным взаимодействием с контрагентами стоит информировать партнеров о подозрительных ресурсах и попытках мошенничества. Это поможет снизить риски попасться на уловки злоумышленников.

Руководитель отдела тестирования на проникновение компании «Линза» Алексей Иванов отметил, что защита должна включать технические, организационные и процедурные меры.

— Введите правило «двухфакторной проверки» для любых изменений реквизитов: любые изменения должны подтверждаться только по заранее известным каналам связи, например по телефону, указанному в договоре, но не по электронной почте, — порекомендовал он. — Следует установить лимиты для онлайн-переводов: срочные операции и переводы на новые реквизиты должны подтверждаться лично руководителем по двум независимым каналам, например звонком и сообщением.

Также рекомендуется использовать двухфакторную аутентификацию и регулярно обучать сотрудников цифровой гигиене во избежание рисков, подчеркнули эксперты.