Наш клиент и его задача
Клиент — известная компания из Хабаровска, много лет работающая с постоянным поставщиком.
Ситуация: при оплате счёта на около 1 млн рублей поставщик сообщил, что денег не поступило. Требовалось срочно разобраться, куда «ушли» средства и не было ли взлома.
Ситуация: при оплате счёта на около 1 млн рублей поставщик сообщил, что денег не поступило. Требовалось срочно разобраться, куда «ушли» средства и не было ли взлома.
⚠️ Проблема клиента
Что произошло:
· Поставщик выставил счёт, клиент его оплатил.
· Через сутки поставщик уточняет: «Когда оплатите?» — денег у них нет.
· Началась проверка: реквизиты у поставщика прежние, а у клиента — новые. Бухгалтер просто перебила их и провела оплату.
Почему возникло:
· На почту бухгалтера пришло письмо с поддельным счётом: адрес отличался всего на один символ (например, company@mail.ru → compаny@mail.ru).
· Девочку-бухгалтера не смутило ни изменение реквизитов, ни новый банк.
· Дополнительно нашли ещё один платёж (100–200 тыс.), тоже «уведённый» на новые реквизиты.
Что мешало бизнесу:
· Потенциальная потеря более 1 млн руб.
· Недоверие к сотрудникам и поставщику: сначала подозревали менеджера поставщика, потом — внутреннюю утечку.
· Риски срыва отношений с давним партнёром.
· Поставщик выставил счёт, клиент его оплатил.
· Через сутки поставщик уточняет: «Когда оплатите?» — денег у них нет.
· Началась проверка: реквизиты у поставщика прежние, а у клиента — новые. Бухгалтер просто перебила их и провела оплату.
Почему возникло:
· На почту бухгалтера пришло письмо с поддельным счётом: адрес отличался всего на один символ (например, company@mail.ru → compаny@mail.ru).
· Девочку-бухгалтера не смутило ни изменение реквизитов, ни новый банк.
· Дополнительно нашли ещё один платёж (100–200 тыс.), тоже «уведённый» на новые реквизиты.
Что мешало бизнесу:
· Потенциальная потеря более 1 млн руб.
· Недоверие к сотрудникам и поставщику: сначала подозревали менеджера поставщика, потом — внутреннюю утечку.
· Риски срыва отношений с давним партнёром.
Наше расследование и действия
· Проверили компьютеры бухгалтеров. Следы вируса на поверхности не нашли, но выявили слабую организацию ИБ:
o компьютеры не выключаются на ночь;
o пароли лежат в txt-файлах на рабочем столе или сохранены в браузере;
o доступ к ПК без паролей;
o установлены сторонние удалёнки (AnyDesk, TeamViewer, Ammy Admin и пр.).
· Сопоставили время писем:
o оригинальные счета от поставщика отправлялись 18–20 часов вечера,
o подменные приходили ближе к утру.
Это указывает на компрометацию пароля почтового ящика бухгалтера.
· Выяснили, что мошенники подменяли письма и пересылали «фальшивки» с другими реквизитами.
· Подключили полицию, чтобы исключить версию «сговора» со стороны менеджера поставщика.
o компьютеры не выключаются на ночь;
o пароли лежат в txt-файлах на рабочем столе или сохранены в браузере;
o доступ к ПК без паролей;
o установлены сторонние удалёнки (AnyDesk, TeamViewer, Ammy Admin и пр.).
· Сопоставили время писем:
o оригинальные счета от поставщика отправлялись 18–20 часов вечера,
o подменные приходили ближе к утру.
Это указывает на компрометацию пароля почтового ящика бухгалтера.
· Выяснили, что мошенники подменяли письма и пересылали «фальшивки» с другими реквизитами.
· Подключили полицию, чтобы исключить версию «сговора» со стороны менеджера поставщика.
Цель проекта
· Найти причину инцидента.
· Минимизировать ущерб и риски повторения.
Повысить осведомлённость сотрудников о киберугрозах.
· Минимизировать ущерб и риски повторения.
Повысить осведомлённость сотрудников о киберугрозах.
✅ Результаты
· Установлено: компрометация корпоративной почты бухгалтера.
· Выявлены ключевые ошибки в работе персонала:
o невнимательность при проверке реквизитов,
o отсутствие процедур подтверждения изменений,
o хранение паролей в открытом виде.
· Клиент получил детальную картину инцидента и список мер для защиты:
0. Внедрение корпоративной почты с собственным доменом (не @mail.ru).
1. Обязательная двухфакторная аутентификация.
2. Жёсткая политика паролей и контроль удалённого ПО.
3. Регламент проверки реквизитов перед оплатой.
· Выявлены ключевые ошибки в работе персонала:
o невнимательность при проверке реквизитов,
o отсутствие процедур подтверждения изменений,
o хранение паролей в открытом виде.
· Клиент получил детальную картину инцидента и список мер для защиты:
0. Внедрение корпоративной почты с собственным доменом (не @mail.ru).
1. Обязательная двухфакторная аутентификация.
2. Жёсткая политика паролей и контроль удалённого ПО.
3. Регламент проверки реквизитов перед оплатой.
Выводы
Урок: даже «обычная» почта может стать точкой входа для атаки. Цена ошибки бухгалтера — миллион рублей.
Факторы риска:
· бесплатные почтовые сервисы без защиты,
· слабая цифровая гигиена,
· отсутствие регламентов и контроля.
Польза для других клиентов:
Если ваши бухгалтеры обрабатывают счета через простую почту и не проверяют реквизиты — ваш бизнес под угрозой. Даже одна «невинная» опечатка в адресе может стоить миллионов.
Факторы риска:
· бесплатные почтовые сервисы без защиты,
· слабая цифровая гигиена,
· отсутствие регламентов и контроля.
Польза для других клиентов:
Если ваши бухгалтеры обрабатывают счета через простую почту и не проверяют реквизиты — ваш бизнес под угрозой. Даже одна «невинная» опечатка в адресе может стоить миллионов.
Комментарий клиента
«Мы были уверены, что такая схема невозможна, ведь мы 10 лет работаем с одним поставщиком. Теперь понимаем: дело не в партнёрах, а в нашей безопасности. Спасибо “Топ-Топ Админ” — без вас мы бы до сих пор искали “виноватого”.»
Запишитесь на бесплатный экспресс-аудит ИТ-инфраструктуры:
Тел.: 26-04-66 | dir@toptop.pro