💸 Почтовый взлом и миллион «не туда»: кейс о кибермошенничестве

Клиент — известная компания из Хабаровска, много лет работающая с постоянным поставщиком.

Ситуация: при оплате счёта на около 1 млн рублей поставщик сообщил, что денег не поступило. Требовалось срочно разобраться, куда «ушли» средства и не было ли взлома.

Что произошло:

· Поставщик выставил счёт, клиент его оплатил.

· Через сутки поставщик уточняет: «Когда оплатите?» — денег у них нет.

· Началась проверка: реквизиты у поставщика прежние, а у клиента — новые. Бухгалтер просто перебила их и провела оплату.

Почему возникло:

· На почту бухгалтера пришло письмо с поддельным счётом: адрес отличался всего на один символ (например, company@mail.ru → compаny@mail.ru).

· Девочку-бухгалтера не смутило ни изменение реквизитов, ни новый банк.

· Дополнительно нашли ещё один платёж (100–200 тыс.), тоже «уведённый» на новые реквизиты.

Что мешало бизнесу:

· Потенциальная потеря более 1 млн руб.

· Недоверие к сотрудникам и поставщику: сначала подозревали менеджера поставщика, потом — внутреннюю утечку.

· Риски срыва отношений с давним партнёром.

· Проверили компьютеры бухгалтеров. Следы вируса на поверхности не нашли, но выявили слабую организацию ИБ:

o компьютеры не выключаются на ночь;

o пароли лежат в txt-файлах на рабочем столе или сохранены в браузере;

o доступ к ПК без паролей;

o установлены сторонние удалёнки (AnyDesk, TeamViewer, Ammy Admin и пр.).

· Сопоставили время писем:

o оригинальные счета от поставщика отправлялись 18–20 часов вечера,

o подменные приходили ближе к утру.

Это указывает на компрометацию пароля почтового ящика бухгалтера.

· Выяснили, что мошенники подменяли письма и пересылали «фальшивки» с другими реквизитами.

· Подключили полицию, чтобы исключить версию «сговора» со стороны менеджера поставщика.

· Найти причину инцидента.

· Минимизировать ущерб и риски повторения.

Повысить осведомлённость сотрудников о киберугрозах.

· Установлено: компрометация корпоративной почты бухгалтера.

· Выявлены ключевые ошибки в работе персонала:

o невнимательность при проверке реквизитов,

o отсутствие процедур подтверждения изменений,

o хранение паролей в открытом виде.

· Клиент получил детальную картину инцидента и список мер для защиты:

0. Внедрение корпоративной почты с собственным доменом (не @mail.ru).

1. Обязательная двухфакторная аутентификация.

2. Жёсткая политика паролей и контроль удалённого ПО.

3. Регламент проверки реквизитов перед оплатой.

Урок: даже «обычная» почта может стать точкой входа для атаки. Цена ошибки бухгалтера — миллион рублей.

Факторы риска:

· бесплатные почтовые сервисы без защиты,

· слабая цифровая гигиена,

· отсутствие регламентов и контроля.

Польза для других клиентов:

Если ваши бухгалтеры обрабатывают счета через простую почту и не проверяют реквизиты — ваш бизнес под угрозой. Даже одна «невинная» опечатка в адресе может стоить миллионов.

«Мы были уверены, что такая схема невозможна, ведь мы 10 лет работаем с одним поставщиком. Теперь понимаем: дело не в партнёрах, а в нашей безопасности. Спасибо “Топ-Топ Админ” — без вас мы бы до сих пор искали “виноватого”.»

Тел.: 26-04-66 | dir@toptop.pro