Поддельные письма

Одним из видов атаки на клиента со стороны мошенников является отправка фиктивных писем от имени бизнес-партнеров клиента.

Мошенники используют отправку электронных писем якобы от партнеров, с электронных адресов на первый взгляд неотличимых от оригинальных. Например, оригинальный электронный адрес — kiev.office@testdomain.com, а поддельный — kiev.office@testdomaln.com (domaln вместо domain, возможно также ofice вместо office и т. д.). С такими письмами отправляются требования о перечислении сумм на новые реквизиты, причем, если злоумышленники имеют доступ к информации о сделках клиента (предприятия), то они смогут подготовить убедительный, не вызывающий подозрений документ для оплаты.

Характерные действия мошенников:

  • Мошенники всегда осведомлены о сути бизнеса клиента и партнера, так как они контролируют переписку между сторонами. Мошенники тщательно подготавливаются и вступают в переписку с обеими сторонами, оперируя деталями предстоящей сделки.
  • Мошенники, от имени «партнера», сообщают о том, что якобы менеджер, с которым клиент вел электронную переписку, сейчас не доступен и всю последующую переписку вести с другим представителем компании (называется имя и мейл, который реально принадлежит мошеннику).
  • Мошенники могут прислать сфабрикованное письмо от компании партнера о смене реквизитов, с печатями и подписями. Причем, в шапке присланного бланка будет указано название партнера, а в указанных банковских реквизитах название получателя будет изменено.
  • Мошенники всеми способами будут торопить клиента побыстрее провести платеж на новые реквизиты. На дополнительные вопросы о причине смены банковских реквизитов партнера или страны банка, обслуживающего партнера, мошенники могут ссылаться на неожиданно проходящий на предприятии аудит, ревизию или даже замороженные счета.
  • Платеж, отправленный по новым реквизитам, указанным мошенниками, может вернуться обратно в банк с пометкой о том, что были указаны некорректные реквизиты или указанный номер счета закрыт. В таких случаях мошенники незамедлительно предлагают перевести деньги на новые реквизиты.
  • Если клиент уже осуществил платеж и интересуется, зачислены ли деньги указанный счет, мошенники могут тянуть время и сообщать о каких-либо причинах, почему деньги до сих пор не попали на счет, что является препятствием выполнения договорных обязательств перед клиентом. Тем самым мошенники тянут время, необходимое им для вывода средств с мошеннического счета, и чтобы у клиента не возникло никаких подозрений, а также желания отозвать платеж.

Ниже мы приводим примеры аргументов мошенников, используемые для пояснения клиенту ситуации со сменой реквизитов платежа (меняется название получателя, номер счета, страна банка получателя):  

  • «Наш счет поменялся в связи с аудитом нашего расчетного счета со стороны нашего банка. Если вы пошлете деньги на старый счет, то мы не сможем их получить».
  • «Мы получили звонок/е-мейл из нашего банка о том, что у нас некоторые проблемы по счету, и мы не сможем временно получать средства наш счет. Просим использовать другой счет в нашем банке-посреднике и не посылать платеж по старым реквизитам, так как суммы будут заморожены, и мы не сможем получить данный платеж».
  • «Наш счет поменялся, так как по старому счету наши аудиторы проводят проверку, в связи с тем, что у нас возникли спорные вопросы с китайскими правительственными органами по поводу налогообложения. Наш банк оповестил нас о том, что мы не должны принимать платежи на наш старый счет пока не закончиться аудит и спорные вопросы не будут решены. Вы должны остановить все платежи на старый счет в китайском банке и использовать только новые реквизиты банка в Гонконге, который мы вам сейчас пришлем (или уже прислали)».
  • «Наш счет поменялся, так как мы начали новый отчетный год в Индии. Мы получили указание от банка о том, что произошли изменения в работе банка и теперь мы должны использовать номер счета, который состоит из 10 цифр вместо 14. Налоги на экспорт также увеличились, и мы решили прекратить использовать счет в банке Индии. Тем более мы еще должны выполнить их требование по поводу 10-значного номера счета. Поэтому все платежи теперь идут в наш новый банк-посредник/партнеру-посреднику в Китае».
  • «Наш счет меняется, так как мы/наш партнер-посредник не может принять платеж из-за ограничений банка в размере платежа».

Наши рекомендации

  • Проверяйте адрес отправителя электронной почты с помощью функции “Показать детали” (“Show details”, “Показать детали”, “Оригинал сообщения” и т. п. в зависимости от вашего почтового клиента).
  • В примере показано письмо от мошенников с адресной строкой в сложенном виде:


    и в раскрытом виде:


    Обратите внимание — в раскрытых деталях адресата виден истинный отправитель письма kiev.office@testdomaln.com, вместо ожидаемого kiev.office@testdomain.com. При попытке ответить на это письмо, получателем также будет адрес злоумышленника с буквой «l» в адресе вместо «i». К сожалению, не все почтовые программы могут корректно показать адрес отправителя, и в этом случае поддельный адрес может остаться незамеченным. Для устранения связанного с этим риска воспользуйтесь следующим нашим советом.
  • Если ваш бизнес-партнер просит изменить банковские реквизиты платежей, позвоните на ранее известный вам номер партнера и убедитесь в правильности реквизитов.

    Так же следует поступать и в случае сомнений в подлинности полученного от его имени письма.