Как обнаружить следы мошенничества в электронных документах

Команда ФКЗ в ходе своей работы регулярно сталкивается с многочисленными нарушениями и попытками фальсификаций при работе с электронными документами компаний. Мы подготовили для вас практический обзор признаков, методов анализа и рекомендаций при работе с электронными документами.

· Несоответствие метаданных: автор, ПО, временные метки созда­ния/изменения не совпадают с ожидаемыми.

· Аномалии временных штампов: внезапные «скачки» времени, несовпадение часовых поясов или массовые правки в короткий период.

· Изменённые или отсутствующие цифровые подписи/сертификаты.

· Непоследовательности в содержании: разные стили написания, словоупотребление, форматирование в одном документе.

· Встроенные объекты и макросы: скрытые таблицы, вложенные файлы, макросы VBA.

· Скрытые данные: комментарии, трек‑изменения, невидимые строки/ячейки, версии в свойствах документа.

· Несоответствие числовых расчётов, округлений и формул в таблицах.

· Дублирование и раздвоенные отчёты: одинаковые строки с разными суммами/датами.

· Наличие изображений с несогласованными EXIF/незаметной обрезкой/переделкой.

· Метаданные: ExifTool, сторонние парсеры для DOCX/PDF/XLSX — проверка author, lastModifiedBy, application, creation/modification dates.

· Контроль версий и истории: системы DMS/SharePoint, Git, резервные копии — сопоставление версий.

· Хэширование и дедупликация: генерация SHA‑256/MD5 для проверки неизменности.

· Проверка цифровых подписей: верификация сертификатов, цепочки сертификации и даты отзыва.

· Анализ содержимого: сравнение текстов (diff), стилометрия (на уровне подозрений), языковые и орфографические несоответствия.

· Работа с PDF: анализ слоёв, объектов и встроенных шрифтов; поиск скрытых слоёв и аннотаций.

· Таблицы (Excel): поиск скрытых листов, внешних ссылок, формул, изменённых форматов чисел.

· Макросы и скрипты: статический анализ кода макроса; проверка наличия запусков и подвязки к внешним ресурсам.

· Анализ изображений: EXIF/метаданные, выявление редактирования (анализ уровней, шумов), поиск в обратном поиске картинок.

· Электронная почта: анализ заголовков (Received), SPF/DKIM/DMARC, соответствие вложений и телу письма.

· Сценарий 1: Счёт-фактура с раздутой суммой. Признак — несоответствие дат работ и временных меток файла; в метаданных видно, что автор — сторонний аккаунт; формулы в таблице содержат ручные правки.

· Сценарий 2: Отчёт с задвоенными позициями. Признак — идентичные блоки текста с различиями в числах; журнал версий в DMS показывает удалённую версию с корректными данными.

· Сценарий 3: Подозрение на подделку подписи в PDF. Признак — отсутствует цифровая подпись, в структуре PDF есть вставленные растровые изображения подписи вместо подписи через сертификат.

· Внедрить цифровые подписи и политику их обязательного использования для финансовых документов.

· Вести централизованное хранение с версионностью и аудит‑логами (DMS, SharePoint).

· Ограничить права на редактирование: раздельные роли и утверждения для платёжных документов.

· Шифровать и логировать почту, использовать SPF/DKIM/DMARC.

· Проводить регулярные форензик‑аудиты и обучать сотрудников распознаванию фишинга и поддельных документов.

· Настроить EDR/SIEM для своевременного обнаружения подозрительных операций и массовых изменений файлов.

Заключение — ключевые посылы ✨ 🧾 Метаданные, логика документа и корреляция с внешними журналами — главные источники истины. 🛡 Правильная фиксация и профессиональный форензик‑анализ повышают шансы на возврат средств и привлечение виновных к ответственности.

Хотите профессиональную экспертизу? 📩 Свяжитесь с нашей командой — проведём полный аудит документов, восстановим хронологию и подготовим юридически значимый отчёт.