Дарья Верестникова, коммерческий директор SafeTech
Рассказала знакомая бухгалтер о странном звонке – через телеграмм якобы от генерального директора с требованием перевести 4 млн новому контрагенту. Голос был явно Михаила Ивановича, и говорил так строго и требовательно, якобы быстро переводим, Наталья Ильинична. И решила знакомая зайти к генеральному, благо сидит он в кабинете напротив, и уточнить причины спешки. А тот сидит, бумаги разбирает и о новом контрагенте и слышать не слышал.
«Какая-то дурная шутка, и кому такое в голову пришло», - смеется моя приятельница Наталья.
Но это не шутка вовсе, а набирающая популярность атака на юридических лиц с использованием социальной инженерии по типу «ложный начальник» (FakeBoss). В 2023 году злоумышленники также атаковали компании и граждан через мессенджеры, направляя сообщения от имени руководителя компании сотрудникам компании с фейковых (а порой и взломанных) аккаунтов. В 2024 году наблюдается новый тренд - на использование аудиодипфейков – то есть именно звонков по мессенджерам от имени руководителя компании с подменой его голоса. При этом голос начальника моделируется с помощью технологии искусственного интеллекта на основании фрагмента его речи. А получить такой фрагмент мошенники могут благодаря телефонному опросу, якобы звонку из налоговой, банка, финтес-центра, от соседки по подъезду. Ну то есть вариантов масса.
На Западе аудиодипфейки при мошеннических схемах FakeBoss используются много лет. Так в 2019 году хакерам удалось похитить €220 тыс. у английской энергетической компании. Злоумышленники представились гендиректором и убедили в телефонном разговоре сотрудника перевести деньги на нужный счет.
Защититься от подобных атак компании могут сами. Например, как моя знакомая Наталья Ильинична, просто перепроверить информацию: самой позвонить начальнику по телефону, зайти к нему в кабинет или просто задать каверзный вопрос типа «Кто играл снегурочку на новогоднем корпоративе?». Вряд ли хакеры угадают, что что это был зав. складом Петрович.
Кроме того, следует проявлять необходимую осмотрительность при выборе банка для открытия расчетного счета. Если кредитная организация действительно заботиться о безопасности средств своих корпоративных клиентов, то такая атака в принципе невозможна. Банки не должны экономить на средствах подтверждения трансакций, а также на системах противодействия мошенническим вызовам — антифроде.
Так защищенность компании от подобных атак повышается в разы, когда руководитель компании сам подтверждает платежи и при этом видит, по каким реквизитам и какому контрагенту уходит платеж. А это возможно, если банк не использует морально устаревшие коды из СМС для подтверждения финансовых операций, а перешел на подтверждение операций с помощью мобильной цифровой подписи на смартфоне. Даже если б Наталья Ильинична поверила в реальность звонка и решила б провести платеж, что ее шеф затормозил бы его на этапе подтверждения операции, если платежи в этой компании подтверждается мобильной цифровой подписью и заверяется директором. Потому что как только главбухом будет создана платежка в пользу фейкового контрагента, генеральному директору придет сообщение о созданном платежном поручении на смартфон со всеми реквизитами (как в платежном поручении) и он просто отклонит «липовый» платеж.
И сейчас уже многие банки используют мобильную электронную подпись для подтверждения транзакций, разделяя формирующего платеж и подписанта. Это позволяет им отлавливать большое количество фрода ( как внутреннего, со стороны недобросовестных сотрудников компании, так и различные атаки социальных инженеров).
Технология мобильной цифровой подписи также используется при обслуживании банками состоятельных клиентов -физических лиц. Там в принципе все платежи совершаются по звонку персональному менеджеру. При использовании мобильной цифровой подписи после формирования платежного документа клиенту приходит сообщение, он проверяет реквизиты, получателя и подтверждает. Эта технология защищает от ошибок, мошенничеств и внутреннего фрода.
Сейчас есть банки, кто уже перешел на новый способ подтверждения транзакций и те, кто использует небезопасные смс. И компании могут выбирать где открывать счет – там где деньги защищены, или где один фейковый звонок от босса лишит компанию нескольких миллионов.