Сегодня история не моя, а коллеги которого мы частенько консультируем. История эта может произойти с любым бухгалтером. Постарайтесь так не попадаться.
У нас нет клиентов которые работают с "техническими" компаниями, просто не берем таких. Можем себе позволить, да и возни с ними слишком много если честно. Но коллег периодически консультируем и вот что произошло недавно при рутиной вроде бы, операции. Многие клиенты полностью передают управление своими счетами бухгалтерам. В плоть до того что остаток на счете узнают не в приложении или в банк-клиенте,а у бухгалтеров. И самое удивительное что таких очень и очень много. Ну удобно так людям.
Вот и в этот раз история началась с рутины - на почту как всегда приходит письмо "Оплатите ООО "Ниф-Ниф" и во вложении вордовский файл с реквизитами. Платеж ожидаем так как НДС... ну вы поняли. Сумма под 400 тысяч, согласованна заранее - специфика "технических" контрагентов. Контрагент новый, но это тоже норма, не живут они долго. Что то дернуло буха позвонить клиенту.
- Добрый день Пал Михалыч, на "Ниф-Ниф" 390 рублей отправляем, смс- ку бы на вход и оплату следом.
- Драсти, да ща, чет долго вы. Погодь на какую "Ниф-Ниф" я ж на "НафНаф" просил.
- Да нет, вон в письме "НифНиф" в Саратове, 390 рублей.
- Блин стой тогда, мож напутал я чего.
Начали выяснять, и тут нарисовалась интересная картина (я потом предположу как это сделали). Письмо на оплату клиент отправляет допустим в 14.00 из браузера на домашнем компе. Коллега получает его в 14.25 на рабочий комп в программу. Посмотреть мне удалось оба письма.
Отправленное письмо ничего особенного из себя не представляло. А вот в полученном сразу бросилось в глаза несколько вещей - наименование ОООшки в теле письма отличалось шрифтом, в вордовском файле с реквизитами та же картина. Все что подменили другой шрифт. То ли торопился кто, то ли просто криворукий... Далее смотрю адрес, в адресе тоже отличия вместо motorgerber@mail.ru стоит motorqerber@mail.ru . Это кстати странно, если уж готовились - а воришки явно готовились, то могли и адрес подменить. Не так уж это и сложно. Да же мы, привыкшие проверять всё и вся при платежах, в запарке могли такое пропустить.
Дальнейшие раскопки позволили создать вероятную реконструкцию попытки увода денег. Воришки каким то образом следили за трафиком и в нужный момент - при уходе письма с темой "на оплату", заблокировали отправку. После поменяв реквизиты отправили письмо с левого ящика. Скорее всего контролировали трафик с WiFi роутера, и после нужного письма заблокировали его на какое то время. Подмена явно делалась вручную - структура файла с реквизитами несколько необычна и автоматом там подмену не сделать. Что подтверждает задержка письма.
Эта история закончилась хорошо, а вот после расспросов знакомых я услышал пару историй где все у воришек получилось. У одних сумма сопоставима, у других раза в два больше. Естественно ничего вернуть не успели и никого не нашли. На следующий день получатель все раскидывал по ИПшникам, которые в свою очередь доили банкоматы и все радостно сваливали в закат.
Но это все было про клиентов "техничек", где то оно и понятно. Все таки суммы как правило немалые, клиенты постоянные. Получить их список и выпасти гораздо проще. А потом готовить аферу и ждать когда бухгалтера прикинут НДС... Но ведь и с белой организацией можно провернуть такую схему.
Что делать? Быть более внимательным, подтверждать все платежи по альтернативному каналу - оплата в почту тогда подтверждение по мессенджеру или телефону. Смс-ки банка не панацея, не все банки в смс пишут кому платеж. Да и не читают их обычно - код высмотрел, запомнил и переслал бухгалтеру. Реквизиты фоткой или пдф без возможности редактирования. Ну или экзотика в виде шифрования...
Всем удачи и не попадайтесь!