How can I tell if an email from my CEO or executive is actually legitimate?

Never reply to an email requesting a wire transfer without independently verifying the request through a known phone number from your company directory. Call the executive directly, or ask their assistant to confirm. Legitimate executives understand and expect this verification process, especially for unusual or large transfers. Do not use contact information provided in the suspicious email, as that may also be compromised.

What should I do if I've already sent money to a fraudulent wire transfer?

Contact your bank immediately and request that they initiate a recall of the wire transfer. While recovery is difficult after funds clear, some banks can block transfers before they reach the destination account. Simultaneously, report the fraud to your company's security and legal teams, and file a report with the FBI's Internet Crime Complaint Center (IC3) at ic3.gov. Document all details of the transaction and communication for law enforcement.

Can email spoofing defeat our email security systems?

Email spoofing can bypass basic security measures, especially if your company has not implemented SPF, DKIM, and DMARC authentication protocols. However, even with these tools in place, attackers can compromise legitimate employee accounts or create lookalike domains that appear nearly identical to your domain. This is why voice verification remains the most reliable protection against BEC scams, as it confirms identity through direct communication.

Our company processes dozens of wire transfers daily. How can we maintain security without slowing down operations?

Implement tiered verification procedures based on transfer amount and frequency. Small, routine transfers to known vendors may require only email verification, while large transfers or new payment destinations should always require voice confirmation from at least two authorized personnel. Use pre-approved vendor lists and payment accounts to expedite routine transactions while adding checkpoints for unusual requests.

How do scammers research my company's structure and processes?

Attackers gather information from LinkedIn, company websites, press releases, SEC filings, social media, and publicly available organizational charts. They may also subscribe to company newsletters or review published emails leaked in previous data breaches. Some criminals even conduct phishing attacks on company employees to harvest email addresses and communication patterns. This is why companies should limit publicly available organizational information and train employees to be cautious about what information they share online.

Критический Средний ущерб: $50,000 Обычная длительность: 1-30 days

Мошенничество с компрометацией деловой электронной почты (BEC)

Мошенничество с компрометацией деловой электронной почты (BEC) — одна из самых дорогостоящих схем мошенничества, нацеленных на организации по всему миру. В таких атаках преступники изучают иерархию компании и особенности коммуникаций, затем используют поддельные или взломанные почтовые аккаунты, чтобы выдать себя за руководителей, чаще всего генерального директора или финансового директора, и требуют срочные банковские переводы или конфиденциальную информацию. Центр жалоб на интернет-преступления ФБР (IC3) сообщил, что в 2023 году ущерб от BEC-мошенничества превысил 2,7 миллиарда долларов по почти 21 000 жалоб, при этом средние потери на один случай составляли более 50 000 долларов. Особая опасность BEC заключается в том, что мошенники эксплуатируют законные бизнес-процессы — большинство организаций регулярно проводят банковские переводы, из-за чего мошеннические запросы выглядят для занятых бухгалтеров как обычная рутина. Злоумышленники часто проводят недели разведки, отслеживая почтовые шаблоны, финансовые циклы и кадровые изменения, прежде чем нанести удар, поэтому даже сотрудники, осведомленные о безопасности, могут стать жертвами.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Куда сообщить

Распространённые тактики

• Выдача себя за руководителя с помощью поддельного адреса электронной почты: Мошенники создают адреса, очень похожие на реальные адреса генерального или финансового директора, отличающиеся всего одной-двумя буквами («[email protected]» вместо «[email protected]»), либо взламывают внутренний почтовый аккаунт, чтобы отправлять запросы, которые выглядят как исходящие непосредственно от руководства компании.
• Формирование срочного запроса с вымышленными обстоятельствами: Преступники оказывают давление на сотрудников, утверждая, что перевод необходим для конфиденциального приобретения, экстренной оплаты поставщику, урегулирования судебного спора или срочной бизнес-возможности, которую нельзя обсуждать с другими сотрудниками из-за конфиденциальности или конкурентных соображений.
• Разведка и сбор информации: Перед атакой мошенники проводят недели или месяцы, изучая организационную структуру компании, финансовые процессы, имена сотрудников и последние новости, чтобы составить запросы, соответствующие обычной деловой активности и ссылающиеся на реалистичные сценарии.
• Запрос перевода средств на неожиданные счета: Мошенник направляет сотрудника перевести деньги на банковский счет, отличный от обычного счета поставщика, утверждая, что поставщик временно сменил банк, у материнской компании появился новый платежный портал или средства должны быть переведены на эскроу-счет, удерживаемый юридической фирмой.
• Препятствование попыткам проверки: При вопросах «руководитель» утверждает, что находится на совещаниях подряд, в международной командировке, решает личные проблемы или не может обсуждать детали по электронной почте, намеренно мешая сотруднику позвонить и подтвердить запрос по обычным каналам.
• Поддержание давления и отвлекающие маневры: Мошенники отправляют последующие письма с утверждениями, что сделка рушится, конкуренты готовы приобрести объект, или поставщик перейдет к другому партнеру, если оплата не будет произведена немедленно, поддерживая давление и не давая времени на размышления.

Как распознать

Неожиданный запрос на банковский перевод от руководства с указанием срочности или конфиденциальности: Законные руководители редко просят срочные переводы по электронной почте без последующего устного подтверждения или установленной процедуры закупок, особенно если платеж направлен на необычный счет.
Адрес электронной почты, похожий, но не идентичный известным адресам руководителей: Внимательно проверяйте полный адрес — мошенники часто меняют одну букву или используют похожий домен, который на первый взгляд кажется легитимным, но отличается от официального домена компании.
Запрос перевода на счет, отличный от привычного для поставщика: Если постоянный поставщик внезапно просит оплату на новый банковский счет, особенно зарубежный, это серьёзный сигнал тревоги, требующий независимой проверки.
Давление обойти обычные процедуры утверждения или сохранить запрос в тайне: Законные бизнес-транзакции проходят через установленные процедуры авторизации; просьбы обойти эти правила или скрыть операцию от других руководителей указывают на мошенничество.
Расхождения в объяснении причины перевода и отказ обсуждать детали: Мошенники дают минимальную информацию о назначении перевода и отказываются раскрывать подробности, ссылаясь на конфиденциальность, тогда как законные запросы обычно сопровождаются подробными заказами, счетами или контрактами.
Несоответствие стиля общения или грамматические ошибки в письмах от руководителей: Если письма от руководителя содержат необычные выражения, ошибки или тон, отличающийся от обычного стиля общения, это может свидетельствовать о взломе или подделке аккаунта.

Как защитить себя

Внедрите протокол подтверждения банковских переводов с голосовым подтверждением: Перед выполнением любого запроса на перевод требуйте, чтобы сотрудники звонили инициатору по номеру из внутреннего справочника компании (а не по номеру из письма) для устного подтверждения запроса, суммы и реквизитов платежа.
Внедрите многоступенчатое одобрение переводов, превышающих установленный порог: Требуйте, чтобы запросы на переводы свыше определённой суммы (например, 10 000, 25 000 долларов или выше в зависимости от размера компании) утверждались как минимум двумя уполномоченными лицами, при этом каждый из них проводит независимую проверку.
Используйте технологии аутентификации электронной почты: Внедрите SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting and Conformance) для предотвращения подделки вашего домена и обучайте сотрудников распознавать отсутствие этих защит в внешних письмах.
Проводите регулярное обучение сотрудников финансового, бухгалтерского и руководящего состава методам BEC: Организуйте ежегодные или полугодовые тренинги по безопасности с реальными примерами BEC-мошенничества, инструкциями по процедурам проверки и практическими упражнениями по выявлению подозрительных запросов.
Ведите актуальный список авторизованных платежных реквизитов и проверяйте все изменения через вторичные каналы: Документируйте всех постоянных поставщиков и их банковские реквизиты, требуйте подтверждения любых изменений напрямую у поставщика по известному телефону перед обработкой платежа.
Отслеживайте подделку доменов и настраивайте оповещения о подозрительной активности в электронной почте: Используйте инструменты безопасности почты, которые отмечают письма с внешних адресов, похожих на внутренние, и настраивайте оповещения о необычной активности переводов, например, на новые или зарубежные счета, нехарактерные для вашей компании.

Реальные примеры

Менеджер по бухгалтерии средней производственной компании получил письмо, якобы от генерального директора, с просьбой срочно перевести 87 000 долларов на счет юридической фирмы для закрытия конфиденциальной сделки в тот же день. Письмо пришло с адреса «[email protected]» (на самом деле «[email protected]» с лишней буквой «s»), и менеджер, находясь под давлением времени, выполнил перевод без звонка для проверки. Когда на следующий день настоящий помощник генерального директора поинтересовался переводом, мошенничество было раскрыто, но деньги уже были переведены через посреднические счета в Восточной Европе и вернуть их не удалось.

Сотрудник отдела расчетов в компании здравоохранения получил письмо от финансового директора с просьбой немедленно оплатить 143 000 долларов новому поставщику за обновление IT-инфраструктуры. В письме подчеркивалось, что сделка закрывается в тот же день и не может обсуждаться с другими сотрудниками из-за конфиденциальности. Сотрудник выполнил перевод на указанный счет, но позже выяснилось, что легитимного IT-проекта не было, а почта финансового директора была взломана через фишинговую атаку. Мошенник две недели отслеживал электронную переписку компании, чтобы выявить платежные шаблоны и ключевых сотрудников.

Контролер финансовой компании получил за три дня несколько писем от якобы генерального директора с просьбами о переводах на общую сумму 287 000 долларов для экстренной оплаты поставщикам и урегулирования судебного спора. Каждое письмо содержало конкретные внутренние ссылки и терминологию, свидетельствующие о знании работы компании. Контролер заподозрил неладное, когда последовал запрос от «генерального директора» выполнить операцию «тихо», без уведомления финансового директора. Расследование показало, что злоумышленник взломал почтовый аккаунт младшего сотрудника маркетинга и две недели изучал внутренние коммуникации компании перед атакой.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), мошенничество с компрометацией деловой электронной почты (bec) is described at https://scamlens.org/ru/encyclopedia/business-email-compromise.

https://scamlens.org/ru/encyclopedia/business-email-compromise

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Мошенничество с компрометацией деловой электронной почты (BEC)

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide