Главная | Кодекс финмониторинга | Типологии легализации | Мошенничество, связанное с компрометацией корпоративной электронной почты

Мошенничество, связанное с компрометацией корпоративной электронной почты

3 071
Принятие:
26 декабря 2019
Вступление в силу:
26 декабря 2019
Последняя редакция:
26 декабря 2019

ГРУППА ПОДРАЗДЕЛЕНИЙ ФИНАНСОВОЙ РАЗВЕДКИ «ЭГМОНТ»

БЮЛЛЕТЕНЬ ГРУППЫ «ЭГМОНТ»:

 

Мошенничество, связанное с компрометацией корпоративной электронной почты

 

Рабочая группа по информационному обмену
РГИО

Июль 2019 г.
— Общедоступная версия —

 

 

ГРУППА ПОДРАЗДЕЛЕНИЙ ФИНАНСОВОЙ РАЗВЕДКИ «ЭГМОНТ»

ОБЩЕДОСТУПНЫЙ БЮЛЛЕТЕНЬ: МОШЕННИЧЕСТВО, СВЯЗАННОЕ С КОМПРОМЕТАЦИЕЙ КОРПОРАТИВНОЙ ЭЛЕКТРОННОЙ ПОЧТЫ

Целью данного Бюллетеня является оповещение компетентных органов и подотчетных субъектов об основных типологиях и рисках отмывания денег, связанных со схемами мошенничества, а именно с компрометацией корпоративной электронной почты (BEC). Информация, содержащаяся в данном Бюллетене, поможет органам власти и подотчетным учреждениям более эффективно выявлять, идентифицировать и расследовать схемы мошенничества, связанные с BEC, сообщать о них, а также пресекать деятельность таких незаконных финансовых сетей.

 

БЮЛЛЕТЕНЬ О МОШЕННИЧЕСТВЕ, СВЯЗАННОМ С КОМПРОМЕТАЦИЕЙ КОРПОРАТИВНОЙ ЭЛЕКТРОННОЙ ПОЧТЫ

Идентификационный номер: EG-Bulletin-01/2019

Дата: 30 июля 2019 года

Предполагаемые получатели: компетентные органы (регулирующие, надзорные и правоохранительные органы) и подотчетные субъекты

 

Введение

Предотвращение использования международной финансовой системы киберпреступниками является основным приоритетом Группы подразделений финансовой разведки «Эгмонт» и ее членов. Группа «Эгмонт» выпускает данный Бюллетень, чтобы предупредить членов ПФР и их юрисдикции о возрастающей угрозе, которую создают схемы BEC-мошенничества. Использование схем BEC-мошенничества является одной из наиболее быстрорастущих криминальных угроз в киберпространстве, негативно влияющей на финансовые учреждения, в результате чего мировой финансовый сектор несет потери в миллиарды долларов. Например, одна юрисдикция выявила потенциальные убытки в размере свыше 12 млрд. долларов США, возникшие в результате более чем 78 000 зарегистрированных случаев BEC-мошенничества в течение последних пяти лет, жертвами которых стали национальные и иностранные субъекты. Данные мошеннические схемы нацелены на коммерческие организации, представителей различных профессий и частных лиц. При этом учетные записи их деловой или личной электронной почты компрометируются в целях отправки (или организации отправки) фальшивых платежных поручений и другой информации, используемой для совершения финансового мошенничества.

 

Мошенничество, связанное с компрометацией корпоративной электронной почты

BEC-мошенничество включает схемы, в рамках которых преступники компрометируют учетные записи электронной почты жертв либо для (1) отправки фиктивных платежных поручений финансовым учреждениям или другим деловым партнерам в целях незаконного присвоения денежных средств, либо для (2) организации мошеннической передачи данных в целях совершения финансового мошенничества.

Финансовые учреждения могут играть важную роль в выявлении и предотвращении схем BEC-мошенничества и сообщении о таких схемах, способствуя укреплению взаимодействия и сотрудничества между своими внутренними подразделениями по противодействию отмыванию денег (ПОД), бизнес-подразделениями, подразделениями по предотвращению мошенничества и обеспечению кибербезопасности.

Чтобы устранить возрастающую и серьезную угрозу, которую BEC представляет для финансовых учреждений и их клиентов, 11 ПФР создали проектную команду Группы «Эгмонт» по вопросам, связанным с мошенничеством BEC для анализа тенденций и методологий BEC. Цель Группы «Эгмонт» заключается в том, чтобы сообщить ПФР основные выводы данного анализа в надежде на то, что ПФР, в случае необходимости, передадут эту информацию компетентным органам и подотчетным учреждениям. В данном Бюллетене, основанном на этих ключевых выводах, приводятся индикаторы BEC-схем и связанные с ними мошеннические операции. Подотчетные учреждения, получившие данный Бюллетень, могут использовать его для идентификации сделок, предположительно связанных с BEC, и для сообщения о них компетентным регулирующим, надзорным и правоохранительным органам.

 

Как работают BEC-схемы

BEC-схемы, как правило, предусматривают исполнение роли жертвы, которые дают финансовому учреждению якобы законные распоряжения на совершение операции. Несмотря на то, что BEC-схемы различаются в определенных аспектах, все они ориентированы на использование скомпрометированных учетных записей электронной почты, чтобы заставить финансовые учреждения и/или их клиентов совершить несанкционированные или фиктивные платежи либо отправить конфиденциальные данные неуполномоченной третьей стороне, которая затем использует такие данные в целях финансового мошенничества. Во всех BEC-схемах можно выделить три этапа.

 

Этап 1: компрометация данных жертвы и учетных записей электронной почты. Сначала преступники незаконно получают доступ к учетной записи электронной почты жертвы, часто с помощью социальной инженерии или методов вторжения в компьютерную систему. Затем преступники используют взломанную учетную запись электронной почты для получения информации о финансовых учреждениях, услугами которых пользуется жертва, об их счетах, контактах и другой связанной информации.

Этап 2: передача распоряжений на совершение мошеннических операций. Затем преступники используют украденные данные жертвы для отправки финансовому учреждению по электронной почте поддельных платежных поручений или инструкций по передаче данных таким способом, чтобы казалось, что они поступают от жертвы. Для этого преступники могут либо использовать реальную учетную запись электронной почты жертвы, которой они теперь управляют, либо создать поддельную учетную запись электронной почты, напоминающую электронную почту жертвы. В подтверждение своих распоряжений преступник может предоставить поддельные подтверждающие документы, чтобы распоряжения были больше похожи на законные.

Этап 3: выполнение неавторизованных операций. Преступники обманом заставляют сотрудника или финансовое учреждение жертвы осуществлять денежные переводы, которые кажутся законными, но на самом деле являются неавторизованными или мошенническими. Распоряжения на совершение мошеннических операций содержат требование о перечислении платежей на счета преступников в национальных или иностранных финансовых учреждениях. Обычно пунктами назначения таких мошеннических операций являются финансовые учреждения стран Восточной и Юго-Восточной Азии, а также Западной и Восточной Европы. Однако следует отметить, что преступники часто корректируют свои стратегии, и страны назначения могут быстро меняться.

 

Сценарии BEC

BEC-схемы часто нацелены на финансовые учреждения или их клиентов, включая юридических и физических лиц, которые осуществляют крупные операции через финансовые учреждения, кредитные организации, компании по операциям с недвижимостью и юридические фирмы. В качестве иллюстрации, BEC-схемы часто принимают следующие формы.

Сценарий 1: преступник выдает себя за коммерческого клиента финансового учреждения. Преступник взламывает и использует учетную запись электронной почты сотрудника Компании A для отправки фиктивных поручений о перечислении денежных средств в финансовое учреждение Компании A. На основании этого запроса финансовое учреждение Компании A осуществляет банковский перевод и отправляет денежные средства на счет, контролируемый преступником.

В этом сценарии преступник, выдающий себя за клиента финансового учреждения, принуждает финансовое учреждение выполнить несанкционированный банковский перевод.

Сценарий 2: преступник выдает себя за руководителя («лжедиректор»). Преступник взламывает и использует учетную запись электронной почты руководителя Компании B для отправки поручений о перечислении денежных средств сотруднику Компании B, который отвечает за обработку и осуществление платежей. Сотрудник, полагая, что поручения, направленные руководителем по электронной почте, являются законными, даёт распоряжения финансовому учреждению компании B выполнить банковский перевод.

В этом сценарии преступник, выдающий себя за руководителя компании, вводит сотрудника компании в заблуждение, который в свою очередь непреднамеренно санкционирует незаконный банковский перевод денежных средств на контролируемый преступником счет. Другие варианты этого сценария предполагают выдачу преступником себя за руководителя компании, чтобы ввести сотрудника компании в заблуждение и вынудить его отправить конфиденциальную информацию о заработной плате или операции, которую преступник сможет использовать при проведении будущих финансовых мошеннических операций.

Сценарий 3: преступник выдает себя за поставщика. Преступник выдает себя за одного из поставщиков Компании C или поставщика профессиональных услуг (например, агент по операциям с недвижимостью, эскроу-агент или адвокат), чтобы отправить письмо по электронной почте и проинформировать Компанию C о том, что будущие платежи по счетам или депозиты необходимо направлять на новый счет и адрес. На основании этой ложной информации Компания C обновляет платежные реквизиты своего поставщика в своих документах и дает своему финансовому учреждению новые платежные инструкции о переводе денежных средств, и это финансовое учреждение направляет платежи на счет, контролируемый преступником.

В этом сценарии преступник, выдающий себя за поставщика или провайдера услуг, отправляет поддельную платежную информацию, чтобы ввести сотрудника компании в заблуждение и вынудить его направить банковские переводы на контролируемый преступником счет.

Сценарий 4: цель преступника — операции с недвижимостью. Преступник компрометирует учетную запись электронной почты агента по операциям с недвижимостью или физического лица, покупающего или продающего недвижимость с целью изменения платежных поручений и перенаправления денежных средств, фигурирующих в сделке с недвижимостью (таких как выручка от продажи, выплаты ссуд или сборы). Либо преступник взламывает и использует адрес электронной почты агента по операциям с недвижимостью, чтобы связаться с эскроу-агентом и поручить ему перенаправить комиссионные, полученные агентом по операциям с недвижимостью за продажу имущества, на счет, контролируемый преступником.

В этом сценарии преступник выдает себя за агента по операциям с недвижимостью или за другого ключевого участника сделки с недвижимостью, чтобы дать фиктивные платежные поручения с целью введения в заблуждение контрагента, который вынужден будет направить авансовые платежи или другие денежные средства, связанные со сделкой с недвижимостью, на контролируемый преступником счет.

 

Индикаторы BEC-мошенничества

Для успешного выявления и пресечения BEC-схем требуется тщательное изучение и проверка распоряжений на совершение операций с клиентами, а также рассмотрение обстоятельств, связанных с такими распоряжениями. Поскольку некоторые индикаторы BEC-мошенничества могут на самом деле отражать законную финансовую деятельность, финансовым учреждениям необходимо принимать во внимание, что один отдельно взятый индикатор, связанный с осуществлением операций, не может наверняка указывать на подозрительную деятельность. Финансовые учреждения должны учитывать дополнительные индикаторы и сопутствующие факты и обстоятельства, такие как история финансовой деятельности клиента и наличие нескольких индикаторов для этого клиента, прежде чем решить, что операция является подозрительной. А также финансовые учреждения должны при необходимости проводить дополнительные дознания и расследования.

Следующие индикаторы могут указывать на использование BEC-схемы.

 

Индикаторы, связанные с банковским счетом жертвы

Общие шаблоны подозрительных операций

  • Клиент отправляет по электронной почте распоряжения на совершение операций, предписывающие направить платеж известному получателю (бенефициару), однако информация о счете получателя отличается от использовавшейся ранее.
  • Клиент отправляет по электронной почте распоряжения на совершение операций, предписывающие направить платеж получателю, которому клиент не отправлял ранее никаких платежей или с которым у клиента нет документально подтвержденных деловых отношений, и размер платежа аналогичен размеру платежей, которые клиент отправлял получателям ранее, или превышает такой размер.
  • Клиент отправляет по электронной почте транзакционные запросы на дополнительные платежи сразу после успешного перевода платежа на счет, который ранее не использовался клиентом для осуществления платежных операций между поставщиками/продавцами. Такое может иметь место в случаях, когда преступник пытается осуществить дополнительные несанкционированные платежи после того, как узнал, что фиктивный платеж был успешно переведен.
  • Клиент отправляет по электронной почте распоряжения на совершение операций, предписывающие обозначать транзакционный запрос как «Срочный», «Секретный» или «Конфиденциальный».
  • Клиент отправляет по электронной почте распоряжения на совершение операций, давая финансовому учреждению мало времени или ограничивая его возможность подтвердить подлинность запрашиваемой операции.
  • Клиент отправляет по электронной почте распоряжения на перевод денежных средств на счет иностранного финансового учреждения, которое ранее фигурировало в претензиях клиентов как предполагаемое место назначения мошеннических операций.
  • В законных на первый взгляд распоряжениях на совершение операций, отправленных клиентом по электронной почте, фигурируют языки, сроки и суммы, отличающиеся от тех, что были указаны в ранее проверенных и подлинных распоряжениях на совершение операций.
  • Распоряжения на совершение операций поступают с адреса электронной почты, очень похожего на адрес электронной почты известного клиента, при этом последний был слегка изменен путем добавления, изменения или удаления одного или нескольких символов. Например,
 

Подлинный адрес электронной почты:
john-doe@abc.com

  

Поддельный адрес электронной почты:
john_doe@abc.com
john-doe@bcd.com

 

  • Финансовое учреждение получает по электронной почте распоряжения на совершение операций от работника клиента, который лишь недавно был назначен уполномоченным лицом на проведение операций со счетами или является уполномоченным лицом, которое ранее не отправляло распоряжений на совершение операций.
  • Сотрудник или представитель клиента отправляет финансовому учреждению по электронной почте распоряжения на совершение операций от имени клиента, основанные исключительно на электронных сообщениях руководителей, юристов или их уполномоченных лиц. При этом сотрудник или представитель клиента заявляет, что он/она не смог(ла) подтвердить операции с такими руководителями, юристами или их уполномоченными лицами.

Юрисдикции, представляющие высокий риск BEC

  • Счет получателя может принадлежать оффшорной компании или финансовому учреждению, находящемуся в высокорисковой юрисдикции, как установило финансовое учреждение и соответствующие юрисдикционные компетентные органы учреждения.

Использование поддельных документов или счетов

  • Для подтверждения операции преступники отправляют поддельные документы или счета сотруднику жертвы. Поддельные документы и счета могут быть высокого качества и иногда даже могут включать в себя подлинные документы, в которые были внесены некоторые изменения для того, чтобы перевести деньги на счет преступника в финансовом учреждении.

 

Индикаторы, связанные со счетами подозреваемых в BEC-мошенничестве

Общие шаблоны подозрительных операций

  • После атаки на счет/компанию средства сразу же снимаются из финансового учреждения, немедленно выводятся из финансового учреждения или переводятся на несколько счетов в финансовом учреждении.
  • Финансовое учреждение получает банковский перевод для зачисления средств на счет, однако в банковском переводе указан получатель, не являющийся владельцем счета. Это может быть случай, когда жертва непреднамеренно отправляет банковские переводы на новый номер счета, предоставленный преступником, выдающим себя за известного поставщика/продавца, полагая, что новый счет принадлежит известному поставщику/продавцу, как описано в приведенном выше сценарии 3, связанный с BEC. Этот индикатор могут заметить финансовые учреждения, получающие электронные переводы, отправленные другим финансовым учреждением в результате BEC-мошенничества.

Сумма денежного перевода

  • Сумма денежного перевода, поступившая на счет получателя, не соответствует профилю клиента.

Использование «денежных мулов»

  • Внезапное увеличение сумм крупных операций и остатков на счете клиента-посредника может указывать на потенциальное участие «денежного мула» в схеме BEC-мошенничества. «Денежные мулы» выступают в качестве посредников преступников и преступных организаций. В некоторых случаях жертвы не знают, что их используют киберпреступники для мошеннической транспортировки денег. Преступники обычно используют «денежных мулов» в мошеннических схемах, связанных с BEC. У «денежных мулов», как правило, мало денег на счетах, и до их вовлечения в преступную схему их финансовая активность низкая.

 

Меры снижения риска

Процесс разноплановой проверки операций помогает финансовым учреждениям защититься от BEC-мошенничества. Например, финансовые учреждения могут проверить подлинность подозрительных платежных поручений по оплате операций, полученных по электронной почте, связавшись с клиентом несколькими способами (например, по телефону, по альтернативным адресам электронной почты) или связавшись с другими лицами в компании клиента, уполномоченными проводить операции. Успех BEC-схем зависит от преступников, побуждающих финансовые учреждения совершать законные на первый взгляд, но несанкционированные операции. Такие операции часто бывают безотзывными, т.е. финансовые учреждения и их клиенты не могут отменить платеж или отозвать денежные средства. Поэтому для предотвращения и сокращения количества несанкционированных операций необходимо выявлять фиктивные поручения по оплате операций до произведения оплаты.

Реагирование на BEC-инциденты и возврат денежных средств

Некоторые члены Группы подразделений финансовой разведки «Эгмонт» работают в сотрудничестве с финансовыми учреждениями и правоохранительными органами, чтобы помочь жертвам вернуть денежные средства, быстро распространяя информацию о предположительном финансовом мошенничестве, связанном с BEC. Быстрота реагирования со стороны жертв, финансовых учреждений и правоохранительных органов имеют решающее значение для успешного возврата денежных средств жертве. Вероятность возврата средств, утраченных в результате BEC, значительно падает после первых 24 часов.

Для содействия расследованию BEC-инцидентов и возврата денежных средств жертв BEC-мошенничества финансовым учреждениям рекомендуется предпринять следующие шаги.

1) Незамедлительно связаться с правоохранительными и другими компетентными органами

a. Сообщить о преступлении. Крайне важно, чтобы жертва, финансовые учреждения, правоохранительные органы, органы регулирования, а также национальные и иностранные ПФР, пытаясь вернуть переведенные денежные средства, действовали быстро. Для этого жертва или финансовое учреждение жертвы должны немедленно сообщить о преступлении и обратиться за помощью в правоохранительные органы и ПФР.

Обратите внимание, что финансовым учреждениям также важно сообщать не только об успешных операциях, но и о неудачных попытках, поскольку информация, связанная с попыткой мошенничества, может иметь решающее значение для содействия компетентным органам в расследовании незаконной деятельности и преступных сетей.

b. Оповестить финансовое учреждение получателя. Финансовое учреждение, обслуживающее счет жертвы, должно незамедлительно связаться с финансовым учреждением получателя, чтобы сообщить ему о подозрении в мошенничестве.

с. Пометить подозрительную входящую операцию. Финансовое учреждение потенциального преступника или первого получателя незаконных денежных средств может заподозрить мошенничество, если у него имеются сомнения по поводу законности происхождения полученных средств. В этом случае финансовое учреждение должно незамедлительно связаться с соответствующими регулирующими и правоохранительными органами своей юрисдикции и ПФР, чтобы оповестить их о подозрительной операции.

Кроме того, подотчетный субъект при необходимости должен незамедлительно направить сообщение о подозрительной операции (СПО) в соответствующее ПФР. Если перевод был осуществлен в течение последних 72 часов, то лицо, подающее претензию, должно настаивать на срочном рассмотрении ситуации.

2) Остановить движение валюты

a. Не выполнять подозрительные операции. Финансовое учреждение-получатель, имеющее информацию (например, сообщение SWIFT об отзыве платежа) о том, что на счет одного из его клиентов был произведен мошеннический перевод денежных средств, не должно выполнять операции, которые могут привести к потере денежных средств. Чтобы оценить законность входящей операции, финансовое учреждение-получатель должно связаться с правоохранительными органами и ПФР.

3) Изъять/вернуть активы

a. Проинформировать компетентные органы о местонахождении активов. Чтобы повысить вероятность возврата активов, финансовые учреждения должны сотрудничать с правоохранительными органами и местным ПФР, предоставляя всю запрашиваемую информацию. Финансовые учреждения должны информировать ПФР и правоохранительные органы перед выполнением любой исходящей операции, если денежные средства все еще находятся на счете, а также предоставить информацию о следующем пункте назначения денежных средств, которые уже были переведены со счета.

b. Предписания о замораживании активов. Финансовые учреждения должны сотрудничать с ПФР и/или правоохранительными органами в случаях, когда компетентные органы выпустили предписания о замораживании активов.

 

Направление сообщений о подозрительных операциях на основании данного Бюллетеня

Выполняя процедуру, применяемую в их юрисдикции, подотчетные учреждения должны ссылаться на данный Бюллетень при направлении в соответствующие компетентные органы своей юрисдикции сообщений о сделках, предположительно связанных с BEC, что было установлено на основе индикаторов данного Бюллетеня. Ссылка на данный Бюллетень в СПО даст возможность соответствующим компетентным органам выявить BEC-мошенничество и принять меры для содействия в возвращении денежных средств и расследовании этого BEC-мошенничества. Подотчетные субъекты должны, где это возможно, указывать в своих СПО следующий ключевой термин, обозначающий то, что они ссылались на этот Бюллетень при выявлении подозрительных операций, которые могут быть связаны с BEC-схемами:

 

«BEC-Бюллетень Группы «Эгмонт»»

Напоминаем учреждениям, сообщающим о компрометации электронной почты посредством СПО, о необходимости включить, насколько это возможно, всю актуальную и подробную информацию, в частности, следующие сведения.

Сведения о денежных переводах:

  • даты и суммы подозрительных операций;
  • идентификационные данные отправителя, номер счета и финансовое учреждение;
  • идентификационные данные получателя, номер счета и финансовое учреждение; а также
  • информация о корреспондентских и посреднических финансовых учреждениях, если необходимо.

Сведения о схеме:

  • Индикаторы кибератаки, такие как актуальные адреса электронной почты, заголовки сообщений электронной почты и связанные IP-адреса с соответствующими временными метками; а также
  • описание и время подозрительных сообщений электронной почты.
Вернуться назад
Поделиться в соцсетях:

Информационная рассылка по тематике финансового мониторинга и ПОД/ФТ/ФРОМУ

Важно. Актуально. Полезно

  Предоставлено SendPulse
О нас
Академия финансового мониторинга
Календарь финансового мониторинга
Правила внутреннего контроля
Обучение в сфере ПОД/ФТ
Абонентское обслуживание
Консультация по ПОД/ФТ
Оговорки в сфере ПОД/ФТ
Контакты
Юридический центр "Догма"

© 2015–2026. Юридический центр «Догма». Все права защищены.

ИП Щеголихин Дмитрий Александрович. ИНН 583401208239.

E-mail: dogma58@bk.ru, Тел.: +7(960)317-73-88.

При любом использовании материалов с сайта ссылка на юридический центр «Догма» обязательна.

разработка сайта: