Хакер похитил $1 млн у британской энергокомпании, подменив реквизиты платежа
Британская нефтегазовая компания Zephyr Energy сообщила о серьёзном инциденте кибербезопасности: с банковского счёта одной из её дочерних структур в США была украдена крупная сумма - 700 000 фунтов стерлингов, что эквивалентно примерно 1 млн долларов. Деньги предназначались подрядчику, но в момент осуществления перевода платёж был незаметно перенаправлен на счёт, находящийся под контролем злоумышленника.
По официальной информации, компания обнаружила подмену уже после совершения операции. В Zephyr поясняют, что речь идёт не о прямом взломе основного платёжного контура компании, а о целевой атаке на цепочку расчётов с контрагентом. Неизвестный сумел изменить банковские реквизиты таким образом, что платёж выглядел полностью легитимным для сотрудников, проводивших операцию.
В сообщении для Лондонской фондовой биржи руководство Zephyr Energy подчёркивает, что инцидент локализован, и на текущий момент финансово-хозяйственная деятельность продолжается в обычном режиме. Работе операционных подразделений, включая производственные объекты и текущие проекты, произошедшее не помешало.
Компания заявила, что совместно с банковскими учреждениями и внешними консультантами предпринимает шаги по возврату похищенных средств. В подобных случаях шанс вернуть деньги зависит от скорости обнаружения инцидента: чем быстрее банк успеет заблокировать подозрительные транзакции и расчётные счета, тем выше вероятность перехвата средств до их обналичивания или дальнейшей рассылки по "цепочке" подставных получателей.
Zephyr утверждает, что до атаки использовала "стандартные отраслевые методы" защиты платёжной и IT-инфраструктуры. После инцидента компания провела дополнительный аудит безопасности и внедрила "новые уровни контроля" - речь, как правило, идёт о многофакторной аутентификации, усиленных процедурах верификации изменений реквизитов и разделении полномочий при согласовании крупных платежей.
Подробности технической реализации атаки не раскрываются, однако известен типичный сценарий подобных мошеннических схем. Злоумышленники часто получают доступ к корпоративной почте сотрудников или к учётным записям в бухгалтерских системах. Затем они незаметно отслеживают переписку и финансовые операции, дожидаясь момента, когда компания готовится перечислить деньги подрядчику или партнёру.
В нужный момент хакеры подменяют в письмах или счетах реквизиты получателя - иногда прямо в теле письма, а иногда в приложенных документах. Другой вариант - изменение данных в системе учёта: платёж проводится как обычно, но средства уходят не проверенному контрагенту, а на заранее подготовленный счёт. Для сотрудников платёж выглядит корректным: сумма, назначение и контрагент совпадают с договорённостями, а ошибка скрывается исключительно в реквизитах.
Такие схемы относятся к категории целевых атак на деловую переписку и платёжные процессы. В практическом исполнении это часто не высокотехнологичный "хакерский взлом" в киношном смысле, а грамотное сочетание социальной инженерии, фишинговых писем, слабых паролей и недооценки рисков в области финансовой безопасности. Злоумышленнику достаточно один раз получить доступ к почтовому ящику бухгалтера или менеджера по работе с подрядчиками, чтобы неделями и месяцами изучать привычные процессы и готовиться к одному-двум точным ударам.
По оценкам правоохранительных органов разных стран, совокупные потери компаний от подобных атак уже измеряются миллиардами долларов ежегодно, и эта цифра стабильно растёт. Особенно уязвимы отрасли, где регулярно проходят крупные транзакции: энергетика, строительство, девелопмент, поставки оборудования, логистика. Упор здесь делается не на массовость, а на размер каждого отдельного перевода - один успешный эпизод может принести преступникам суммы, сопоставимые с годовой выручкой небольшой компании.
Сектор энергетики представляет особый интерес для киберпреступников по нескольким причинам. Во-первых, это крупные бюджеты и постоянные платежи подрядчикам, сервисным компаниям и поставщикам. Во-вторых, сложные цепочки взаимодействий, когда в проекте участвуют десятки контрагентов: от буровых и инженерных фирм до транспортных и сервисных компаний. В таких условиях человеческий фактор и перегруженность сотрудников играют на руку мошенникам - шанс, что подмена реквизитов останется незамеченной, заметно выше.
Инцидент с Zephyr Energy наглядно показывает, что даже компании, которые следуют "отраслевым стандартам" защиты, остаются уязвимыми. Формальное наличие документов по информационной безопасности и антивируса на рабочих станциях давно перестало быть достаточным. Основной риск часто скрывается не в серверах и сетевом оборудовании, а в пересечении IT и финансов: где бухгалтерия взаимодействует с электронными письмами, файлами, платёжными поручениями и онлайн-банком.
После подобных происшествий компании, как правило, пересматривают ключевые процедуры. На практике это может включать обязательное голосовое или видеоподтверждение изменения банковских реквизитов поставщика, двух- или трёхступенчатое согласование крупных переводов, регулярную смену паролей и запрет на использование личной почты для рабочих задач. Немаловажно и обучение сотрудников: даже самый продвинутый технический контур бесполезен, если менеджер по привычке подтверждает изменение реквизитов, опираясь лишь на одно письмо "от знакомого контрагента".
Эксперты по кибербезопасности отмечают, что борьба с подобными схемами - это прежде всего вопрос культуры безопасности, а уже потом технологий. Компании, которые рассматривают киберзащиту как живой процесс, а не формальную галочку в отчётах, как правило, быстрее обнаруживают подозрительные аномалии и оперативнее реагируют на попытки мошенничества. Внезапно появившееся письмо о смене счёта, нетипичная срочность платежа, несоответствие стиля переписки привычному - всё это сигналы, которые внимательный сотрудник способен заметить ещё до того, как деньги уйдут злоумышленникам.
Отдельного внимания заслуживает взаимодействие бизнеса с банками. Финансовые организации постепенно ужесточают процедуры верификации получателей и развивают системы мониторинга подозрительных транзакций. Однако даже самая продвинутая система не всегда способна отличить реального подрядчика от мошенника, если его реквизиты были подменены внутри самой компании-клиента. Поэтому банки всё чаще предлагают клиентам дополнительные сервисы: уведомления о смене реквизитов, более гибкие лимиты по операциям, белые списки контрагентов, ручную проверку особо крупных платежей.
Для компаний, которые работают с международными переводами, риски дополнительно усиливаются временными лагами и особенностями межбанковских расчётов. Пока платёж "идёт" через несколько банков и платёжных систем, злоумышленник может успеть разделить сумму на десятки небольших транзакций и вывести деньги в разные юрисдикции. Это сильно осложняет расследование и возврат средств. Поэтому скорость реакции после обнаружения инцидента нередко становится ключевым фактором успеха.
Случай Zephyr Energy - ещё одно напоминание о том, что финансовая и кибербезопасность сегодня неразрывно связаны. Потенциальный ущерб от одной успешной атаки сопоставим с серьёзным бизнес-риском: срывом проектов, потерей доверия партнёров, падением капитализации и даже угрозой для продолжения деятельности. В такой ситуации вложения в укрепление защитных механизмов и обучение персонала перестают быть "дополнительными расходами" и превращаются в обязательную часть стратегии устойчивого развития компании.
Для самого рынка инциденты подобного рода, несмотря на их болезненность, выполняют ещё и предупредительную функцию. Каждый громкий случай становится аргументом в пользу пересмотра практик безопасности у других игроков отрасли. И чем прозрачнее компании рассказывают о том, какие уроки они извлекли и какие меры приняли, тем быстрее формируется новый уровень стандартов - когда защита платежей и деловой переписки воспринимается как такая же базовая необходимость, как учёт налогов или соблюдение техники безопасности на производстве.
