За месяц мошенники отправили более 100 писем с приглашением на участие в тендерах якобы от лица энергетической компании «Т Плюс». За участие в торгах от потенциальных подрядчиков потребовали заплатить. Подобные схемы не впервые применяются от имени крупных компаний, ущерб от них исчисляется десятками и сотнями миллионов рублей, предупреждают компании по кибербезопасности.
В энергетической компании «Т Плюс» рассказали “Ъ” об атаке на потенциальных подрядчиков: более 20 компаний получили письма с домена tpmoscow.ru с фальшивым приглашением на участие в закупках. Среди тендеров, например, оказание клининговых услуг, изготовление спецодежды на 5,8 млн руб. или футболок с логотипом компании на 2,3 млн руб. Приглашения проработаны: например, в техническом задании есть изображения с примерами футболок, говорят в «Т Плюс».
Одним из условий участия в письмах названо приобретение сертификата «Союза профессиональных организаций» за 30 тыс. руб., после чего автор рассылки обещает подписать договор всего за неделю, что гораздо быстрее обычных сроков.
«Т Плюс» о существовании такого сертификата неизвестно, там также подчеркнули, что компания «никогда не требует денег за участие в тендере и в большинстве случаев проводит конкурсы на электронных площадках».
С 16 октября с домена tpmoscow.ru в различные компании отправлено около 100 писем с предложением принять участие в тендерах, подтвердили в «Лаборатории Касперского». Домен зарегистрирован на частное лицо 14 октября, на нем даже нет сайта, отмечает начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд.
Такая схема мошенничества появилась как минимум пару лет назад, жертвами могут стать как крупные компании, так и средний и малый бизнес, говорит старший контент-аналитик в «Лаборатории Касперского» Татьяна Щербакова. В плане ущерба могут фигурировать суммы в десятки и сотни миллионов рублей, добавляет руководитель направления антиконтрафакта Group-IB Яков Кравцов.
В Reg.ru ежемесячно снимают с делегирования 400–500 доменов, похожих на домены крупных компаний, рассказал инженер по безопасности компании Артем Мышенков. В последнее время почти каждый день стали появляться домены, похожие на адреса сайтов банков (Альфа-Банк, ВТБ), сервисов объявлений (Avito, OLX) и игровой тематики (Steam), указывает он. В основном домены регистрируются заранее и не используются до подходящего момента, уточняет сооснователь и операционный директор BrandMonitor Кирилл Кириллов.
У такого мошенничества может быть расчет на то, что сыграет прямой обман и жертва заплатит деньги, чтобы принять участие в тендере, либо письмо может быть только первым этапом в многоходовом сценарии, говорит Алексей Дрозд.
Речь идет о так называемых BEC-атаках (business email compromise, компрометация корпоративной почты): жертва втягивается в переписку, доверие в процессе притупляется и дальше ее призывают совершить нужное мошеннику действие, например, скачать программу-шифровальщик или передать платежную информацию, поясняет эксперт. Известно, что на подобные атаки попадались Facebook и Google, которые оплачивали мошеннику, прикидывающемуся их контрагентом, счета на $23 млн и $99 млн соответственно, напоминает он (“Ъ” сообщал об этом 31 марта 2019 года).
Иногда мошенники просят внести до 40% от суммы тендера в качестве денежного обеспечения для допуска к торгам, а после получения залога торги отменяются и мошенники пропадают, говорит ведущий специалист блока консалтинга Infosecurity a Softline Company Анатолий Сазонов.
Наиболее явный признак мошенничества — требование что-то купить или за что-то заплатить, подчеркивают в «Лаборатории Касперского». Кроме того, чтобы не попасть на уловку мошенников, стоит обращать внимание на адрес отправителя: найти контакты в открытых источниках и уточнить достоверность написанного в письме, говорит Татьяна Щербакова. По словам Анатолия Сазонова, также стоит проверить наличие документов на закупку на официальном сайте заказчика или госзакупок.