Човек по средата: Как измамници отклоняват фирмени плащания

В момента се случва и масово сменяне на IBAN сметки заради сливането на ОББ и KBC Bank (преди това "Райфайзен"), което може да накара някои недобросъвестни играчи да се възползват от това за измами спрямо някои по-невнимателни граждани и фирми.

Атаката, на която Кирил и компанията му са станали жертва, се нарича man in the middle, или "човек по средата". При нея хакери успяват да прехванат кореспонденция между две компании, в случая имейл, след което дублират кореспонденцията между двете компании. Самото прехващане става, когато нечий личен имейл е компрометиран, с една дума - хакнат. В случая - този на служител във френската компания.

"Ще си сменим сметката, пак"

Историята на Кирил започва през лятото на 2019 г., когато компанията му пуска поръчка за около 20 хил. евро към френския доставчик. Стоката идва, а плащането за нея трябва да бъде направено до средата на септември. Кирил уточнява важен детайл, който споява цялата история - преди това, в рамките на година и половина, френската компания сменя три пъти банковите си сметки. "Не знам защо, но го направиха, съвсем наистина. Тоест имаше създаден прецедент за честа смяна на сметки", разказва той.

Така малко преди плащането по фактурата за 20 хил. евро българската фирма получава имейл, че доставчикът им отново си сменя сметката. И понеже прецедентът вече е поставен, Кирил и екипът му не поставят искането под съмнение и изпращат парите по новата сметка.

Работата между двете компании продължава по обичайния начин. Нищо в държанието на френската компания не подсказва, че те не са получили плащане по поръчката. След няколко месеца идва време за нова поръчка, която е за над 60 хил. евро. "Всичко беше напълно нормално - ние им пишем искаме това и това, те ни отговарят това имаме, това нямаме. В един момент дори ни трябваха само кашони и те ни ги пратиха. Цялата стока, която поръчвахме, идваше", казва Кирил.

Когато идва новата фактура, българската компания отново получава уведомление за нова банкова сметка. Отново, понеже прецедентът не само е поставен, но и вече затвърден, Кирил плаща на новата, вече пета, банкова сметка. Тогава, в началото на 2020 г., френската компания се обажда на българската с въпрос: "Вие защо не си плащате?"

От мен към тях, от тях към теб

Двете компании бързо разбират какво се е случило, макар да нямат точно обяснение как. Още в средата на 2019 г. тяхната кореспонденция е пресечена от хакери, които се превръщат в посредник между двете страни. Това най-вероятно е станало чрез хакването на служебен имейл от страна на френската компания, защото само по този начин би имало смисъл, тъй като френската компания не плаща на българската.

Хакерите на практика правят огледална кореспонденция между двете страни. Когато получават имейл от българите, те го препращат на французите и обратното. Всичко това се случва чрез създаването на домейни, които са почти напълно идентични с оригиналните. В единия случай са разменени буквите "i" и "o" в името на единия кореспондент, а в другия случай буквата "m" e заменена от "r" и "n", които написано заедно като "rn" приличат визуално на "m". И макар самите домейни да са променени от ".fr" и ".bg" на ".com", това се вижда едва при последвалата проверка, защото самото име на акаунтите, което се вижда при получаване на имейл, е същото като при оригинала.

Посредниците работят търпеливо - както казва Кирил, те предават всяка информация между двете компании на другата страна и добавят нещо от себе си само със смяната на IBAN сметките.

Както Кирил разказва в ретроспекция, проблемите са два. Първият е, че в случая с френската компания сменянето на сметки вече се е превърнало в обичайна практика. Вторият е, че френската компания не си иска парите още след първото плащане.

"И то това е цялата работа, че можехме да си спестим почти цялата драма, ако те ни бяха казали, че не е стигнало още първото плащане. Защото тогава нямаше да има второ плащане. Ако те не бяха казали и за втората фактура, че не са получили пари, ние щяхме да продължим да си плащаме на хакерите", казва Кирил.

ГДБОП, САЩ, Австрия... и нищо

Българската компания подава сигнал към киберзвеното на ГДБОП само ден след като разбира за измамата. Няколко месеца по-късно българската компания отговаря и на въпроси от американски прокурор, защото преправените домейни на хакерите са ".com". Макар по света домейни ".com" да могат да се купят от хиляди сайтове за хостинг, самият домейн се регистрира в американската организация ICANN.

Тези въпроси от американски прокурор обаче не довеждат до никъде и от вече над две години насам по случая няма движение. Финансово последствие за Кирил и фирмата му също няма - те претендират, че плащанията са направени, и понеже хакването е от страна на френската компания, няма причина за повторно изпращане на пари. Според Кирил френската фирма е успяла да си върне 60% от сумите чрез застраховка.

Настрана от финансовото измерение, изводите след инцидента са два. Първият е за повече внимание. То не означава абсолютно всеки имейл да бъде поставян под съмнение, но за Кирил означава всеки път, когато техен контрагент сменя сметката си, да се прави видеоразговор, който да потвърждава новата IBAN сметка.

Вторият е, че проблемът не е само в компаниите, но и в банковата система. Още в първите дни, след като разбират за измамата, двете компании искат информация от банката, в която са двете сметки на хакерите. Тя е австрийска и макар да дава данни, че получените пари веднага са били изтеглени от нея, не казва на чие име са сметките.

Това е и по-големият проблем, извън конкретния случай. При изпращането на пари по банков път банките изискват и IBAN, и име на получател. В действителност обаче банките гледат единствено IBAN номера и дори името на получателя да не съвпада, какъвто е случаят на Кирил, плащането минава. Самите банки нямат достъп до базата на други банки и така не могат да сравнят името - това може да стане, ако преводът е по сметка в същата банка. И то по изричното настояване на наредители, ако е в клон. При масовото навлизане на електронно банкиране това няма как да стане.

Банките не искат горещия картоф

"Към момента проверката на съвпадението между IBAN на бенефициента по платежно нареждане и действителния собственик на сметката на ЕС ниво са уредени така, че рискът е за изпращача. Платежните институции отказват да носят отговорност за проверка на съвпадение или да поемат каквато и да било част от вредите в случай на несъвпадение между двете. В Обединеното кралство има подобно задължение, съответно - ангажиране на отговорността при неспазването му от страна на платежната институция, макар и рестриктивно формулирано", казва пред "Капитал" Жулиета Мандажиева, адвокат в кантората KDBM.

Тя добавя, че вече има проект на такава уредба и на ниво ЕС, в третата итерация на Директивата за платежните услуги, PSD3, част от Регламента за платежните услуги. "Проверка на съвпадение между IBAN и собственик на сметката според платежното нареждане спрямо действителното положение при всички кредитни преводи ще бъде задължение на доставчика на платежни услуги съгласно проекта на новата уредба. Разбира се, докато започне нейното ефективно прилагане, има много време. Вероятно ще го видим най-рано през 2025 г.", казва още тя.

Междувременно по-рано от въвеждането на PSD3 ще бъде прието изменение на Регламента за незабавните кредитни преводи в евро. Само при тези преводи, в рамките на системата SEPA, ще има проверка за съвпадение на сметка и име. Така за известно време SEPA преводите ще бъдат най-сигурните, поне по този критерий. Това изискване може да започне да действа в края на следващата година.

Дотогава всички трябва да са наясно, че не могат да разчитат на банковата сметка да ги опази, ако изпратят парите си на грешното място по една или друга причина. Кирил е разбрал това по трудния начин и според неговите лични наблюдения прекалено много негови приятели от бизнеса са наясно с този вид измами, дори да не признават, че са станали жертви на такава.