Разоблачение фиктивного контрагента: от цифрового следа до прямой верификации

36
12 минут
Разоблачение фиктивного контрагента: от цифрового следа до прямой верификации

© «Директор по безопасности», №07-2026, Июль, 2026 г.


Андрей Завражнов, Главный специалист по экономической безопасности компании REDMOND

В статье рассмотрена популярная мошенническая схема хищения товарно-материальных ценностей, с которой столкнулась одна торговая компания. Приведён пошаговый анализ индикаторов риска («красных флагов»), описана механика преступной схемы, а также даны практические рекомендации по выстраиванию эффективной системы проверки новых контрагентов и оперативному реагированию на инциденты.

В контактный центр торговой компании поступило электронное письмо с запросом коммерческого предложения на поставку крупной партии кофемашин (см. рис. 1). Отправитель представился менеджером по закупкам московской организации с безупречной репутацией и впечатляющими финансовыми результатами.

   чя.png

Рис. 1 – Письмо с запросом коммерческого предложения

Менеджер по продажам, которому была передана заявка, действуя в обход внутренних регламентов, начал согласовывать условия отгрузки. Он даже направил потенциальному контрагенту скан-копию договора поставки и получил через курьерскую службу бумажный экземпляр с печатью организации и подписью руководителя (см. рис. 2).

   111.png

Рис. 2 – Договор поставки с печатью организации и подписью руководителя, отправленный контрагентом через курьерскую службу

Позднее свои действия менеджер объяснил страхом упустить выгодную сделку и желанием ускорить предшествующие отгрузке процедуры. Самостоятельно «проверив» клиента через бесплатные сервисы, менеджер был убеждён, что проблем с согласованием специалистами по экономической безопасности не возникнет. Его уверенность подкрепляли деловой тон переписки, предоставление стандартного пакета документов (см. рис. 3), желание работать строго по договору, а также отсутствие давления и спешки.

222.png  

Рис. 3 – Предоставление контрагентом пакета документов

В эпоху открытых данных у работников смежных подразделений нередко возникает иллюзия компетентности: им кажется, что они способны самостоятельно определять угрозы и оценивать риски. В отдельных случаях такие заблуждения приводят к размыванию зон ответственности и делегированию задач безопасности. В этих условиях профильные специалисты не вправе занимать пассивную позицию и ограничиваться поверхностными знаниями. Их обязанность – непрерывное развитие, поддержание экспертизы на высоком уровне и регулярное подтверждение профессионализма через конкретные результаты.

Условия сотрудничества, запрошенные клиентом, и отсутствие гибкости в переговорах всё же насторожили менеджера. В торговой компании действует правило: первые отгрузки новым покупателям осуществляются строго по предоплате. Исключения требуют отдельного согласования. Оказавшись в неудобном положении, менеджер запустил официальную процедуру проверки контрагента и явился в отдел экономической безопасности с повинной головой. Он рассказал о своих подозрениях и попросил тщательно проверить организацию.

В первую очередь с помощью DLP-системы была восстановлена полная хронология событий (см. рис. 4). Стоит отметить, что данный класс решений нередко ошибочно воспринимается исключительно как инструмент информационной безопасности. Однако в передовых компаниях DLP-системы давно стали кросс-функциональным ресурсом. Для специалистов по экономической безопасности они превратились в незаменимый актив, обеспечивающий сквозную видимость коммуникаций и позволяющий проводить независимые внутренние расследования.

    сс.png

Рис. 4 – Результаты поиска переписки с контрагентом по электронной почте в DLP-системе

Детальный анализ переписки потенциального контрагента и менеджера выявил следующие тревожные сигналы:

1.   Требование отсрочки платежа и организации доставки за счёт продавца.

Это ключевой элемент рассматриваемой схемы (см. рис. 5). У злоумышленников нет намерения оплачивать поставку. Им нужен товар, который будет реализован на теневом рынке. Период отсрочки – это гарантированное время, в течение которого продавец не будет бить тревогу, ожидая поступления денежных средств. Злоумышленники тем временем успеют замести следы. Перекладывание транспортных расходов на продавца – дополнительный способ минимизировать издержки преступной группы и повысить рентабельность мошеннической схемы.

   333.png 

Рис. 5 – Согласование условий оплаты

2.   Отсутствие конкретного адреса доставки.

Контрагент просил организовать доставку в г. Москву, но конкретный адрес так и не предоставил (см. рис. 6). Незадолго до отгрузки мошенники арендуют на непродолжительное время «транзитный склад», на котором осуществляется оперативная перегрузка из одного транспортного средства в другое. Эта мера лишает продавца возможности провести выездную или дистанционную проверку и вовремя выявить обман.

 им.png    

Рис. 6 – Согласование адреса доставки

3.   Отказ от электронного документооборота (далее ЭДО).

Менеджер предложил оформить сделку через ЭДО, но получил отказ. При этом было установлено, что контрагент подключён сразу к нескольким операторам (см. рис. 7). Отказ от ЭДО при технической возможности не является прямым признаком мошенничества, но в сочетании с другими факторами может стать основанием для углублённой проверки. Оператор ЭДО в определённой степени выступает гарантом того, что вы взаимодействуете с действительными представителями компании. Работа «по старинке» значительно облегчает жизнь мошенникам. Изготовить поддельные печати и подложные документы (например, доверенности) значительно проще, чем оформить квалифицированную электронную подпись.

    ссс.png

Рис. 7 – Проверка контрагента на участие в ЭДО и отказ от его применения

4.   Несоответствие объёма закупки масштабам организации.

Клиент запросил коммерческое предложение на поставку 107 кофемашин, заявив, что техника приобретается для «обеспечения офиса». При этом среднесписочная численность работников организации в 2025 г. достигла максимума и составила всего 10 чел. (см. рис. 8). В отрыве от других факторов это расхождение не является однозначным признаком мошенничества, однако в сочетании с ранее выявленными индикаторами оно усиливает подозрения в недобросовестности контрагента.

444.png

Рис. 8 – Сравнение объёма закупки «для внутренних нужд» со среднесписочной численностью работников

5.   Подозрительные домены.

Запрос коммерческого предложения поступил с электронного почтового ящика, привязанного к одному домену, при этом в подписи письма был указан другой ресурс, обозначенный как официальный сайт контрагента. При переходе по адресу первого домена происходило автоматическое перенаправление на второй. Сайт на первом домене отсутствовал, тогда как второй представлял собой одностраничный ресурс с пространными описаниями видов деятельности, не соответствующих данным об организации из официальных источников.

Оба домена были зарегистрированы недавно на физических лиц, не прошедших верификацию (см. рис. 9). Подобный статус лишает продавца уверенности в том, что он действительно взаимодействует с конкретным юридическим лицом. Документы с реквизитами, опубликованные на сайте, не могут рассматриваться в качестве подтверждения легитимности контрагента.

555.png 

Рис. 9 – Выявление индикаторов риска при проверке доменов через whois-сервисы

В ходе проверки было установлено, что ещё в начале года второй домен принадлежал организации, от имени которой был получен запрос коммерческого предложения (см. рис. 10). Анализ архивных снимков веб-страниц сайта показал, что в 2023-2024 гг. ресурс также эксплуатировался этой организацией и содержал достоверные сведения (см. рис. 11).

 ч.png

Рис. 10 – Обнаружение исторической связи второго домена с организацией

 666.png

Рис. 11 – Архивные снимки веб-страниц сайта за 2023-2024 гг.

На основании собранных данных был сделан вывод о том, что после истечения срока регистрации домен, скорее всего, был перехвачен злоумышленниками для создания правдоподобной легенды.

Совокупность сигналов позволила с высокой вероятностью предположить, что в торговую компанию обратились мошенники. Для подтверждения гипотезы через независимые источники были найдены контактные данные единственного учредителя/генерального директора организации, от имени которой поступил запрос на поставку кофемашин. Он опроверг причастность к этой сделке, подтвердив опасения (см. рис. 12).

   св.png

Рис. 12 – Ответ единственного учредителя/генерального директора организации, от имени которой поступил запрос, о непричастности к закупке

Менеджер по продажам сообщил злоумышленникам о готовности работать только по предоплате. После обвинений в срыве поставки коммуникация была прекращена (см. рис. 13).

    777.png

Рис. 13 – Завершение коммуникации с мошенниками

Мошенническая схема, с которой столкнулась торговая компания (см. рис. 14), включает следующие основные этапы:

1.   Подготовка легенды. Мошенники создают цифровую инфраструктуру (регистрируют домены, используя чужие персональные данные или оформляя их на подставных лиц; создают сайты, настраивают электронную почту и телефонию), собирают в открытых источниках документы легитимных организаций (выписки из ЕГРЮЛ/ЕГРИП, учредительные документы, бухгалтерскую отчётность и т. п.), изготавливают поддельные печати и подложные документы.

2.   Поиск жертв. Он может быть активным (злоумышленники сами инициируют контакт с продавцами интересующих их товаров) и пассивным (злоумышленники размещают заявки на ЭТП).

3.   Взаимодействие с продавцами. Преступники входят в доверие, предоставляют полный пакет документов и успешно проходят формальную проверку.

4.   Отгрузка без оплаты. Товары на условиях отсрочки платежа доставляются на «транзитный склад», где оперативно перегружаются в другое транспортное средство. Зачастую привлекаются водители-частники, нанятые через онлайн-платформы и используемые втёмную по подложным доверенностям. Подобных операций, как правило, несколько. Каждая последующая смена транспортного средства и водителя осуществляется в новом месте. В результате груз растворяется на необъятных просторах страны.

5.   Исчезновение. Спустя оговорённое время организация-жертва начинает требовать оплату. Телефон контрагента не доступен, письма остаются без ответа. Претензии направляются в адрес реальной компании, которая ничего не знает о сделке. Продавец остаётся с убытком и практически нулевыми перспективами возврата товаров.

    11ы.png

Рис. 14 – Упрощённое представление мошеннической схемы

Несмотря на отсутствие фактического ущерба, было подано заявление в полицию в электронной форме о покушении на мошенничество (см. рис. 15). Однако по опыту других торговых компаний, реально потерявших товары по аналогичной схеме, рассчитывать на результат не приходится. Скорее всего, последует отказ в возбуждении уголовного дела. Даже при наличии ущерба такие дела считаются бесперспективными ввиду сложности идентификации организаторов, их возможного нахождения за границей, использования подставных исполнителей.

   888.png

Рис. 15 – Заявление в полицию о покушении на мошенничество

Тем временем цифровая инфраструктура злоумышленников продолжала функционировать. От имени той же московской организации на различных электронных торговых площадках (далее ЭТП) стали появляться запросы коммерческих предложений (см. рис. 16).

   мс.png

Рис. 16 – Объявления мошенников на ЭТП с запросом коммерческих предложений

Были предприняты следующие меры по пресечению преступной деятельности:

1.   Составлены жалобы администраторам ЭТП, на которых были обнаружены запросы коммерческих предложений. Все заявки были удалены (см. рис. 17).

999.png   

Рис. 17 – Результат обращения к администратору ЭТП

2.   Опубликованы многочисленные отзывы о телефонном номере в специализированных сервисах (см. рис. 18). Он был помечен как мошеннический.

100.png   

Рис. 18 – Отзывы в сервисах по проверке телефонных номеров

3.   Составлена жалоба оператору связи. Телефонный номер был заблокирован (см. рис. 19).

    101.png

Рис. 19 – Результат обращения к оператору связи

4.   Составлены жалобы регистраторам доменов. В результате была инициирована процедура проверки личности администраторов. В случае непредоставления документов регистраторы пообещали прекратить делегирование доменов (см. рис. 20, 21).

102.png   

Рис. 20 – Ответ на обращение к регистратору в отношении первого домена

103.png 

Рис. 21 – Ответ на обращение к регистратору в отношении второго домена

5.   Составлены жалобы в компетентные организации, перечисленные на сайте проекта «Доменный патруль» (https://domainpatrol.ru/organization/). Они сотрудничают с Координационным центром доменов .RU/.РФ и наделены правом направлять регистраторам обращения о прекращении делегирования доменов. Наиболее эффективным стало обращение в Национальный координационный центр по компьютерным инцидентам (далее НКЦКИ). Регистраторам были направлены запросы. Не дожидаясь окончания процедуры проверки личности администраторов, они прекратили делегирование доменов. Работоспособность сайтов и электронных почтовых ящиков была нарушена (см. рис. 22-26).

  104.png 

Рис. 22 – Ответ на обращение в НКЦКИ

  105.png

Рис. 23 – Мгновенная реакция регистратора после обращения в НКЦКИ

106.png    

Рис. 24 – Результат снятия доменов с делегирования (прекращение работы сайтов)

 107.png

Рис. 25 – Результат снятия доменов с делегирования (прекращение работы электронного почтового ящика, с которой поступил запрос)

  108.png

Рис. 26 – Результат снятия доменов с делегирования (прекращение работы электронной почты на обоих доменах)

Рекомендации специалистам по корпоративной безопасности (см. рис. 27):

1.   Внедрить правило «утром - деньги, вечером - стулья». Первые отгрузки новым контрагентам осуществлять исключительно по предоплате. Коммерческие условия с отсрочкой платежа вводить поэтапно, по мере формирования положительной истории взаимодействия. Исключения допустимы только после отдельной углублённой проверки и аргументированного обоснования. Именно этот барьер отсеивает подавляющее большинство злоумышленников.

2.   Перейти от формальной проверки к комплексному анализу, включающему верификацию контактных лиц. Критически важно проверять не только хозяйствующий субъект, но и тех его представителей, с которыми общаются менеджеры. Здесь незаменим доступ к переписке (например, через DLP-систему), поскольку работники зачастую небрежно заполняют карточки контрагентов, не указывая контактных лиц.

3.   Проводить прямую верификацию по независимым каналам. При малейших сомнениях самостоятельно находить контакты учредителей и руководителей и связываться с ними для подтверждения сделки. Ни в коем случае не использовать контакты, предоставленные контрагентом.

4.   Развивать культуру безопасности. Регулярно проводить тренинги для коллег с разбором реальных кейсов. Целенаправленно работать над имиджем подразделения безопасности: позиционировать специалистов как партнёров по снижению бизнес-рисков, а не представителей «карающего органа». Только в атмосфере доверия работники будут эскалировать свои подозрения без страха дисциплинарных взысканий.

5.   Руководствоваться принципом «найти и обезвредить». Даже в случае отсутствия ущерба целесообразно принять максимально возможные меры по блокировке цифровой инфраструктуры злоумышленников. Это усложняет деятельность мошеннических групп, снижает совокупные риски для рынка и формирует доказательную базу для возможного взаимодействия с правоохранительными органами.

   мми.png

Рис. 27 – Ключевые рекомендации

Представленные рекомендации не являются исчерпывающим перечнем правил, а задают вектор развития системы корпоративной безопасности. Каждая проверка контрагента должна восприниматься не как бюрократическая процедура, а как многоуровневый фильтр. По мере трансформации цифровой среды мошеннические схемы становятся всё более изощрёнными, активно сочетающими отработанные приёмы психологического манипулирования с технологическими новшествами. Поэтому устойчивость бизнеса к внешним угрозам зависит не от наличия формальных барьеров, а от способности специалистов по корпоративной безопасности оперативно адаптировать методы проверки, выстраивать независимые каналы верификации и действовать на опережение. Противостоять злоумышленникам можно только комплексно, сочетая технологии, процедуры и, что важнее всего, человеческую бдительность, подкреплённую культурой доверия. Именно такой подход превращает подразделение по безопасности из «карающего органа» в стратегического партнёра бизнеса.


Автор гарантирует, что обладает всеми необходимыми правами на предоставленные фото-, видео- и графические материалы, включая, но не ограничиваясь, авторским правом и правами на изображения третьих лиц, и несет полную ответственность за нарушение интеллектуальных прав правообладателей.

Редакция публикует указанные материалы на условиях информационного посредничества (ст. 1253.1 ГК РФ) и не осуществляет проверку правомочности их использования до момента получения соответствующего требования от правообладателя. Редакция обязуется принять меры по удалению материалов при получении мотивированного заявления.