Кража под видом зарплаты: новая схема

Киберпреступники стали играть в долгую. Им не нужен громкий взлом с новостями на всю страну. Им нужно, чтобы бухгалтер сам открыл архив, а банк пожал плечами: «Ну, зарплата же».
На чтение: 6 минОпубликовано: Безопасность
Кража под видом зарплаты: новая схема
Содержание
  1. Хакеры научились красть деньги так, что банк думает: это зарплата
  2. Кто за этим стоит и почему вы могли не заметить
  3. Как на самом деле выглядят те самые «письма от начальника»
  4. Главный трюк: зарплата, которой не было
  5. Почему это страшнее, чем обычный взлом
  6. Как защитить компанию (и не остаться без денег)
  7. В двух словах о главном

Хакеры научились красть деньги так, что банк думает: это зарплата

Представьте: вы бухгалтер, только что нажали «отправить» зарплатный реестр, а через час у компании с расчетного счета исчезает пара миллионов. Банк спокоен — транзакция выглядит как обычное перечисление сотрудникам. Но деньги ушли совсем не туда, куда планировалось.

Звучит как сценарий фильма? Увы, это реальная схема, которую хакеры обкатывали на российских компаниях еще в феврале–марте 2026 года. И сработала она пугающе хорошо.

Кто за этим стоит и почему вы могли не заметить

Хакерская группа, которая называет себя Hive0117, действует с конца 2021 года. До недавнего времени их мишенями были в основном пользователи из Прибалтики и Беларуси. Но в начале 2026 года что-то изменилось: фокус сместился на Россию, и атаки пошли лавинообразно.

По данным компании F6 (специалисты по кибербезопасности, которые первыми зафиксировали всплеск), только за два месяца — февраль и март — пострадали бухгалтеры более 3000 российских компаний. Это не точечные удары, а полноценная охота на людей с доступом к деньгам.

Самое неприятное здесь даже не сам взлом, а то, как преступники выводят средства. Они сделали процесс неотличимым от рутины. Ни один банковский скоринг не сработал, потому что… ну кто же будет блокировать зарплату?

Как на самом деле выглядят те самые «письма от начальника»

Схема заражения стара как мир, но доведена до совершенства. Жертвам приходят письма. Никакого спама про «миллион от нигерийского принца». Темы максимально рабочие:

  • «Акт сверки»
  • «Счёт на оплату»
  • «Уведомление об окончании срока бесплатного хранения»

К письму прикреплен RAR-архив. Важный момент: он защищен паролем. Но пароль честно написан прямо в теле письма. Бухгалтер или менеджер спокойно вводит его, открывает архив — и внутри его ждет не Excel-файл, а троян удаленного доступа.

Называется эта гадость DarkWatchman. Устанавливается тихо, без окон и сообщений. И с этого момента компьютер жертвы становится пропуском в системы дистанционного банковского обслуживания компании.

Один из реальных случаев, описанных F6: вредоносная рассылка шла с почтового ящика… московского разработчика сайтов и мобильных приложений. Да, злоумышленники предварительно взломали чужой домен и отправили письма клиентам этой компании от лица знакомого отправителя. Хорошо, что те рассылки успели заблокировать. Но сколько прошло незамеченными?

Теперь вы знаете, почему злоумышленники взламывают сайты — это ответ на частый вопрос. Могут взломать вашу электронную почту, социальную сеть или мессенджеры. Теперь есть вопросы? :)

Экспертный совет на будущее: никогда не открывайте вложения из писем с темой про «срочную сверку» или «конец бесплатного хранения», даже если письмо пришло от знакомого человека. Проверяйте по телефону.

Главный трюк: зарплата, которой не было

Итак, троян на месте. Хакеры получили удаленный доступ к рабочему столу бухгалтера. Дальше они не творят хаос и не пытаются перевести миллион на один раз. Они действуют аккуратно.

Они заходят в систему «банк-клиент» (а у бухгалтера, скорее всего, всегда открытый сеанс или сохраненный пароль). И вместо того чтобы бить тревогу крупной суммой, они просто… добавляют «сотрудников» в зарплатный реестр.

Формально всё идеально:

  • Платеж идет по зарплатному реестру — для банка это зеленая зона.
  • Назначение платежа: «Заработная плата за март 2026».
  • Суммы небольшие (чтобы не светиться) — от 20 до 100 тысяч на человека.
  • Получатели — счета дропов, то есть подставных лиц, которые за процент обналичивают деньги.

А теперь внимание: в конце февраля – начале марта 2026 года аналитики F6 зафиксировали, что средний ущерб от одной успешной атаки составил около 3 миллионов рублей. В одном случае украли больше 14 миллионов. И банки даже не дернулись — ну зарплата же.

Вот и получается: компания переводит деньги своим настоящим сотрудникам и… еще куче левых людей. Хакеры просто вшили себя в платежную ведомость.

Почему это страшнее, чем обычный взлом

Обычный взлом — это когда у вас украли пароль и перевели деньги на «левый» счет. Банк видит: новый получатель, крупная сумма, необычное время — блокирует.

А здесь всё «красиво». Реестр зарплат для банка — святое. Его редко проверяют вручную, антифрод-системы часто настроены пропускать такие платежи без дополнительных подтверждений. Преступники этим пользуются на 100%.

Группа Hive0117, судя по динамике, не собирается останавливаться. В марте частота рассылок резко выросла. И сейчас, пока вы читаете эту статью, сотни бухгалтеров по России получают письма с темой «Акт сверки» с паролем внутри.

Как защитить компанию (и не остаться без денег)

Хорошая новость: против этой схемы есть защита. Ничего сверхъестественного, просто жесткая дисциплина.

Для бухгалтеров и финансовых директоров:

  1. Никогда не открывайте RAR от неизвестных отправителей. Даже если очень интересно. Даже если тема — «Срочный платеж». Проверяйте всё по телефону через мессенджер или звонок (не по номеру из письма!).
  2. Двухфакторная авторизация в банк-клиенте — не прихоть IT-отдела. Да, это лишние 10 секунд, но она спасет, если троян уже сидит на ПК. Без одноразового кода из телефона хакеры не смогут подписать платеж.
  3. Контролируйте зарплатные реестры перед отправкой. Сверяйте список сотрудников и суммы с официальной ведомостью. Лучше потратить 5 минут, чем потерять 3 миллиона.

Для банков (и это цитата из рекомендаций F6):

«Усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне транзакционной антифрод-системы».

Переводя на русский: банки, проверяйте зарплатные реестры так же тщательно, как любые другие платежи. Потому что сегодня «зарплата» — это главная маскировка хакеров.

В двух словах о главном

  • Группа Hive0117 атакует бухгалтеров через фишинговые письма с трояном DarkWatchman.
  • Вредоносная программа дает удаленный доступ к системам банк-клиента.
  • Деньги выводят под видом зарплатных выплат на счета дропов.
  • Средний ущерб — 3 млн рублей, максимальный зафиксированный — более 14 млн.
  • Защита: проверка вложений, двухфакторка и контроль реестров перед отправкой.

Киберпреступники стали играть в долгую. Им не нужен громкий взлом с новостями на всю страну. Им нужно, чтобы бухгалтер сам открыл архив, а банк пожал плечами: «Ну, зарплата же». Теперь вы знаете, на что смотреть. Не дайте себя обмануть.

Будьте бдительны. И пусть ваши зарплатные реестры всегда содержат только настоящих сотрудников.

Не забываем👇ставить оценку!
( 1 оценка, среднее 5 из 5 )
Понравилась статья? Поделиться с друзьями:
Винбуг
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Вам также может быть интересно
Бесконтактный грабёж: как NFC сливает деньги
16.05.2026
Бесконтактный грабёж: как NFC сливает деньги
Эта история — не про слабую защиту NFC. Сама технология надёжна. Проблема в людях, точнее, в их доверии к левым
Осторожно: блокировщик следит и продаёт ваши данные
16.05.2026
Осторожно: блокировщик следит и продаёт ваши данные
Они собирают адреса страниц, которые вы открываете. И не просто домены, а полные URL. Потом эти данные передаются или продаются
Вирус Anatsa: угроза из Google Play
12.05.2026
Вирус Anatsa: угроза из Google Play
Ошибка думать, что только пираты опасны. Официальный Google Play перестал быть тихой гаванью.