Ошибка в процессах или хитрый план мошенников?

Мошенник сидит и придумывает план, как обмануть нас.

Недавно столкнулся с ситуацией, которая заставила задуматься: это мошенники или ошибка в работе компании? Запасайтесь попкорном и приступим.

Зашёл в свой старый почтовый ящик на Яндексе и обнаружил много писем от Т-Банка. Cтранно, так как этот адрес не привязан к учётке банка. Больше всего внимания привлекло письмо с темой: «Запрос документов. Мы обнаружили подозрительные операции по вашему счёту».

Моя первая статья на vc.ru была о мошенниках, поэтому сразу включил режим параноика и решил провести мини расследование.

Рустам Салпагаров

Личный опыт

16.09.2024

Как защитить своих сотрудников от мошенников

Мошенник звонит своей жертве. Именно так их видит ИИ.

Мошенничество становится всё более изощрённым. Каждый из нас может стать жертвой. В этой статье я расскажу, как защитить ваших сотрудников от мошенников и минимизировать риски для бизнеса.

Проверил отправителя: письмо пришло с адреса inform@emails.tinkoff.ru и прошло проверку безопасности Яндекса. Реальный домен tinkoff.ru, поддомен emails, подтверждённая проверка от Яндекс (DKIM и SPF проверки пройдены). Всё указывает на то, что письмо действительно от Т-Банка.

Отправитель прошёл проверку в системе «Спамоборона Яндекс».

Открыл свойства письма и изучил поля Received и Reply-To, где были указаны goyang187.sndsy.ru и vopros@public.tbank.ru соответственно. Использовал сервисы Whois и Kaspersky Threat IntelligencePortal для проверки доменов, ссылок в письме. Ничего подозрительного не обнаружил: домен sndsy.ru зарегистрирован в 2015 году и не числится в спам-базах, ссылки в письме безопасные.

В итоге сделал предположение, что человек по ошибке указал мой адрес, видимо они у нас схожи, и теперь его письма приходят мне. Досадно, но такое тоже бывает. Сейчас всё исправим :)

UPD: так всё и оказалось. Ответ банка в комментариях.

Написал в поддержку банка. Объяснил ситуацию, но сотрудник поддержки ответил, что Т-Банк не имеет отношения к отправителю inform@emails.tinkoff.ru и к домену tinkoff.ru. Данные переданы в службу безопасности, результаты которой не предоставляются.

Не люблю такие картинки в тексте, но тут она подходит идеально.

Ещё раз проверил домен и отправителя через сервисы Whois. Домен tinkoff.ru принадлежит АО ТБанк. Снова написал в поддержку.

Ошибка в процессах или хитрый план мошенников?

Тут аргументы у меня закончились и появились вопросы.

@tinkoff, вы действительно не имеете отношения к этим письмам? Если всё же это ваши письма, то почему об этом не знает поддержка и даёт такие ответы?
@yandex, если Т-банк не имеет отношения к рассылкам, то почему мошенники так спокойно проходят верификацию в ваших сервисах?

Если это мошенники, они нашли способ маскироваться под обычные рассылки реальных компаний. При этом рассылка качественная и может ввести в заблуждение даже самых искушённых пользователей.

Если это ошибка банка, компании стоит пересмотреть свои процессы и улучшить взаимодействие между отделами, чтобы подобные ситуации не повторялись. Также нужно обновить базу знаний ИИ-помощника, чтобы он понимал, что возможны и такие ситуации, которые нужно обрабатывать по других сценариям.

Если вы получили подозрительное письмо, выполните следующие шаги для проверки:

Проверьте отправителя: убедитесь, что адрес соответствует официальному домену компании.
Проверка безопасности: убедитесь, что письмо прошло проверку безопасности вашей почтовой службы (зелёный замочек рядом с адресом отправителя).
Отправитель и получатель: проверьте поля Received и Reply-To на наличие подозрительных адресов.
Используйте специальные сервисы для проверки: проверьте домен, содержание письма, ссылки и вложения через Kaspersky Threat Intelligence Portal и другие сервисы, чтобы исключить вредоносные элементы.
Свяжитесь с поддержкой: при сомнениях обратитесь в поддержку компании для уточнения информации.

Вот несколько хороших, на мой взгляд, статей на эту тему.