Фейковые запросы от имени налоговой

За последнее десятилетие изменилось взаимодействие между бизнесом и контролирующими органами, благодаря переходу к цифровизации через различные электронные сервисы: госуслуги, кабинет налогоплательщика, личный кабинет работодателя на сайте Минтруда России и другие аналогичные платформы. Одновременно с доступностью информации в Интернете увеличиваются риски кибермошенничества, когда злоумышленники изобретают различные способы для доступа к коммерческой тайне компаний, персональным данным владельцев, работников и клиентов.

В моей практике участились случаи, когда от имени контролирующих органов на корпоративную электронную почту поступают фальшивые письма с уведомлением компании о подозрительных транзакциях и просьбой о предоставлении пояснений, направлении документов по адресу электронной почты якобы государственного органа. Встречаются и фишинговые ссылки, переход по которым позволит раскрыть конфиденциальную информацию.

Злоумышленники чаще всего стремятся получить следующую информацию:

• персональные данные сотрудников или клиентов;
• финансовую отчетность и учетные данные бухгалтерии;
• данные банковских счетов и платежных операций;
• конкретные условия контрактов с партнерами и клиентами;
• стратегические планы развития бизнеса;
• технические характеристики продукции или услуг;
• интеллектуальную собственность.

Полученные сведения преступники используют для различных целей:

• хищения денежных средств;
• шантажа руководства фирмы;
• реализации инсайдерской информации на рынке ценных бумаг или
• конкурентной борьбы (целенаправленного нанесения ущерба репутации и деятельности компании);
• кибератак на инфраструктуру предприятия.

Первое место по распространенности занимают поддельные письма от имени территориальных органов Федеральной налоговой службы Российской Федерации¹. И это неудивительно, поскольку в настоящее время это ведомство выступает драйвером цифровых сервисов и реализует с 2010 года стратегию отказа от работы с бумажными документами.

ФНС вправе требовать документы и информацию:

• от:
• налогоплательщика, плательщика сбора, страховых взносов,
• от налогового агента и
• контрагента налогоплательщика;
• о чем:
• служащие основанием для исчисления и уплаты (удержания и перечисления) налогов, сборов, а также
• подтверждающие правильность исчисления и своевременность уплаты налогов, сборов. Если организация считает, что запрашиваемые документы не относятся к таковым, то она их вправе не предоставлять.

Основанием истребования ФНС документов или информации обычно являются:

• ст. 93 «Истребование документов при проведении налоговой проверки» Налогового кодекса РФ² и
• ст. 93.1 «Истребование документов (информации) о налогоплательщике, плательщике сборов, плательщике страховых взносов и налоговом агенте или информации о конкретных сделках» НК РФ.

Сроки для представления запрошенных документов / информации в основном короткие: 5–10 рабочих дней. Штрафы за непредставление и просрочку тоже есть. Поэтому, находясь «под гипнозом» авторитета ведомства, многие организации и ИП спешат предоставить все, что попросили. На это мошенники и делают ставку!

А надо быть внимательнее. При централизованной регистрации входящей корреспонденции службой делопроизводства важно исключить передачу недостоверных документов в профильные подразделения для исполнения. Подозрительные документы и сообщения стоит передавать:

• в подразделение безопасности (если оно есть) либо
• на рассмотрение руководству или исполнение со своими комментариями о подозрениях «в неблагонадежности».

В попытках выудить данные фейковые письма от имени контролирующих органов направляются и организациям, и индивидуальным предпринимателям, и самозанятым. Причем физлица чаще «попадаются на удочку».

Для защиты конфиденциальной информации от кибермошенников ответственным за работу с документами важно проявить профессиональный скептицизм и поставить под сомнение входящие запросы от имени налоговой по корпоративной почте.

Почему? Дело в том, что налоговые органы отправляют все электронные официальные требования по хозяйственной деятельности в личный кабинет налогоплательщика. На почту компании могут приходить только автоматические уведомления с напоминанием о наличии информации в личном кабинете. Одна из инициатив ФНС России – это максимальный переход на телекоммуникационный канал связи, который позволяет сократить время оказания услуги налогоплательщикам и снизить трудозатраты работников налоговой. Кроме того, НК РФ предусматривает возможность вручения требования о представлении документов в бумажном виде:

• лично под подпись руководителю организации или его представителю;
• путем отправки по «традиционной» почте на юридический адрес организации, фигурирующий в ЕГРЮЛ.

Важно организовать систему внутреннего контроля при работе с запросами, особенно полученными по электронной почте:

• проверить информацию в открытых источниках. Например, посетить официальный сайт для сверки сведений с фигурирующими в документе:
• электронная почта;
• фамилия, имя, отчество ее руководителя или заместителя;
• соответствие наименования и номера территориального органа ФНС;
• установить подлинный адрес отправителя электронного письма силами ИТ-подразделения, отвечающего за информационную безопасность;
• если возникли сомнения в подлинности, то передать информацию в подразделение безопасности для расследования инцидента.

Есть моменты, которые должны вас насторожить в содержании и оформлении фейкового «документа» (см. оранжевые выделения в Примере 1):

• проверьте наличие и оформление обязательных реквизитов, например:
• должны быть заполнены исходящий номер и дата документа. Не все мошенники скрупулезно подходят к своей работе. Мои клиенты получали письма даже без указания номера и даты в бланке документа. А если номер вы видите, то его структура может быть не характерной для вашей налоговой инспекции (поднимите аналогичные документы, которые вы получали от нее ранее, и сравните);
• корректность подписи:
• должность и Ф.И.О. подписанта можно попытаться проверить по открытым источникам;
• электронные письма принято подписывать усиленной квалифицированной электронной подписью и давать ее визуализацию в документе. Если нет ни того, ни другого, то это тоже должно насторожить. Если есть только визуализация подписи – это еще не гарантия того, что подлинник такого документа существует: мошенники могли «вырезать часть картинки» с визуализацией подписи из реального документа и вставить в фейковый (программу Photoshop уже многие освоили :)
• подписание документа на бумаге, его сканирование и отправка в виде электронной копии без ее заверения электронной подписью – тоже повод приглядеться к документу повнимательнее;
• если указан исполнитель, то рядом должны быть и его контакты, можно попробовать позвонить ему. Мошенники могут не взять трубку либо поговорить с вами (они же сами «дали вам» этот номер телефона). Поэтому лучше позвонить по номеру, который вы самостоятельно нашли на официальном сайте автора запроса и попросить соединить с указанным в запросе исполнителем, если это удастся, то уточните, направлял ли он вам такой документ;
• проверьте данные из бланка документа: наименование организации, ее контактные данные;
• есть ли ошибки в ваших реквизитах: наименование, ИНН, Ф.И.О. руководителя и др.;
• если информацию / документ требуют предоставить на адрес электронной почты, то обратите внимание на часть адреса после @ – действительно ли данный домен принадлежит указанной в бланке организации или просто похож на него;
• вообще просьба прислать информацию / документы по электронной почте, а не через личный кабинет налогоплательщика, должна насторожить вас. А вот qr-коды для перехода куда-то и заполнения там затребованных сведений или передача материалов по ссылке – это вообще не в стиле контролирующих органов (а в фейковых письмах такое как раз встречается!). Переход по фишинговым ссылкам опасен;
• если запрашиваются документы, то насколько четко сформулирован запрос, интересуют ли данные по конкретному контрагенту или хозяйственной операции? Есть ли в письме ссылки на конкретные источники фигурирующих там сведений? Или запросили «с потолка», не зная отправных точек? Мошенники не всегда собирают информацию прежде, чем составить фейковое письмо индивидуально под конкретную жертву. Они тоже могут применять массовые рассылки с типовыми текстами, предпочитая не качество, а количество – кто-нибудь на такие запросы да откликнется.

Чем больше ошибок вы заметите в письме, тем выше вероятность подделки. В любом случае до начала подготовки ответа на «официальный запрос» и сбора документов ответственному сотруднику нужно обратиться по телефону горячей линии контрольного органа по уточнению информации письма либо связаться с вашим инспектором территориального органа ФНС России.

Чтобы развивать у работников компетенции по верификации поддельных запросов от имени государственных органов, можно сохранять и анализировать такие «документы». Если запрошенная информация все-таки была предоставлена, то следует установить, кем и при каких обстоятельствах. От этого следует отталкиваться при оптимизации дальнейших алгоритмов работы.

Необходимо обязать работников сообщать контактные сведения, связанные только с деятельностью организации, без указания личных данных:

• рабочий телефон, но не мобильный и не домашний;
• рабочая электронная почта либо корпоративный адрес электронной почты для входящей корреспонденции;
• корпоративные сайт и почтовый адрес и др.