Шахрайство з рахунками та платежами

Що таке Шахрайство з рахунками та платежами?

Шахрайство з рахунками-фактурами постачальників є однією з наймасштабніших B2B-атак: зловмисник реєструє односимвольний схожий на справжній домен постачальника, складає проект рахунка-фактури, який відображає звичайний формат постачальника, і надсилає його електронною поштою вашій команді AP у надії, що кількість рахунків-фактур на кінець місяця дозволить йому проскочити непоміченим. Немає жодного зловмисного програмного забезпечення, яке можна виявити, і жодних термінових змін у банківській системі, які слід позначати – лише чистий PDF-файл для товарів, які так і не були доставлені, із банківськими даними зловмисника, надрукованими безпосередньо на сторінці. Контроль, який зупиняє це, — це тристороння відповідність: кожен рахунок-фактура має узгоджуватися з відкритим замовленням на закупівлю, товарним чеком із приймального пункту та перевіреним основним постачальником, який підтримується відділом закупівель. Якщо будь-яка з цих трьох сторін відсутня, рахунок-фактура не переміщується до прогону платежу, незалежно від того, наскільки правдоподібним виглядає PDF-файл. У цій симуляції ви — спеціаліст з AP у Westmark Industrial. Рахунок-фактура на суму 42 890 доларів США від справжнього довготривалого постачальника – Apex Steel & Fabrication – потрапляє у вашу папку вхідних повідомлень із доменом, схожим на один дефіс, без посилання на замовлення та банком переказу, який не відповідає головному постачальнику. Ви перевірите електронну пошту, відкриєте PDF-файл, запустите відповідність у системі AP, порівняєте перевірений запис постачальника, здійсните зворотний дзвінок за межами каналу для підтвердження справжньому контакту Apex, відхилите рахунок-фактуру як шахрайство в робочому середовищі AP і подасте структурований звіт про шахрайство, щоб SOC міг орієнтуватися на індикатори та попередити решту AP. Вправа демонструє, чому банківські реквізити, надруковані на рахунку-фактурі, не є достовірними, чому «PO очікує на розгляд» означає, що замовлення на замовлення насправді не існує, чому навіть чистий на вигляд PDF-файл для справжнього імені постачальника може бути цілком шахрайським і чому про кожну відхилену спробу шахрайства варто повідомляти, навіть якщо гроші не надходять.

Що ви дізнаєтесь у Шахрайство з рахунками та платежами

• Виконайте тристороннє зіставлення (замовлення на купівлю, товарний чек, рахунок-фактура) для кожного рахунку-фактури постачальника та відмовляйтеся авансувати будь-який рахунок-фактуру з невдалою частиною
• Визнайте, що банківські реквізити, надруковані в рахунку-фактурі, не є достовірними та завжди повинні бути узгоджені з основним постачальником під контролем змін у відділі закупівель
• Виявляйте домени схожих відправників, відсутні посилання на замовлення або посилання на заповнювачі та надзвичайно короткі терміни оплати як ознаки шахрайства з рахунками-фактурами постачальників
• Відхилити контактну інформацію, надану в підозрілому рахунку-фактурі або в його супровідному електронному листі - номер телефону та відповідь на адресу є частиною атаки
• Використовуйте підтверджений номер телефону від головного постачальника, щоб здійснити зворотний дзвінок поза межами каналу зв’язку, щоб підтвердити справжність рахунка-фактури, перш ніж здійснювати будь-який платіж
• Відхилення рахунків-фактур із підтвердженим шахрайством у системі AP із структурованим кодом причини, який створює аудиторський слід і сповіщення SOC
• Надішліть структурований звіт про шахрайство, зафіксувавши схожий домен, фальшивий телефон, шахрайський банківський рахунок і результат тристороннього збігу, щоб SOC міг шукати спроби паралельних кампаній

Шахрайство з рахунками та платежами — Кроки навчання

1. Понеділок Ранок черги рахунків

   Зараз ранок понеділка в Westmark Industrial. Ви Аліса, спеціаліст із кредиторської заборгованості, і черга рахунків-фактур наприкінці місяця складається з двадцяти трьох відкритих позицій. Кінцевим терміном є оплата в середу. Більша частина черги – звичайна. Кожен рахунок-фактура зіставляється з його замовленням на купівлю та товарним чеком у InvoiceFlow перед тим, як платіж ставиться в чергу. Тристороння відповідність — це єдине, що стоїть між шахрайським рахунком-фактурою та кімнатою для телеграфування.

2. Рахунок-фактура від Apex Steel

   У вашу папку «Вхідні» приходить новий електронний лист від Apex Steel & Fabrication, одного з ваших постійних постачальників. У темі посилається на рахунок-фактуру INV-AS-2025-1147, а PDF-файл додається.

3. Детальніше про електронну пошту

   Apex надсилає подібні рахунки щомісяця, тому, якщо швидко прочитати повідомлення, нічого про нього не викликає тривоги. Все одно повільніше. Дві деталі в електронному листі повинні змусити вас зупинитися, перш ніж обробити PDF.

4. Завантажити рахунок-фактуру у форматі PDF

   Навіть із схожим доменом єдиний спосіб дізнатися, чи цей рахунок-фактура справжній, — це перевірити його так само, як ви перевіряєте будь-який інший рахунок-фактуру. Перетягніть вкладений PDF-файл у папку «Завантаження», щоб відкрити його.

5. Відкрийте завантажений PDF

   PDF-файл тепер у вашій папці завантажень. Відкрийте його в диспетчері файлів, щоб побачити позиції, умови оплати та банківські реквізити для переказу, надруковані на рахунку-фактурі.

6. Що стверджує рахунок-фактура

   PDF добре відформатований – фірмовий бланк постачальника, позиції, умови оплати. Дві частини, які мають найбільше значення для виявлення шахрайства, це довідка про замовлення та реквізити банку . Подивіться на обох.

7. Запустіть 3-Way Match

   PDF-документ із зазором не є контролем. Керуванням є тристороння відповідність у InvoiceFlow: позиції рядка рахунка-фактури мають відповідати відкритому замовленню на купівлю, товарна квитанція має підтверджувати, що ці позиції фактично доставлено, а банківські реквізити постачальника мають відповідати основним даним постачальника. Якщо будь-яка з цих трьох сторін виходить з ладу, рахунок-фактура не переміщується до прогону платежу.

8. Увійдіть у InvoiceFlow

   InvoiceFlow використовує систему єдиного входу Westmark – той самий обліковий запис, який має доступ до кожного внутрішнього порталу. Використовуйте збережені облікові дані в менеджері паролів.

9. Завантажте рахунок-фактуру для відповідності

   InvoiceFlow відкривається на робочому місці AP. Електронний лист надійшов до вашої особистої скриньки вхідних повідомлень, а не до поштової скриньки AP, тому InvoiceFlow ще не має рахунка-фактури. Натисніть кнопку завантаження, виберіть PDF-файл, який ви щойно завантажили, і дозвольте системі проаналізувати його та запустити тристороннє зіставлення.

10. Результати матчу

    InvoiceFlow виконує збіг за лічені секунди. Три з чотирьох перевірок завершуються невдачею, і система не автоматично заблокувала рахунок-фактуру, лише позначила його. Ви вирішуєте, підвищувати чи платити.