Рост заметный, но эксперты сходятся во мнении: нарушений не стало больше, просто бизнес научился их видеть. Усиление внутреннего аудита, внедрение каналов для анонимных сигналов и цифровые инструменты контроля позволяют выявлять схемы, которые раньше оставались незамеченными. Однако сам феномен внутреннего мошенничества становится все более изощренным — от классических откатов до дипфейк-атак, когда мошенники подделывают голос и лицо руководителя.
Почему люди на это идут? Чаще всего срабатывает классика — «треугольник мошенничества»: есть выгода, есть возможность, и есть оправдание для самого себя, вроде тяжелых жизненных обстоятельств. Но влияет и среда: слабый контроль или его полное отсутствие, нереальные планы и страх увольнения, ощущение безнаказанности, если раньше подобные вещи сходили с рук. Кризис в компании или личные проблемы сотрудника тоже подталкивают к опасной черте.
Дипфейк-атаки: новая угроза корпоративной безопасности
Дипфейк-атаки — синтезированные искусственным интеллектом фото, видео и аудиоматериалы, которые используют внешние злоумышленники в сочетании с многоуровневой социальной инженерией. Данные отраслевого мониторинга фиксируют стремительный рост этого явления. За двухлетний период с 2024 по 2026 год совокупный объем выявленных подделок увеличился в 26 раз, что наглядно иллюстрирует переход угрозы в новую качественную плоскость, отмечает ведущий аналитик «СерчИнформ» Андрей Головин.
Угрозы, связанные с дипфейками, все активнее затрагивают корпоративный сегмент. Под атаки стали чаще попадать специалисты финансовых подразделений, включая бухгалтеров и топ-менеджмент средних и крупных компаний. Если раньше дипфейк использовался преимущественно для создания компрометирующих записей или асинхронных голосовых сообщений, то теперь мы наблюдаем массовую компрометацию деловой коммуникации в режиме реального времени.
Головин прогнозирует, что проникновение в сегменты финансов, страхования и высоких технологий приведет к появлению гибридных схем: синтезированные аватары топ-менеджеров будут не просто слать голосовые указания, а участвовать в видеозвонках, давая поручения бухгалтерам или санкционируя транзакции. Это потребует пересмотра не только средств защиты, но и самих бизнес-процессов верификации распоряжений. Наибольшей уязвимостью к этому типу мошенничества обладают финансовый сектор (включая страховые компании) и сектор высоких технологий (ИТ и телеком-компании).
Активное использование дипфейков в кибератаках возросло за прошлый год почти на 20%, и эта тенденция активно затрагивает Россию. По некоторым данным, число дипфейков в российском сегменте интернета с начала прошлого года выросло почти на треть по сравнению с показателем за весь предыдущий год. Косвенным подтверждением этого является интерес злоумышленников к краже аудиоданных: по данным исследований российской компании Positive Technologies, техника, связанная с захватом аудиопотока, заняла первое место, отмечает Дмитрий Скрылев, заместитель ИТ-директора ГК «Сантэнс».
По разным оценкам уже к началу этого года до 80% онлайн-контента было синтетически сгенерировано, поскольку дипфейки быстро распространяются через социальные сети и другие платформы, тем самым стирая грань между реальностью и вымыслом. Чаще всего преступники создают фейковых руководителей, знакомых или родственников и под разными предлогами требуют перевести деньги.
Впрочем, не все эксперты разделяют такую оценку. Генеральный директор компании Phishman Алексей Горелкин призывает разграничивать два явления: корпоративный фрод — мошенничество внутри компании и дипфейк-атаки. В первом случае внутренние сотрудники пренебрегают установленными процедурами или злоупотребляют доступами ради личной выгоды. Что касается дипфейков, они, по его словам, обычно используются внешними злоумышленниками прицельно, чтобы навредить отдельным организациям стратегического значения, например из оборонно-промышленного комплекса.
Органы госвласти тоже уязвимы к дипфейкам по двум причинам: сотрудники могут принять подложные указания за официальные распоряжения, будто они поступили от руководства в обход протоколов, а в открытом доступе имеется много фото- и видеоматериалов с участием чиновников, из которых формируются датасеты для обучения ИИ и последующего создания дипфейков.
Новые сотрудники: слабое звено или системная проблема
Недавно принятые на работу сотрудники на 44% чаще становятся жертвами социальной инженерии и фишинговых атак по сравнению с коллегами, имеющими длительный стаж работы в компании. Более того, 71% специалистов в течение первых трех месяцев трудовой деятельности переходят по ссылкам, содержащимся в фишинговых письмах, приводит данные Андрей Головин. Причина этой уязвимости кроется в недостаточной осведомленности о внутренних политиках безопасности и неспособности распознать признаки атаки.
Новичок открыт, хочет вписаться в коллектив и проявить себя, а злоумышленник играет на этом: пишет от имени авторитетного лица, создает ощущение срочности и требует выполнить задачу без лишних вопросов. В первые дни человек еще не погружен в процессы и не может сверить информацию с коллегами, что упрощает подстройку задачи под мошенническую схему.
Кроме того, публикация данных о должности и отделе в соцсетях дает злоумышленникам готовую информацию для целенаправленных атак. Психологическое давление через требование срочности и секретности отключает рациональное мышление, а иногда новичков целенаправленно вовлекают в схемы, например просят оформить банковскую карту или передать паспортные данные для обналичивания украденных средств, поясняет руководитель оперативного штаба Независимого профсоюза «Новый Труд» Алексей Неживой.
Адвокат Роман Алымов отмечает, что новые сотрудники обычно более уязвимы к дипфейк-атакам, потому что они еще не усвоили регламенты, процедуры и обычаи работы в компании, не освоились в новой среде. Им поступает много новой и необычной информации, и воздействие с использованием дипфейка не выбивается из общего потока, поэтому им в среднем сложнее распознать атаку.
Главная уязвимость для мошенников — не столько новые сотрудники, сколько отсутствие отлаженных ИБ-процессов, возражает Алексей Горелкин. Тогда новички могут стесняться сообщать специалистам по безопасности о случившейся кибератаке, тогда как заранее прописанный регламент существенно снизит этот и многие другие риски. Влияние новых сотрудников на киберкультуру компании зависит от того, проходили ли они на предыдущем месте обучение по ИБ: одни могут снизить средний уровень киберосознанности, другие — поднять его.
Дмитрий Скрылев подчеркивает, что цифровая безопасность сегодня зависит не только от технических средств защиты и программного обеспечения. Одну из основных ролей играют повышение осведомленности сотрудников в вопросах информационной безопасности и организационные меры, которые позволяют выявлять попытки манипуляции еще до возникновения инцидента. Регулярные тренинги помогают распознавать признаки мошенничества, проверять источники сообщений и соблюдать организационные процедуры безопасности.
Эффективная защита достигается через регламентирование работы, соблюдение процедур безопасности и повышение культуры работы, резюмирует Роман Алымов. Он приводит наглядный пример: главбух по звонку дипфейк-директора не переведет мошенникам все деньги со счета компании, если директор сам проверяет и подписывает платежные документы, в компании есть процедура проверки новых контрагентов и вообще не принято платить кому попало по звонку без предварительного подписания документов.
Самые частые схемы и почему вернуть деньги почти невозможно
Какие схемы внутреннего мошенничества сейчас самые частые? К наиболее распространенным относятся злоупотребление в закупках — заключение контрактов с аффилированными поставщиками по завышенным ценам или перенаправление клиентского потока на сторонний бизнес сотрудника, прямое хищение средств компании, создание фиктивных вакансий для сбора данных и средств с соискателей под предлогом стажировок или трудоустройства, а также серые возвратные схемы, которые приводят к налоговым и финансовым убыткам, перечисляет Андрей Головин.
Схемы фрода зависят от отрасли, поэтому их множество — самые разные махинации встречаются на автозаправках, производствах и, например, в телеком-компаниях (так называемый «мобильный пробив»). При этом обманные действия сотрудников могут остаться безнаказанными даже при явных нарушениях, если в компании отсутствуют режим коммерческой тайны или другие правовые документы, позволяющие привлекать виновных к ответственности. В случаях прямого хищения или вывода средств помогают нормы УК РФ, но при более изощренных схемах именно пробелы в юридическом оформлении процессов ограничат судебные возможности, подчеркивает эксперт.
Мошенничеств с использованием дипфейков случаются все чаще, но традиционные нецифровые схемы не утратили своей популярности. Никуда не делись махинации с закупками, сговор с подрядчиками, списание якобы бракованной продукции, трудоустройство «мертвых душ» и остальная старая добрая классика, добавляет Роман Алымов.
Возврат похищенных средств остается минимальным по нескольким причинам. Во-первых, хищения выявляются с задержкой, что позволяет злоумышленникам обналичить активы. Во-вторых, мошенники используют подставных лиц и номинальных руководителей, что усложняет процесс взыскания. В-третьих, попытки вернуть средства через частных посредников часто оборачиваются повторными финансовыми потерями.
Как отмечает Алексей Неживой, доказательная база часто разрушается: электронные следы уничтожаются, документы подделываются. Существуют и юридические барьеры: даже при наличии улик процесс может затянуться на годы, а при выводе средств за рубеж подключаются сложные механизмы международного сотрудничества.
Репутационные риски заставляют компании не выносить сор из избы, а отсутствие в законодательстве обязанности сообщать о таких фактах в правоохранительные органы лишь снижает вероятность возбуждения уголовных дел. Плюс ко всему, злоумышленниками часто оказываются руководители среднего звена с устойчивыми позициями и стажем работы, что усложняет привлечение к ответственности. И даже при положительном судебном решении взыскание может быть затруднено из-за отсутствия у виновного ликвидных активов.
По статистике, в схемах чаще всего участвуют управленцы среднего звена — около 47% случаев, на топ-менеджеров приходится лишь 12%, а на рядовых сотрудников — 21%. При этом наибольший медианный ущерб наносят именно руководители высшего звена. По размеру ущерба картина такая: в большинстве случаев потери не превышали 10 млн рублей, но примерно в 18% случаев речь о суммах от 50 до 100 млн рублей.
Наиболее уязвимые отрасли — промышленность и топливно-энергетический комплекс, где встречаются схемы с фиктивными закупками, сговорами с поставщиками и манипуляциями с KPI. В ИТ-секторе высоки риски, связанные с цифровизацией: хищение интеллектуальной собственности, атаки на инфраструктуру и использование ресурсов компании в личных целях. В добывающей отрасли — схемы вывода активов через аффилированные структуры, а в медиа — хищения и манипуляции с отчетностью. Реже, но все же фиксируются проблемы в финансовом секторе, включая банки и страховые компании.
Рост выявляемых случаев корпоративного мошенничества — это не столько сигнал о тотальной криминализации бизнеса, сколько свидетельство того, что компании наконец начали серьезно заниматься внутренним контролем. Однако гонка вооружений продолжается: злоумышленники осваивают дипфейки и нейросети, а новички остаются самой уязвимой группой сотрудников. Универсального решения нет, но системный подход дает результат.
Четкие регламенты, разделение ответственности, регулярное обучение персонала, технологический контроль и, главное, нулевая терпимость к нарушениям на всех уровнях — от рядового сотрудника до топ-менеджмента — позволяют не только выявлять схемы, но и предотвращать их. Бизнесу пора перестать воспринимать внутреннее мошенничество как неизбежное зло. Это управляемый риск, и чем быстрее компании это осознают, тем меньше денег будет утекать в карманы своих же сотрудников.
Ян Аллин
