Как мошенники обманывают заказчиков, подменяя реквизиты

Злоумышленники регистрируют фирму-однодневку с названием известной компании, предлагают заказчикам товары или услуги, а для платежа присылают реквизиты настоящего контрагента – за исключением расчетного счёта. Рассмотрим на примере. На рынке действует организация «Берёзка», которая занимается поставкой бумаги. Компания существует давно и зарекомендовала себя в качестве надёжного контрагента. Мошенники регистрируют фирму-однодневку с таким же названием. Возможно, даже дублируют сайт компании, и выходят на заказчиков. С заказчиком заключают договор, высылают счёт и реквизиты. Всё как положено, вот только ИНН указан реально существующей на рынке организации, а расчётный счёт принадлежит мошенникам, которые создали компанию с таким же названием.

Заказчик проверяет компанию по ИНН и убеждается в её реальности: у неё есть оборот, есть штат, фирма зарегистрирована давно. Если он не сверит расчётный счёт, который прислали аферисты, с реальным, подозрений не возникнет. Даже если заказчик сверит счета и найдёт расхождения, это вряд ли его смутит, ведь у крупной компании может быть несколько расчётных счетов. В итоге деньги уходят злоумышленникам.

Разберёмся, почему так происходит. Порядок проведения платежей содержится в положении Банка России 383-П. Деньги зачисляются на банковский счёт юрлица по двум реквизитам: номеру банковского счёта получателя средств и наименованию. ИНН же служит вспомогательным реквизитом, если в первых двух имеются расхождения.

Для перевода контрагенту заказчики используют стандартный набор реквизитов: БИК банка, корреспондентский счёт банка, расчётный счёт, наименование и ИНН получателя. Но банки не всегда сверяют все эти реквизиты. А решение об отказе в перечислении средств или переводе принимает банк.

Если же банк увидел, что расчётный счёт и ИНН принадлежат разным компаниям, такой платёж он не пропустит. Но будет ли банк сверять эти сведения, зависит от используемых финансовой организацией правил по зачислению платежей.

Получается, что заказчик полностью зависит от банка. Кстати, пункт 4.3 положения № 383-П, по которому кредитная организация получателя средств сама устанавливает порядок зачисления на банковский счёт, был предметом судебного разбирательства. Дело рассматривал Верховный суд. Он указал на то, что законодательство устанавливает обязанность кредитной организации по совершению операций и срок исполнения. Вопросы, связанные непосредственно с процедурой исполнения распоряжений о зачислении денежных средств, нормами ГК РФ не регламентированы. Закон не предусматривает обязанность кредитной организации сверять указанное в платёжном поручении наименование получателя с номером счёта и ИНН, поскольку «указанные в платёжных поручениях данные являются достаточными для перевода и последующего зачисления денежных средств» (решение Верховного Суда РФ от 10.03.2020 № АКПИ20-40).

При этом в судебной практике есть случаи, когда организациям удавалось взыскать с банков убытки, когда те переводили деньги при совпадении двух реквизитов и не сверяли принадлежность расчётного счёта организации, чей ИНН указан в платёжном поручении. Поэтому попытаться защитить свои права стоит. Как можно скорее обратитесь в банк с претензией. Её обязаны рассмотреть.

Важно понимать, что ответственность за правильность платёжных реквизитов лежит на том, кто переводит деньги. Перед тем как совершить платёж, проверьте, принадлежат ли все указанные реквизиты одной компании. Проверка доступна на сайте ФНС с помощью сервиса «Риски бизнеса: проверь себя и контрагента». В поисковой строке введите реквизиты – название, ИНН или ОГРН. Далее выберите регион. В выдаче сервис покажет список компаний, подходящих под условия поиска. В карточке организации увидите следующую информацию:

• полный адрес с индексом;
• ОГРН и дату присвоения;
• ИНН;
• КПП;
• ФИО руководителя.

Можно бесплатно получить выписку, кликнув на кнопку рядом с карточкой компании.

Чтобы перестраховаться, лучше перед платежом найти по ИНН другие контакты компании, связаться с её представителями и уточнить, правильный ли расчётный счёт был направлен заказчику. Важное правило: получать реквизиты для оплаты по договору следует только от самого контрагента и только по защищённым каналам связи. Также рекомендуем проверить сайт потенциального контрагента. В интернете есть сервисы, с помощью которых можно узнать, как давно был создан сайт.

К сожалению, в настоящее время нельзя отдельно проверить, принадлежит ли расчётный счёт реальной компании или он открыт фирмой-однодневкой. Представители банковского рынка говорят, что создать общую базу проблематично, поскольку открытым остаётся вопрос с раскрытием банковской тайны.

Действительные платёжные реквизиты можно узнать в банке, налоговой или пенсионном фонде. Но эти данные относятся к конфиденциальной информации.

Зачастую добросовестные компании не скрывают свои реквизиты и указывают их прямо на сайте, а также высылают в коммерческих предложениях. Не поленитесь перепроверить сведения перед совершением платежа.

Иногда мошенники используют вирусы, чтобы незаметно подменять реквизиты платежа. Злоумышленники пользуются тем, что файлы платёжных поручений часто не защищены шифрованием и по умолчанию носят стандартные имена.

Такой вирус в 2017 году обнаружила «Лаборатория Касперского». Вирус назывался TwoBee и умел подменять платёжные реквизиты подставными при обмене данными между бухгалтерскими и банковскими системами. Раньше этим же занимался троянец Carberp.

Вирус попадает на компьютер через другие приложения и средства удаленного администрирования. Создателям TwoBee удалось похитить более 200 млн руб. у российских организаций. Большинство атак пришлось на малый бизнес. Деньги выводили на подставные счета.

Сейчас такой обман крайне маловероятен из-за массового внедрения технологий шифрования. Если компания не пользуется шифрованием, самое время об этом подумать, чтобы сберечь деньги и данные. В любом случае, уделяйте внимание сверке номеров счетов при получении подтверждающего запроса от банка.

После обнаружения вируса многие банки изменили скрипты операторов антифрода таким образом, чтобы сверять с клиентом при звонке последние цифры счёта, на который должны уйти деньги.

Самим клиентам рекомендуют своевременно обновлять ПО, проверять компьютер на наличие вирусов, пользоваться защитными программами, а также ограничивать доступ в интернет с устройств, на которых установлены системы ДБО или программы для ведения бухгалтерии.