• Мошенничество со страховыми выплатами начинается с почтового ящика: как поддельные письма превращают рутинные страховые процедуры в кражу выплат

Мошенничество со страховыми выплатами начинается с почтового ящика: как поддельные письма превращают рутинные страховые процедуры в кражу выплат

Блог, Безопасность электронной почты

Узнайте, как мошенники используют поддельные электронные письма и атаки типа «компрометация корпоративной почты» (BEC) для манипулирования процессами обработки страховых выплат с целью перенаправления денежных средств.

Ахона Рудра

Последнее обновление:
5 Время чтения: 5 минут
Мошенничество со страховыми выплатами начинается с почтового ящика: как поддельные письма превращают рутинные страховые процедуры в кражу выплат
Оглавление-

Ключевые выводы

  • Мошенничество с выплатами часто начинается в рамках законных цепочек электронных писем, а не в виде отдельных атак
  • Злоумышленники рассчитывают на подходящий момент, отправляя запросы именно тогда, когда ожидаются платежи или обновления
  • Даже знакомые адресаты по-прежнему могут подвергаться подделке или взлому
  • Изменения в платежных реквизитах и банковских данных являются наиболее рискованными этапами рабочего процесса
  • Сочетание аутентификации по электронной почте со строгими процедурами проверки является ключом к предотвращению мошенничества

Мошенничество со страховыми выплатами не всегда начинается с инсценированной аварии или поддельного заявления о травме.

Иногда всё начинается с обычного электронного письма. Страховой эксперт просит предоставить ещё один документ. Заявитель отвечает, указав обновлённый адрес. Подрядчик по восстановительным работам присылает исправленный счёт. В этой цепочке событий нет ничего необычного, и именно поэтому она работает.

Команды страховых компаний созданы для обеспечения бесперебойного движения документов. После урагана, всплеска числа исков о возмещении ущерба или накопления нерассмотренных дел по компенсации работникам сотрудники оперативно обрабатывают сметы, вложения, разрешения и данные о выплатах. Когда сообщение поступает в рамках реального страхового случая, оно автоматически приобретает ту же степень достоверности, что и весь сопутствующий рабочий процесс.

Это делает почтовый ящик удобным местом для мошенников. Им не нужно придумывать новую историю с нуля, если они могут вклиниться в уже существующую переписку и перенаправить деньги, документы или доверие.

Почему сферу урегулирования страховых претензий легко захватить

Почему процесс урегулирования страховых претензий легко подвергнуть манипуляциям

В сфере урегулирования убытков присутствуют три фактора, которые привлекают злоумышленников: срочность, повторяемость и обширная координация по электронной почте. Та же уязвимость распространяется и на сферу дистрибуции, где медленная активация агентов обходится MGA в потерю 1–2 месяцев производительности на одного агента, поскольку ручное отслеживание соблюдения нормативных требований перестает работать при количестве агентов свыше 50–100 человек. В одном деле могут участвовать страхователь, брокер, эксперт по урегулированию убытков, финансовый контакт, поставщик ремонтных услуг и внешний юрисконсульт. Во время катастрофы один общий почтовый ящик может обработать десятки практически одинаковых запросов еще до полудня.

Именно поэтому связь между киберпреступностью и страховым мошенничеством так естественно проявляется в страховой деятельности. Как только преступники получают доступ к почтовому ящику, счету или переписке с поставщиком, им не нужно придумывать громкую историю об утечке данных. Они могут дождаться момента реального платежа и вклиниться в ситуацию, когда люди и так ожидают каких-то действий.

Команды, понимающие, что такое DMARC, уже знают, что это нечто большее, чем просто доставка почты. DMARC работает в сочетании с SPF и DKIM, помогая владельцам доменов проверять, кому разрешено отправлять почту с использованием их домена, и определять, как принимающие серверы должны обрабатывать сообщения, не прошедшие эти проверки. Это имеет большое значение при рассмотрении претензий, поскольку подделка личности зачастую приносит больше прибыли, чем простое нарушение работы методом перебора.

Как на самом деле происходит хищение выплат

Представьте себе ситуацию с заявлением о возмещении ущерба, нанесенного градом. Подрядчик завершает аварийные ремонтные работы, эксперт по урегулированию убытков утверждает смету, а финансовый отдел готовится перечислить 28 400 долларов. Злоумышленник, получивший доступ к одному из почтовых ящиков в этой цепочке, несколько дней незаметно наблюдает за ситуацией, а затем отправляет короткое сообщение о том, что подрядчик сменил банк, и прикрепляет обновленную форму перечисления средств.

Это письмо не должно выглядеть слишком эффектно. Достаточно, чтобы оно пришло именно в тот момент, когда команда уже ожидает получение окончательного счета или подтверждения ACH. Согласно официальному сообщению IC3 (Центра по борьбе с киберпреступностью ФБР) о мошенничестве с использованием корпоративной электронной почты(BEC ), с октября 2013 года по декабрь 2023 года сумма заявленных убытков, связанных с BEC, превысила 55 миллиардов долларов по всему миру. Эта цифра объясняет, почему к «простому» письму с изменением реквизитов для оплаты ни в коем случае нельзя относиться как к обычной административной процедуре.

Механика специально сделана скучной:

  • Реальная заявка формирует реальную цепочку писем с указанием имен, номеров заявок и вложений.
  • Злоумышленник получает доступ с помощью фишинга, повторного использования учетных данных или правил переадресации почтовых ящиков.
  • Они ждут, пока сроки оплаты, возмещения или расчета не придадут этому запросу правдоподобности.
  • Из поддельного или взломанного аккаунта отправляется исправленный счет, банковская корректировка или распоряжение о выплате.
  • Средства перечисляются до того, как кто-либо подтвердит изменение через второй канал.

Такая же схема действует в сфере страхования от несчастных случаев на производстве, страхования гражданской ответственности, коммерческого автострахования и суброгации. Если одно сообщение может повлиять на то, кому будет выплачена компенсация, куда поступят конфиденциальные документы или какие записи будут признаны подлинными, то данное страховое дело уже представляет достаточную ценность, чтобы стать объектом злоупотреблений.

Чего люди не замечают, когда отправитель кажется им знакомым

Большинство команд умеют распознавать небрежно составленные фишинговые письма. Гораздо сложнее распознать сообщения, которые выглядят правдоподобно на 95 процентов. Злоумышленник может заменить одну букву в домене, ответить в рамках существующей переписки или использовать именно тот тон, которым обычно пользуется поставщик.

Поэтому лучшая практика при проверке — это не «искать грамматические ошибки», а «проверять, соответствует ли запрос рабочему процессу». Подрядчик, который в течение 18 месяцев использовал один и тот же домен, не должен внезапно отправлять банковские реквизиты с нового адреса за час до выплаты. Адвокат истца, который обычно отправляет PDF-файлы через защищенный портал, не должен внезапно запрашивать инструкции по выплате, отправив однострочное сообщение с мобильного телефона.

Многие из типичных признаков фишинга в страховых документах носят незаметный характер: измененный адрес для ответа, новый тип вложения, упоминание о срочности в последнюю минуту или просьба обойти обычный портал, поскольку «этот работает быстрее». Это мелочи, но в процессе обработки страховых заявлений именно они часто становятся решающим фактором, отличающим обычную обработку от мошеннической манипуляции.

В рекомендациях ФБР по противодействию взлому корпоративной электронной почты четко сформулировано практическое правило: проверяйте информацию об оплате или изменениях в учетной записи по отдельному каналу связи, внимательно изучайте полный адрес отправителя и проявляйте особую осторожность, если в запросе подчеркивается срочность. Опытные специалисты по урегулированию убытков следуют этому правилу даже в тех случаях, когда сообщение выглядит знакомо, ведь именно в том, что мошенничество выглядит привычно, и заключается суть атаки.

Как на практике выглядит более безопасная процедура урегулирования убытков

Оптимизированный рабочий процесс обработки претензий не рассматривает каждое письмо как чрезвычайную ситуацию. Он вводит дополнительные меры контроля только в тех случаях, когда мошенничество может привести к значительным убыткам: при изменении реквизитов счета, предоставлении инструкций по расчетам, корректировке счетов-фактур и перенаправлении конфиденциальных документов.

Начнем с домена. Быстрая проверка с помощью инструмента анализа домена может выявить наличие явных пробелов в аутентификации вашего отправляющего домена в отношении DMARC, SPF, DKIM и связанных с ними механизмов контроля, а инструмент PowerDMARC специально предназначен для выявления уязвимостей, связанных с фишингом, спуфингом, мошенничеством и подделкой личности. Это полезно, поскольку мошенничество с выплатами часто удаётся задолго до того, как кто-либо заметит проблему с выплатами в бухгалтерской отчётности.

Затем ужесточьте правила передачи дел в рамках процесса рассмотрения заявлений. Если информация об изменении банковских реквизитов поступает после утверждения платежа, но до его осуществления, это должно запускать иной маршрут контроля, чем при обычном обновлении статуса. Досье с запросом на возмещение в размере 1 200 долларов может потребовать оперативного обратного звонка. Досье с корректировкой расчета на сумму 40 000 долларов может потребовать обратного звонка и участия второго утверждающего лица в течение того же рабочего дня.

Практичный набор элементов управления обычно выглядит следующим образом:

  • Любой перевод или изменение данных ACH проверяется с помощью номера телефона, уже указанного в системе, а не того, который указан в электронном письме.
  • Любые изменения в инструкциях по выплатам, внесенные в течение 30 дней после подключения поставщика, передаются на рассмотрение вышестоящему руководству.
  • Общие папки входящих заявлений не поддерживают автоматическую пересылку на внешние адреса без уведомления.
  • Отделы финансов и урегулирования убытков используют один и тот же контрольный список для проверки, поэтому злоумышленники не могут выбрать в качестве мишени более уязвимый отдел.
  • Каждое подтвержденное изменение банковских реквизитов регистрируется с указанием даты, имени проверяющего и результата обратного вызова.

Здесь также важна аутентификация электронной почты. Согласно рекомендациям Google для отправителей, организации, осуществляющие массовую рассылку на личные почтовые ящики Gmail, должны использовать протоколы SPF и DKIM, публиковать настроек DMARC, а также обеспечить соответствие домена организации в поле «От» (From) данным SPF или DKIM. Эти требования касаются обеспечения доверия к отправителю в условиях массовой рассылки, однако соблюдение тех же правил помогает страховым компаниям снизить риск подделки адресов и очистить сигналы, на которые полагаются сотрудники при оценке подлинности сообщений.

Лучшие страховые команды также проверяют свои процедуры на реальных делах. Возьмите одно недавнее дело по страхованию имущества, одно дело по страхованию от несчастных случаев на производстве и одно дело по страхованию гражданской ответственности. По каждому из них задайте прямой вопрос: если бы прямо сейчас пришло поддельное письмо с информацией об изменении суммы выплаты, где именно оно было бы заблокировано и кем? Если ответ будет расплывчатым, значит, и система контроля тоже расплывчата.

Подведение итогов

Мошенничество с выплатами по страховым случаям обходится дорого, когда обычные пробелы в процессах рассматриваются как безобидные административные недочеты. Поддельное сообщение может перенаправить платеж подрядчику, затянуть выплату или привести к попаданию конфиденциальных данных заявителя в чужие руки, не вызвав при этом явной тревоги. Решение этой проблемы обычно оказывается менее радикальным, чем люди ожидают: более строгий контроль доверия к отправителю, четкие правила проверки и короткий список моментов, которые ни в коем случае не должны оставаться «рутинными». Если изменения банковских реквизитов, корректировки счетов и инструкции по выплатам всегда вызывают обратный звонок и повторную проверку, злоумышленник теряет преимущество в виде выгодного момента. Выберите сегодня один действующий рабочий процесс по урегулированию страховых случаев и проверьте, как поддельное письмо об изменении платежа пройдет путь от входящих сообщений до выплаты. Затем устраните эту лазейку до того, как поступит следующее сообщение, выглядящее вполне обычным.

Последние сообщения Ахона Рудра (см. все)
Последнее обновление:
Правило FTC о мерах безопасности: нужен ли вашей финансовой компании протокол DMARC?SPF-сжатиеСжатие SPF: сокращение количества запросов к DNS по SPF и оптимизация записи SPF