Проблема: Высокий риск финансовых потерь и утечки данных из-за успешных атак с подменой реквизитов (BEC, фишинг, социальная инженерия). Отсутствие стандартизированной проверки ведет к человеческим ошибкам.

Причины:
1. Отсутствие политики «Третьего глаза»: Сотрудник, меняющий реквизиты, не обязан подтверждать запрос у независимого лица (руководителя, безопасности).
2. Слепая вера в копирайтинг: Запросы с логотипом и подписью гендира принимаются за истину без верификации по внешнему каналу.
3. Игнорирование OSINT-проверок: Не анализируются IP/UA отправителя, SPF/DKIM/DMARC записи домена, время регистрации домена.
4. Отсутствие автоматизации: Нет триггеров на ключевые слова («срочно», «реквизиты», «изменить счет») в почтовых входящих.

Решение:

1. Внедрение SOP (Стандартная операционная процедура) «3 шага»:
Шаг 1: Не отвечать. Игнорировать тело письма, звонить напрямую по номеру из доверенной базы (не из письма).
Шаг 2: Верификация домена (МХ-запись/SPF). Проверить, авторизован ли сервер отправителя: `nslookup -type=spf domain.ru` или `dig domain.ru spf`. Если SPF не соответствует, отклонить запрос.
Шаг 3: Подтверждение лица (Визуализация). Запрос на изменение принимается только при видеозвонке (Zoom/Telegram) с подписантом. Аудиозвонок недостаточен (deepfake).

2. Автоматизация (пример для почтового сервера Postfix/Sendmail + Python):
Создать фильтр для писем со словами «счет», «изменить», «реквизиты» в теме/теле.
Парсить заголовок `Authentication-Results` (SPF/DKIM/DMARC).
Если SPF=fail или DKIM=fail — автоматически помечать как спам и отправлять письмо в карантин без уведомления отправителя.
Пример Python-скрипта для анализа заголовка:
python
import re

        email_header = "Authentication-Results: spf=fail smtp.mailfrom=attacker.ru"

        if "spf=fail" in email_header or "dkim=fail" in email_header:

            print("BLOCKED: Insecure sender")

        else:

            print("PASS: Proceed to manual check step 2")


3. Обучение (минимум 1 час в месяц):
Фишинг-симуляции: Запускать фейковые запросы на изменение реквизитов с поддельных доменов (например, `сбербанк-оплата.реф`). Анализировать, кто нажал.
OSINT-чекап: Учить команду проверять дату регистрации домена через `whois` (срок жизни <>
4. Технические блоки:
Dmarc rejection: Установить политику `p=reject` на домене компании, чтобы фишинговые письма с поддельных доменов не доходили до пользователей вовсе.