Дата публикации: 09.07.2026

Голос директора синтезируют из 3–10 секунд аудио – ряду современных моделей, в зависимости от языка и качества исходника, хватает записи вебинара, интервью или обычного созвона. Дальше «руководитель» звонит бухгалтеру: срочный платёж, реквизиты в личку, никому не говорить. Это CEO-fraud – мошенничество с подделкой первого лица, и бьёт оно не по частным лицам, а по финансовой службе компании. Ниже – как устроены такие атаки, почему «внимательный бухгалтер» не защита и какие регламенты реально останавливают перевод.

CEO-fraud – схема, в которой злоумышленник выдаёт себя за руководителя (голосом, видео или в переписке), чтобы продавить срочный платёж или раскрытие данных. Инструменты: аудиодипфейк (клон голоса), видео-дипфейк в звонке, компрометация переписки (BEC).

Как атакуют бизнес

Во всех вариантах атакующий подделывает личность человека, которому доверяет финансовая служба, и добивается срочного перевода.

  • Звонок «руководителя» бухгалтеру. Клонированный голос + давление: «платёж сегодня, реквизиты скину в мессенджер».
  • Поддельное видео на совещании. Дипфейк-картинка топ-менеджера в видеозвонке обходит визуальную идентификацию – жертва «видит» знакомое лицо и не перепроверяет.
  • Вишинг с подменой номера. На экране высвечивается настоящий внутренний номер или номер банка, звонящий давит авторитетом и дедлайном.

Полный цикл атаки выглядит так: мошенники собирают образцы голоса из вебинаров, интервью и записей созвонов, синтезируют речь и звонят финслужбе с подменённого номера. Разговор строится на искусственной срочности – перевод «новому контрагенту» нужен сегодня, обсуждать с коллегами нельзя.

Масштаб: что говорят цифры

По данным Банка России, в 2024 году мошенники похитили со счетов клиентов рекордные 27,5 млрд руб. – на 74% больше, чем годом ранее (обзор операций без добровольного согласия клиентов, ЦБ РФ). Это общий контекст мошенничества: обзор охватывает все несанкционированные операции, в основном потери физлиц, – отдельную статистику по корпоративному CEO-fraud и дипфейкам регулятор не публикует. По итогам 2025 года объём таких операций вырос ещё на 6,4%, количество – на 31,2%. Значительная часть хищений строится на социальной инженерии – телефонном вишинге и «звонках руководителя».

Из нашей практики (клиентов не раскрываем, NDA): в вишинг-симуляциях в рамках пентеста финслужба нередко оказывается уязвимее к «звонку руководителя», чем к фишинговому письму, – голосу доверяют охотнее, чем тексту. Это наблюдение по отдельным проектам, а не публичная статистика.

Почему «распознать на слух» не работает

Отдельные признаки подделки ненадёжны: новые поколения моделей синтеза избавляются от артефактов, на которые сотрудников учили обращать внимание.

Что проверятьПримеры признаковНадёжность
Визуал (видеозвонок)редкое моргание, размытые границы лица, рассинхрон губ и звукасредняя – «лечится» новыми моделями
Аудиоплоская интонация, неестественные паузы, «студийный» звук при звонке «с улицы»низкая – на слух ненадёжно
Контекстсрочность, необычный канал, просьба о переводе/смене реквизитов, запрет обсуждатьвысокая – признаки контекста от качества подделки не зависят

Вывод для компании: защиту строят на процедуре верификации платежа – она остановит перевод и при идеальной подделке голоса.

Защита финконтура: регламенты, которые останавливают перевод

  • Код-слово для подтверждения личности при денежных распоряжениях.
  • Перезвон по заранее известному номеру (callback) – связаться с «руководителем» по номеру из корпоративного справочника; номер, с которого поступил звонок, для проверки не использовать.
  • Подтверждение по второму независимому каналу (out-of-band) – например, распоряжение почтой плюс подтверждение в корпоративном мессенджере.
  • Внутренняя пауза (тайм-аут) перед исполнением срочного перевода.
  • Лимиты и двойной контроль платежей, разделение полномочий.
  • Обучение финслужбы и вишинг-симуляции – отработка на практике в рамках пентеста и повышения осведомлённости персонала.
  • Фон со стороны операторов связи: подмену номера частично гасит система верификации вызовов «Антифрод» (Роскомнадзор) – операторы поэтапно подключаются к ней в рамках требований законодательства о связи. Это внешний слой, он не заменяет внутренние регламенты.

Перечисленные меры проверяют сам процесс платежа, поэтому уровень синтеза голоса на их работу не влияет.

Образцы голоса часто утекают вместе с перепиской и файлами – поэтому защита от CEO-fraud связана с защитой конфиденциальной информации (DLP).

Что делать, если атака уже идёт

  1. Не исполнять распоряжение до верификации по регламенту (код-слово, перезвон по известному номеру).
  2. Зафиксировать: номер, время, запись разговора, скриншоты переписки.
  3. Сообщить в СБ/ИБ и руководителю по доверенному каналу.
  4. При состоявшемся переводе – немедленно в банк (шанс приостановки: если счёт получателя есть в базе мошеннических реквизитов ЦБ или выявлены иные установленные законом признаки перевода без добровольного согласия, банк обязан задержать перевод на два дня, ФЗ № 369-ФЗ) и в полицию.
  5. Разобрать инцидент: откуда взяли образцы голоса, какой процесс дал сбой, обновить регламент.

Правовой аспект

  • Ответственность мошенника. Хищение с использованием поддельного голоса или видео квалифицируется как мошенничество по ст. 159 УК РФ; при операциях с электронными средствами платежа возможна квалификация по ст. 159.3 УК РФ – статью и часть определяет следствие по способу и сумме. «Дипфейк как отягчающее обстоятельство» – пока только законопроект, в действующем УК такого признака нет.
  • Голос как биометрия. Запись голоса, используемую для установления личности, закон относит к биометрическим персональным данным (ст. 11 152-ФЗ; для коммерческих систем – 572-ФЗ). Кража образцов голоса – это ещё и инцидент с ПДн.
  • Защита плательщиков. Приостановка переводов на мошеннические реквизиты – ФЗ от 24.07.2023 № 369-ФЗ (действует с 25.07.2024). «Период охлаждения» для потребительских кредитов – ФЗ от 13.02.2025 № 9-ФЗ (с 01.09.2025). Государственная антифрод-платформа – ФЗ от 01.04.2025 № 41-ФЗ; не путать с системой «Антифрод» РКН против подмены номера.

Проверим устойчивость вашего финконтура к CEO-fraud: разбор процессов платежей, регламенты верификации, обучение финслужбы и вишинг-симуляция – в рамках услуги «Антифрод».

Оставить заявку

Читайте также: Биометрия сотрудников: СКУД по лицу · Пентест / тестирование на проникновение · Штрафы за нарушение 152-ФЗ

Часто задаваемые вопросы

Что такое CEO-fraud и чем он опасен компании?
Мошенничество с подделкой первого лица: клонированный голос или видео «руководителя» продавливает срочный платёж через финслужбу. Атака направлена на доверие и субординацию, поэтому антивирус и почтовый фильтр её обычно не замечают.
Можно ли распознать дипфейк-звонок на слух?
Ненадёжно. Артефакты синтеза (плоская интонация, паузы, рассинхрон губ) исчезают с каждым поколением моделей. Проверку личности звонящего строят на регламенте: код-слово, перезвон по известному номеру, подтверждение по второму каналу.
Сколько секунд записи голоса нужно мошеннику для клона?
Зависит от модели, языка и качества исходной записи: ряду современных систем синтеза достаточно 3–10 секунд чистого аудио – фрагмента вебинара, интервью или рабочего созвона. Скрыть голос публичного руководителя малореалистично, поэтому защищают сам процесс платежа.
Какие регламенты внедрить против CEO-fraud в первую очередь?
Код-слово, перезвон по заранее известному номеру, подтверждение по второму независимому каналу, внутренняя пауза перед срочным переводом, лимиты и двойной контроль, разделение полномочий. Закрепляет эффект обучение финслужбы с вишинг-симуляциями.
Является ли дипфейк-мошенничество отдельным преступлением?
Отдельного состава «за дипфейк» в УК нет – это способ совершения мошенничества (ст. 159, при электронных средствах платежа возможна ст. 159.3 УК РФ). Если запись голоса используется для установления личности, она относится к биометрическим ПДн (ст. 11 152-ФЗ), и её незаконный сбор образует ещё и инцидент с персональными данными.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных