Безопасность Бизнеса

2022-12-02 10:15:00 ​Как ювелирно воруют деньги у бизнеса

Привет, это безопасник. Продолжу про жуликов и как, если захотят, могут нахлобучить даже опытного товарища.

Про схему с левыми счетами и тупым бухом было тут. Сегодня будет из той же серии.

Фишинг – давно известная схема. Нацелена на невнимательных обывателей, которые слепо верят интернету. И вот вообще беспроблемная в реализации. Создал страничку, тупо скопировал и залил весь контент с оригинала, оплатил за три копейки хостинг, выкинул в сеть и колбась платную рекламу на то, что востребовано. Рекламодателям типа Яндекса без разницы, чего там за бабки продвигается, а левую буковку в адресе и пометку «реклама» увидит только один из тысячи.

Для пущего завлекалова сразу вывешивается и супер-акция, а-ля айфон за полцены, только сегодня! Как показывает жизнь, такие жулики до сих пор безнаказанно собирают миллионы, при этом вернуть ничего не удается. Тупо потому, что каждым конкретным физиком, кто отправил за скидочный айфон свою невеликую зарплату, ни один мент заниматься не станет. Бесперспективняк.

А сейчас расскажу про бизнес. Да, по той же схеме разводят и предпринимателей. И иногда готовятся так, что не залететь сложно. У нашего клиента было такое.

Занимался он поставками металла. Закупал, пилил, точил, продавал дальше мелким производственникам и физикам. Закупал большими партиями, дабы скидки давали тоже побольше.

И вот заходит он однажды из письма якобы своего поставщика на сайт якобы его компании и видит, что цены на то, что ему постоянно нужно для производства снижены. Типа акция до конца недели в связи с Днем металлообработчика и бла-бла-бла. Ну хорошо, же! Делает заказ. Тут же присылают ему счет на 8 млн рублей, бухгалтер проверяет и оплачивает. В итоге эти бабки улетают в неизвестном направлении.

А теперь объясню, как сработало.

Жулики по сервисам пробивов вычислили поставщиков его конторы и требуемые позиции, которые постоянно закупаются. Сварганили сайт, как у поставщика и добавили туда свою страничку с акцией. После чего вскрыли ящик дира, скачали шаблон письма от того самого поставщика, заменили там ссылки и закинули ему на почту. Мол, дорогой клиент, у нас для тебя супер-акция, вот на твои позиции скидка, иди сюда и заказывай побыстрее, благодарим за сотрудничество!

Но и это еще не все. Все платежные реквизиты на фишинговом сайте были реальные! Все, кроме одного – номера счета. И когда бухгалтер делал платежку, она просто выбрала имеющегося поставщика из списка. Пусть, он называется ООО «Техно». Там само все заполнилось, но счет она скопировала вручную из того, который пришел по заказу. Ну измелили счет товарищи, бывает. Все остальное же правильно, обычная история.

Только вот жулики подготовились капитально и заранее создали свое ООО «Техно». Понятно, что с другими реквизитами. Но прикол в том, что в некоторых банках система настроена так, что если видит ошибку, то кидает деньги не по ИНН, а по расчетному счету. Мол, вероятно, клиент ошибся, мы поправим. И бабки уходят по номеру счету на новое ООО «Техно». Такой несправедливый баг.

Защититься сложно. Разве пробивать реквизиты и изучать маску счета. Проверить правильность счёта невозможно, это конфиденциальные данные. Что банк так может делать, знают только обнальщики и крутые схемари. Вернуть средства не выйдет, ибо лавка на номинала, бабки выводятся мгновенно, а контора идет в утиль. Судиться с банком бесполезно. Хотя и виноваты, отмажутся.

Какой дать совет? Не ходите по левым ссылкам. Проверяйте сайт, смотрите возраст домена и где он зарегистрирован. Дайте буху задание разобраться в маске счета, по ней можно многое заметить. И пусть проверяет все более дотошно. При оплатах крупных сумм всегда связывайтесь с контрагентом по телефону. И не ведитесь на халяву. Помните, банкам и судам до ваших проблем нет дела.

Но, если честно, это уже высший пилотаж.

#мошенники

@businesssafe Открыть/Комментировать

2022-11-30 10:15:00 ​Социальная инженерия и как от нее защищаться

В постах с тегом #информационная мы описываем технические аспекты безопасности, но советы, как шифровать данные и настраивать браузер, не помогут, если вы или ваши сотрудники не знаете, как не попадаться на психологические уловки.

Социальная инженерия – это набор манипулятивных приемов, направленных на получение выгоды. И это самый простой способ проникнуть в компанию, так как людей взломать проще, чем современные машины. Большая часть атак сегодня совершается именно с помощью уязвимостей в головах, а не в железе. Чтобы защищаться, нужно понимать методы. Приведем некоторые.

Атака с приманкой

Пример: ваш сотрудник находит около входа в офис флешку и вставляет ее в рабочий компьютер. Далее флешка либо запускает вирус, либо сжигает материнскую плату устройства.

Противодействие: составьте список доверенных устройств, использующихся в периметре офиса, маркируйте их, занесите их идентификационные номера в базу. Запретите без необходимости или одобрения уполномоченного сотрудника СБ подключать к рабочим компьютерам что-либо.

Взаимный обмен

Это и введение в заблуждение с помощью обещания сделать что-то, и подкуп.

Противодействие: трезво оценивать ситуацию и соотносить выгоды с потенциальными рисками. Для предотвращения подкупов отчасти помогут системы контроля доступа, проверки сотрудников на благонадежность с помощью заказных хакерских атак, маски-шоу и выемок-допросов в офисе. Это стоит денег и мороки, зато поймете, кто у вас самое слабое звено.

Фишинг

Большая часть атак на компании до сих пор идет через почту с фишинговым приложением. Письма от банка, требующие «подтвердить» секретную информацию, опросники, предложения вакансий от хедхантеров, письма якобы из органов и от руководства. Особо опасен целевой фишинг, когда хакеры сначала собирают информацию о сотруднике или руководителе, а затем пользуется ей, чтобы сделать фишинг персонализированным.

Противодействие: переходите по подозрительным ссылкам в письме только с помощью отдельного, не рабочего, браузера, тщательно проверяйте адрес. Учтите, что адрес почты может выглядеть точно как настоящий, потому что его можно подменить. Поэтому, если письмо от коллеги, перезвоните ему и спросите, он ли это прислал. Если говорится о чем-то важном и срочном, остановитесь и проанализируйте ситуацию.

Вишинг – это голосовой фишинг. Например, когда звонят якобы из банка или из трехбуквенных ведомств. Люди на той стороне с театральным мастерством зачастую убеждают в чем угодно, пользуясь страхом перед органами. Так же могут звонить под видом руководства, коллеги или контрагента. Был случай, когда сотруднице позвонили с подменного номера и с помощью специальной программы сгенерировали голос шефа, который убедил перевести несколько миллионов на левый счет.

Противодействие: если звонят и настойчиво убеждают сделать что-то, угрожая проверкой, допросом, выемкой и т.п, успокойтесь, уверенным голосом спросите ФИО, номер сотрудника, кто начальник, по какому адресу находится управа и т.д. Если это подстава, после уточняющих вопросов абонент начнет сильнее давить или хамить. При сомниях положите трубку и перезвоните сами – если это мошенники, не дозвонитесь, так как номер подменный.

В спешке человек не замечает, как делает что-то опасное. Сильное оружие против СИ – это холодная голова и взвешенные решения. Если кричат, что дело срочное, скажите, что требуется время, что нужно посоветоваться, что нет данных. Короче, что угодно, чтобы осмыслить ситуацию.

Более продуманные и таргетированные атаки включают предварительный сбор информации, поэтому, как и советовали, не оставляйте за собой много цифровых следов и убедите ключевых сотрудников делать так же. Не рассказывайте много о себе, делайте публикации доступными только для определенного круга. Проанализируйте, какие аспекты попадают в сеть и составьте правила для работников.

Про СИ глубже есть в книгах: первая, вторая, третья, четвертая.

#мошенники

@businesssafe Открыть/Комментировать

2022-11-28 10:15:00 ​История про белый НДС

Привет, это безопасник с новыми кейсами из практики. Сегодня у нас много клиентов, и все в восторге. Но, как у всех, у каждого были свои грабли, и они о них рассказывают. А мы слушаем и копим.

Главные проблемы у всего бизнеса – налоги. Отдавать стране все, что она хочет, конечно, похвально, но нереально. На какие только схемы люди не отваживаются, чтобы с ними побороться. Посему оптимизация не умрет никогда. А хозяин фирмы обычно не намерен идти обратно в наемники.

Вот вам кейс.

Был у нас клиент, стройкой занимался, помогали мы ему с наличкой и зарплатами таджикам. Спросили про НДС. Говорит: с НДС вопрос тотально решен, никаким зашивом он пользоваться не собирается, и вообще, это все засада и подстава. Мы удивились. Стройка без зашива? А ну-ка, друг, расскажи. И вот он какой был секрет.

Подъехал к нему как-то лучший друг и за чашечкой вискаря они пообщались за налоги. Тогда еще у него все плохо и непонятно с этим было – платил все, что инспекторы просили. И добрый друг дал ему добрую транспортную компанию. Мол, контора белая, все по красоте, реально грузы возят. Но подмучивают. Подмучивают интересно – плюсуют к прайсу дополнительные циферки, берут безнал за реальные и не очень услуги доставки, а приплюсованное готовы вернуть за процент. При этом все по белым и прозрачным счет-фактурам с НДС. Ну еще и налик бонусом. Процент оказался подъемный и решил наш клиент вписаться. Да, не бесплатно, но вроде по уму и безопасно.

Как пример: перевозка чего-то там стоит 500к, по безналу проходит 700к и 200 за минусом процентика отдают на встрече в кафе. При этом контора не однодневка, а реально настоящая, с фурами, водилами, складами. В общем, стали они так работать.

Но вот случился у товарища казус. Позвонил он нам и говорит, что налоговая дергать стала, помогите. Ну, ладно, глянем. Первым делом пробили с ног до головы транспортников, а затем вычеты, которые они дают. И вот тут все и встало на свои места.

Да, контора реальная, светится в деревьях годно. А вот ниже нее был полный ахтунг. Как они проблем с налогами избегали, нам неясно. Видимо причина в том, что свои компашки логисты регулярно меняли, врубаясь, что тема левая. Клиенту же без разницы, кто ему годную счет-фактуру дает: ООО Транзит №1 или ООО Транзит № 66.


Открылось, что компашка тупо закупала НДС у самых отъявленных техничек и перепродавала его таким вот товарищам, рассказывая, что все по красоте. Ни на какие минимально грамотные схемы там даже намека не было.

Только последнее время налоговая стала выше и дальше по деревьям лазать и искать товарищей пожирнее, с активами, да оборотами. Вот и всплыл наш клиент на глаза усидчивого инспектора. А там и еще нашлись косяки. В общем, ситуация была не огонь. Такой вот кристально белый и безопасный схематоз.

Расписали ситуацию, обрисовали пути решения. В подробности не полезу, скажу, что утрясли, но заплатить за такую наивность пришлось. Транспортники претензии не приняли, сказали, что он сам во всем виноват, извините, до свидания.

Вывод простой. Белого НДС нет, чего бы вам там не зачесывали. А подходить к таким вопросам нужно с умом. Хотя бы деревья пробивайте. И консультируйтесь у тех, кто в теме. Если что, мы готовы помочь и ответить: @NDSsafe.

#налоговая #кейсы

@businesssafe Открыть/Комментировать

2022-11-25 10:15:00 ​Как уменьшить прибыль и добыть наличку

Привет, это безопасник. Дам очередной кейс из практики, как можно платить в казну меньше.

Когда ты рулишь бизнесом, иногда возникает чувство, что все в твоих руках, и можно все. Но вот нет. Налоговики не спят и жаждут отжать профит. Один наш клиент имел дело по металлообработке. Ну там всякие железяки и металлоконструкции под заказ делал, в основном, для юриков. Фирма на НДС. Дела у него шли ни шатко, ни валко, впрочем, как у всех. Ибо НДС он реально тянул с трудом. Но зашивать не хотел, боялся и позиционировал себя как законопослушный гражданин.

Но мы с ним работали по разным другим вопросам и решили помочь. Держите лайфхак.

Проанализировали ситуацию, узнали, что клиент раньше работал менеджером в агентстве недвижимости и придумали годный вариант. Сегодня популярна тема внутреннего туризма. Народ гоняет по России и, разумеется, нужно где-то ночевать и тусоваться. Так вот.

Заниматься разным бизнесом у нас никто не запрещает. В итоге скреативили и открыли для него новое направление – аренда квартир посуточно. Ну, понятно, привесили ООО-шке лишний ОКВЭД. Дело не сложное – взял в долгосрок недвижку, поставил менеджера/уборщика, вывесил рекламу и сдавай себе. Вначале одна квартирка, потом вторая и так дошли до 12-ти. Пошло дело.

В чем хак и польза?

А в том, что затраты на аренду квартирок получилось абсолютно законно включить в затраты того «металлического» ООО. А сумма там вышла немалая. Объекты недвижимости реальные, все по договорам, не докопаться. В итоге прибыль по декларациям у человека вышла в совершеннейший ноль.

А, еще, как вы понимаете, плата физиками за размещение почти вся шла на карты без всяких касс, либо банально наличкой. В итоге, даже после оплаты налом всего «квартирного» персонала, клиент закрыл свои потребности в кэше полностью, а еще и получил лишнего, что продал своему коллеге по цеху – партнеру, кто поставлял ему металл и прочее для производства.

Дополнительным бонусом стало то, что, согласно п.2 ст. 149 НК РФ, «услуги по предоставлению в пользование жилых помещений в жилищном фонде всех форм собственности не подлежат налогообложению НДС». Это значит, что даже официальная выручка от такой деятельности НДС не порождает.

В итоге все по белому, обороты, штат, документы. Красота. Так и вытянули бизнес по металлообработке без зашива.

Сказать правду, после такой работы, на зашив он все-таки потом согласился. Ибо увидел профессионализм и понял глубину нашего подхода.

Подписчикам поясню: мы решаем любые задачи бизнеса. Как в плане безопасности, так и налогов. Всегда подходим индивидуально и рассматриваем ситуацию со всех сторон. Если есть затыки, бизнес буксует, налоговая давит и не знаете, что делать, идите к профи. Например, к нам. Всем профита.

#кейсы

@businesssafe Открыть/Комментировать

2022-11-23 10:15:00 ​Как защитить активы владельца бизнеса

После поста про VPN осветим тему безопасности активов владельцев. Когда бизнес приносит денег, у собственника встает вопрос, куда их вкладывать. И так, как все мы живые люди, вложения только в бизнес – не совсем верное решение. Поэтому инвестируют в акции и прочие активы, открывают брокерские счета. На этой почве тоже есть мошенники. Дадим несколько советов, как безопасно работать с личными кабинетами брокеров.

Первое – для операций по брокерскому счету стоит выделить отдельный защищённый компьютер с антивирусом, где не будет никаких второстепенных программ.

Второе – сим-карта. Пароль от кабинета меняется при помощи СМС на сим-карту. И если даже заблокированный телефон попадает в руки злоумышленников, его смогут получить. Достаточно вытащить сим из вашего телефона, вставить в другой, скачать приложение Сбербанк инвестор или ещё какое-то и получить доступ к вашему счету. Если понимаете, что лишились телефона, нужно срочно сообщить оператору связи и во все организации, где у вас был привязан телефон. Для защиты установите пин-код на сим-карту. Также изучите возможность удалённо блокировать и стирать телефон. Если такая опция есть в вашем смартфоне.

Оформите себе отдельную «тайную» симку. Для этого берём самый дешевый кнопочный телефон без возможности выхода в интернет и ставим туда сим, про которую никто не знает, даже близкие. И используем ее исключительно, как ключ для входа в брокерские приложения. Можно использовать виртуальных операторов связи, которые не имеет офиса. То есть здесь все операции проводятся лично с вами, на встрече с курьером. Попросите операторов связи запретить переоформлять симку без вашего участия по доверенности. Для этого нужно просто прийти в офис оператора с паспортом.

Делайте разные пароли для каждого сервиса. Это база, об этом мы уже писали. Можно сделать, например, защищённую папку на телефоне с отдельным паролем и размещать свои пароли туда. На многих телефонах, особенно на Android, появилась функция «второе пространство» внутри телефона, где помощи при помощи отдельного пароля вы заходите в другой рабочий стол, где уже внутри могут быть установлены те самые брокерские приложения.

Распределяйте капитал по разным брокерам. Одновременно ломать разных брокеров сложнее, чем одного. Делите и по разным лицам физлицам, кому доверяете. Это могут быть родственники и доверенные лица. Сразу всех членов семьи мошенники атаковать не будут. Делите брокера и банк. То есть все активы и брокерские операции проводите у одного брокера, а банк, как средство для транзакций, используйте другой.

Делите активы по ликвидности, диверсифицируйте. Размещайте капитал в ценных бумагах акциях, облигациях, долях в малых предприятиях, коммерческой недвижимости, «бетоне». Та же самая перерегистрация паев происходит долго, и их у вас точно не украдут.

Если капитал внушительный, например, 100 млн и больше, рассмотрите перевод акций в реестр. То есть непосредственно регистратору. Это более высокий уровень надежности. Для этого напишите по своему брокеру заявление. Менеджер расскажет, как это сделать. Да, вы не сможете быстро продать ваши ценные бумаги, но так вы сами защищаете ваш капитал и от себя. В моменты панике на рынке вы не сможете быстро добраться до ваших ценных бумаг и зафиксировать убытки.

Отдельно можно использовать иностранных брокеров, но сегодня это большой риск. А также специальный закрытый паевой инвестиционный фонд для личных нужд без управляющей компании. Но это тема отдельного поста.

#финансовая #мошенники #информационная

@businesssafe Открыть/Комментировать

2022-11-21 10:15:00 ​VPN для бизнеса

Продолжим тему инфобезопасности компании и расскажем, зачем нужен VPN и как его использовать. Это важно.

Сегодня VPN ассоциируется только с обходом блокировок, однако изначально технологии «виртуальная частная сеть» придуманы для бизнеса. Корпоративный VPN нужен для безопасного обмена информацией между устройствами компании и везде, где нужно защитить данные, передаваемые по открытым публичным сетям. А также использовать для идентификации и контроля доступа сотрудников к корпоративной сети.

Если злоумышленник получит доступ к корпоративному VPN извне, он прочитает случайный набор символов, который можно декодировать только с помощью ключей шифрования, имеющихся лишь у участников сети на устройствах. Перехватывать переговоры по IP-телефонии, пропущенные через VPN, тоже без ключей шифрования не выйдет.

Протоколов VPN, которые удобно использовать, много. Вот три самых достойных.

OpenVPN. Распространенный протокол с открытым исходным кодом. Можно сказать, стандарт в индустрии. Минусы: не просто настраивается и понижает скорость интернета из-за накопленной за годы огромной кодовой базы.
Cсылки на более подробные материалы по OpenVPN: первая, вторая. Cкрипты для автоматической настройки на сервере: раз, два.

IPSec или IKEv2. Стабильный и менее ресурсоемкий по сравнению с первым. Высокий уровень безопасности, популярен. Наши поставщики VPN для бизнеса, сертифицированные ФСТЭК, используют его. Может шифровать трафик скрыто, без ведома программы.
Ссылки на материалы: один, второй.
Скрипты: раз, два.

WireGuard. Новейший протокол с открытым исходным кодом и высоким уровнем безопасности. Почти не урезает скорость благодаря небольшой кодовой базе. Активно развивается и внедряется в ядра операционных систем. Максимально прост в использовании и не сложен в настройке. Рекомендуем к использованию, но как дополнение к OpenVPN и IPSec, потому что пока WireGuard не реализует некоторые полезные фичи.
Материалы: первый, второй. Дайте почитать сисадмину, если он не знает про WireGuard.
Скрипты: раз, два.

Если сложно, вот платный сервис для всех рекомендованных протоколов для автоматизации настройки: pritunl.

Мы не рекомендуем пользоваться коммерческими и бесплатными VPN-сервисами из-за непрозрачности и угроз безопасности. И платными, и бесплатными VPN пользуется много людей, а покупать выделенные адреса дорого.

Лучше и дешевле всего, особенно если есть серверная инфраструктура, настроить свой VPN для безопасного серфинга и захода на заблокированные ресурсы. К тому же РКН регулярно блокирует популярные VPN, а со своими серверами у вас не будет таких проблем. И вас как юрлицо не получится притянуть за то, что вы пользуетесь нелегальным сервисом. Для безопасного серфинга и обхода блокировок лучше настроить WireGuard, так как им проще пользоваться и есть готовые скрипты по настройке собственных DNS-серверов и блокировщиков рекламы.

Мы уже писали о прокси, не путайте их с VPN. VPN – это технология, в первую очередь нацеленная на шифрование трафика, а не на подмену адреса. Чтобы подменять IP, лучше пользоваться прокси поверх VPN. Так вы и защитите трафик, и подмените IP для антифрод-систем.

Если вы или ваши сотрудники до сих пор не пользуетесь VPN, начать нужно сейчас. Это важно для защиты корпоративного и личного трафика от прослушивания со стороны хакеров, спецслужб или провайдера. Просто сделайте это.

#информационная

@businesssafe Открыть/Комментировать

2022-11-18 10:15:00 ​Мир НДС – своего рода «деревня»

Привет. Это я – безопасник с новым кейсом. На этот раз оптимизаторским.

Мы давно помогаем бизнесу в этом вопросе, отслеживаем движуху и посему варимся в данной тусовке. Сейчас чуть теории и потом мякотка.

У компетентных площадок и исполнителей всегда есть люди, готовые ответить на любой вопрос клиента, дать совет и решить вопрос в случае форс-мажора. Мы сами этим раньше занимались, пока не стартовали собственный сервис и стали закрывать все вопросы клиента в комплексе. Большинство посредников такими вопросами не заморачиваются, их цель – продать и «гори оно огнем». Максимум привлекают аутсорсеров. Расскажу такое.

Один клиент из региона некоторое время общался с одним независимым консультантом по налогам. Созванивались, советовались, были даже пересечения офлайн. Но отчего-то работа прекратилась. Через пару лет этот клиент нашел в Telegram некий серый сервис и прикупил там себе НДС.

Поначалу все было хорошо, но НДС был некачественный и посыпался. Прикол в том, что продавец-посредник также пользовался услугами того самого консультанта и иногда отправлял к нему своих клиентов, кто брал бумагу. При этом задирал ценник за консультацию в 10 раз.

Вот, когда все посыпалось, бравый перекуп решил свалить за бугор, оставив клиентов разбираться самостоятельно. Особо настойчивым он стал раздавать контакт консультанта со словами: «вот он вам поможет и все решит».

В итоге клиент пишет консультанту и понимает, что это его старый знакомый! Только вот ситуация – дерьмо. На комиссии в налоговой даже пугать не стали, тупо сказали заплатить, иначе ВНП без вариантов.

Разумеется, клиент думает, что консультант в деле и теперь должен ему помогать и вытаскивать. Консультант же ни ухом, ни рылом. По сути, он просто периодически оказывал услуги удаленно тому посреднику, что-то советовал его клиентам. При этом консультант даже не рекомендовал этого бумажника, и, разумеется, ни в какой доле от продаж НДС не был, а просто оказался знаком с обеими сторонами.

Короче, продавец НДС оказался гнилым посредником, который тупо продал хреновый продукт, после чего отшил клиента, а более того – ещё и подставил своего консультанта, который теперь должен решать его проблемы, ибо его знают в офлайне! А репутация – штука дорогая.

Вот так из-за недобросовестных исполнителей подставляются люди, рушатся связи, попадают на время, деньги и геморрой.

Консультант, надо сказать, оказался грамотным и вышел из ситуации красиво, но это другая история. Дам совет: не покупайте услуги у посредника. Совет таким посредникам: не надо думать, что, если вы уехали, вас не найдут.

Кому нужна безопасная оптимизация, можно писать нам. У нас такого не бывает.

#налоги #мошенники #кейсы

@businesssafe Открыть/Комментировать

2022-11-17 10:58:58 Открыть/Комментировать

2022-11-16 10:15:00 ​Как потерять деньги из-за тупого бухгалтера. Кейс

Привет, это безопасник. Расскажу про схему, как разводят бухгалтеров.

Был у нас клиент, кто брал услуги по сопровождению грузов. То есть безопасностью занимался. Но только внешней. Чего творилось внутри конторы, ему было побоку. А контора была серьезная, с оборотами. И вот какая-то хитрая бригада решила его пощипать. Очень вероятно, что по наводке как раз изнутри.

Для этого пробили всех его контров, заказали выписки по банку и вычислили, когда и кому идет оплата. После слепили фейковые лавки с такими же названиями и открыли счета в тех же банках. Получился такой фишинг компаний. То есть вот есть крупный поставщик ООО «Стройлес» с десятилетней историей и всеми атрибутами. А есть лавочка ООО «Стройлес», зарегенная вчера на дропика.

После чего были скопированы шапки бланков и нахреначены счета на оплату. Кстати, договоры, надо сказать, тоже пробили по назначениям платежей. И эти счета в подходящее время высылали на корпоративную почту буха. В больших конторах и писем много, посему у работников вырабатывается условный иммунитет и пофигизм. Короче, смотрят по диагонали и мгновенно принимают решение, что с ним делать. От поставщика – значит в бухгалтерию. Счет – значит на оплату.

И именно так тупой и безответственный бух, получая эти бумажки и видя название реального контра, тупо кидал их на оплату помощнице. Та же вообще не вникала. В результате за две недели ушло почти 15 млн. Заметили, когда стали акты сверок делать. Назвать буха иначе, как тупым нельзя. По сети левые счета на мелкие суммы в надежде, что автоматом оплатят, рассылают в рамках спама. Но проколоться и оплатить 1к не проблема. А миллионы — вот точно надо смотреть под лупой.

Когда стали распутывать оплаты, на той стороне просекли и быстро все вывели, а лавки отправились в утиль. Директорами были номиналы с Казахстана, найти их не вышло. Бабки вернуть не удалось. Буха, понятно, наказали, повесили денег и уволили. Такая грустная история.

Правда, после этого у того клиента мы занялись не только обеспечением физической безопасности, но и внутренней. Нашли ему годного профи финдиректора, буха, которые в курсе про маску счета, ввели регламенты проверки контров, правила работы админперсонала, нужные должностные инструкции и систему наказаний за косяки.

Кстати, похожий кейс в прошлом году даже засветился в СМИ. Там бух тоже перевел примерно 9 млн в один конец после того, как ему на почти пришло письмо якобы от директора с просьбой пульнуть денег на некие реквизиты. Но там так не готовились, а тупо вскрыли почту буха, сварганили письмо якобы от дира и закинули. Причем прокатило 2 раза. Ничего не проверяя – директор же попросил – бух закинул в первый раз 3 млн и 6 во второй.

Кстати тут помог банк, видя третий платеж на однодневку, банкиры просигналили владельцу и тот остановил вакханалию. Но бабки тоже ушли. Менты возбудили дело, но как двигаются такие дела, все знают. Копы тупо не хотят в этом разбираться, для них это трата времени и висяк.

Схемы древние. Бывало даже вскрывали почты и меняли реквизиты в реальных письмах от поставщиков. Отлично прокатывало с импортерами, кто таскал добро из Китая. Типа счет от китайского поставщика за какую-то поставку. Поди там разберись.

Я уже писал, что вернуть деньги можно только в моменте, обратившись к грамотным спецам, кто быстро наложит арест на счет, и потом уже будет разбираться и писать заявления. Если прошло хотя бы пара дней – се ля ви. Поэтому совет такой – всегда проверяйте контрагентов, реквизиты и своих кадров. Ваши деньги и безопасность их мало интересуют. Особенно тех, кто на удаленке. А жулики не отдыхают.

Мы знаем множество мошеннических схем. Если нужна помощь, обращайтесь. И читайте канал, что рассказать есть.

#финансовая #мошенники #кейсы

@businesssafe Открыть/Комментировать

2022-11-14 10:15:00 ​А можно вывести прибыль на себя?

Расскажем, как безопасно собственник может вывести свои деньги.

В январе бизнесу будет нужно сдавать годовую финансовую отчетность. Самая большая проблема – замаскировать и оправдать вывод средств на владельца. Если у компании есть прибыль, хозяин обычно на нее претендует. И это нормально, он же заработал. Но банально вывести ее на карту, как это делают ИП-шники, в компании нельзя. По нормам, для этого предусмотрен легальный механизм – дивиденды.

Только вот налог (НДФЛ) на дивиденды у нас– 13%. А если суммы выше 5 млн, то и все 15%. Да, выходит, что компания, несмотря на все кризисы заработала, заплатила НДС 20%, потом налог на прибыль 20%, а затем ещё и 13 или 15% НДФЛ. Так может ничего и не остаться. Поэтому придумывают схемы.

Собственники обычно против такой истории, поэтому дивидендов почти ни у кого нет. Они чаще этим вопросом вообще не заморачиваются, а просто берут деньги из сейфа и говорят буху: «реши вопрос». Но не всегда бух может качественно это сделать и поэтому часто тупо зашивают в подотчет.

Вопрос вывода средств – это вопрос налоговой безопасности. Трамбуют все больше, и даже если не прицепятся к фирме, могут заметить владельца и пробить его доходы. И если в компании у него стоит зп равная МРОТ, дивидендов нет, а он регулярно покупает себе новые лексусы, яхты и дома, встанет вопрос. И вот тогда уже прицепятся к фирме.

Не будем вдаваться в бухгалтерские тонкости, а просто дадим основные пути, как это обычно делается.

Как указали, чаще всего бухи выводят в подотчет. Но сегодня здесь нужно оформлять это грамотно. Закидать все на счет 71 и ждать, пока он раздуется до немыслимых размеров нельзя. Опять же у подотчета много ограничений и тратить можно только на разрешенные цели. Все должно быть подтверждено. И подотчетные суммы обязательно надо закрывать документально. Это отдельная тема, способы есть. Если забить, рано или поздно прилетит доначисление НДФЛ.

Также выводят на займы. Директор по договору берет заем у своей компании на свои цели. Это не запрещено. Но только в отчетности эти займы также будут висеть и ждать, когда их закроют или вернут «на базу». Понятно, что владельцы ничего не возвращают и бухам снова приходится творить кульбиты, чтобы у инспекторов не было вопросов. А вопросов все больше. И кейсы, когда за это принудительно доначисляли НДФЛ, меняя статус сделки, уже есть.

Еще вариант – вывод на ИП владельца. Собственник открывает ИП, которое оказывает его же фирме некие призрачные услуги. И такое раньше работало шикарно. Вот договор, вот оплата, вот акт об оказании, например, услуг перевозки или обслуживания оборудования. Проверить трудно. Вроде все по закону. Но сегодня инспекторы про это давно знают и задают каверзные вопросы про деловые цели, просят подтверждающие документы, ставят на карандаш.

Вам, исходя из нашей практики, мы дадим совет, как с этим быть.

Пока почти нет вопросов к выводу на ИП владельца за аренду. Но для этого у него должно быть реальное помещение. Тут не докопаться. Это не какие-то там услуги. Вот площади, вот договор, который для надежности можно и зарегистрировать. Ну а то, что цена чуть выше рынка, извините. Кстати, такое помещение будет лучше оформить вообще на третье лицо.

Повторим, сегодня это вопрос компетентности вашего бухгалтера или налогового консультанта. Нюансов много. Главный – все надо делать уже сейчас, задним числом – большой риск. В идеале комбинировать несколько способов и создать свою схему вывода. Старые методы уже не работают.

#финансовая #налоговая

@businesssafe Открыть/Комментировать