Многие сотрудники хотят иметь больше возможностей заявить о своих достижениях на рабочем месте. Однако благим стремлением к карьерному росту могут воспользоваться мошенники. Так, эксперты «Лаборатории Касперского» зафиксировали фишинговую рассылку по сотрудникам организаций, которая приходит от имени якобы HR-отделов. В ней работникам предлагают пройти процедуру самооценки, а в завершение анкеты, после ответов на вопросы, просят указать логин и пароль от учётной корпоративной записи.
В самой анкете действительно есть некоторое количество вопросов, которые, вероятно, могут иметь отношение к оценке собственной эффективности в компании. Однако в конце опроса требуется указать адрес электронной почты и аутентифицироваться при помощи своего пароля, который нужно ввести дважды. Обычно фишинг такого типа сразу из письма ведёт на форму для ввода корпоративных учётных данных на постороннем сайте, и это многих настораживает. В данном же случае запрос пароля и адреса (который чаще всего является логином) замаскирован под часть анкеты, которая уже почти заполнена. Подобный хитрый ход усыпляет бдительность жертвы.
Как отмечают специалисты, несмотря на свою оригинальность, фишинговая рассылка сделана не очень аккуратно. Во-первых, доменное имя в адресе отправителя не совпадает с названием организации, где работают получатели. Во-вторых, в сообщении есть опечатки. В-третьих, отправители указывают на срочность и сообщают, что заполнить анкету нужно до конца дня. Давление на срочность — типичный метод социальной инженерии. Вот почему нужно сохранять бдительность и, прежде чем открывать ссылки даже из писем с интригующими темами, посмотреть, нет ли красных флагов, указывающих на фишинг. При получении любого сомнительного письма, где от вас требуют конфиденциальные данные, всегда лучше уточнить у отправителей, в данном случае у сотрудников HR-отдела, в курсе ли они, что от их имени приходят подобные рассылки.
Для защиты от подобных угроз эксперты по информационной безопасности рекомендует компаниям:
- обеспечивать защиту корпоративной почты на уровне почтового шлюза;
- защищать все подключённые к интернету корпоративные устройства надёжной специализированной защитой;
- регулярно проводить тренинги по кибербезопасности для сотрудников, а затем симулированные фишинговые атаки, чтобы проверить, научились ли они распознавать их.