Эксперты «Лаборатории Касперского» выявили новый способ кражи персональных данных. В том числе — для похищения денег с банковских счетов. Чтобы заполучить нужную информацию, злоумышленники проводят массовую рассылку по корпоративным e-mail-адресам от имени HR-службы.
Сотрудники получают подставное письмо, в котором сказано, что нужно пройти промежуточную аттестацию. В нём приводится ссылка на внешний сайт, где якобы размещён тест. При регистрации требуется ввести логин и пароль от рабочей почты. Чаще всего, это не вызывает подозрений, так как сотрудники думают, что это обязательная процедура, которую курирует HR-отдел. В этот момент злоумышленники и получают доступ к рабочей почте. А там могут храниться как конфиденциальные данные самой компании, так и сведения о клиентах.
Кому стоит опасаться в первую очередь?
Чаще всего, мошенники атакуют банковских служащих. В особенности — сотрудников, непосредственно связанных с обслуживанием клиентов: выдачей кредитов, обслуживанием банковских карт, рассмотрением претензий или предоставлением дистанционного доступа. Они считаются лакомой добычей, так как у них скапливается больше всего персональных данных.
Как уберечь сотрудников от подставных эйчаров?
«Харчо-Журнал» подготовил специальный чек-лист, который поможет проверить, смогут ли злоумышленники вас подставить, обмануть ваших сотрудников и заполучить данные вашей компании и ваших клиентов:
- Знают ли сотрудники, кто работает в HR-отделе?
Если у вас небольшая компания и вы в одиночку отвечаете за все HR-функции, то проблем возникнуть не должно. Скорее всего, все вас знают. Но если у вас работают несколько HR-специалистов, а у компании есть отдельные офисы в других городах или даже странах, то это совсем другое дело. Важно вовремя знакомить коллег с новыми эйчарами, а также другими сотрудниками, от которых могут поступать ссылки на сторонние сайты. Иначе злоумышленники смогут запросто выдать себя за новичка сами.
- Как распространяются обязательные для всех сообщения?
Желательно, чтобы ваша компания использовала не один, а несколько каналов для внутренних коммуникаций. Так вы сможете предупредить всех в отдельном чате в Telegram или Slack, что на почту вот-вот прилетит ссылка на новый онлайн-тест.
- Не боятся ли сотрудники задавать вопросы?
Может показаться, что этот пункт не имеет никакого отношения к делу, но это совсем не так. Важно, чтобы в компании царила дружественная атмосфера, при которой никто не боится уточнять у руководителей и коллег, что и зачем происходит. В токсичной же обстановке все становятся более уязвимыми, так как связи между людьми нарушены, а информация доносится с искажениями либо не передаётся вовсе. Здесь же советуем перепроверить, а знают ли сотрудники к кому обращаться с вопросами. Отчасти это возвращает нас к первому пункту.
- Владеют ли ваши сотрудники хотя бы минимальной цифровой грамотностью?
В эпоху цифровизации важно, чтобы все в компании понимали, что можно, а что нельзя делать в интернете, чтобы не стать жертвой кибермошенников. Например, важно донести до сотрудников, что организаторы конференций и создатели HR-сервисов действительно могут запрашивать в качестве логина корпоративный e-mail, но никогда не станут просить от него ещё и пароль. Если вы ещё никогда не обсуждали вопросы информационной безопасности, то самое время включить их в повестку. Вместе с IT-отделом и службой безопасности составьте специальную памятку для новичков, а со старичками проведите отдельный митап. Ну и конечно, не забудьте поделиться с коллегами ссылкой на эту статью. Ведь предупреждён — значит вооружён.
Чтобы вовремя предотвращать и другие угрозы, связанные с работой, читайте «Харчо-Журнал». Ставьте 👍 и подписывайтесь на канал!
А вам приходилось сталкиваться с кибермошенниками? Расскажите в комментариях.