Мошенники начали выдавать себя за эйчаров. Как не стать их жертвой?


Предупреждён — значит вооружён

Что произошло?


Эксперты «Лаборатории Касперского» выявили новый способ кражи персональных данных. В том числе тех сведений, которые можно использовать для похищения денег с банковских счетов. Чтобы заполучить нужную информацию, злоумышленники проводят массовую рассылку по корпоративным e-mail-адресам от имени HR-службы.

Сотрудники получают подставное письмо, в котором сказано, что нужно пройти промежуточную аттестацию. В нём приводится ссылка на внешний сайт, где якобы размещён тест. При регистрации требуется ввести логин и пароль от рабочей почты. Чаще всего, это не вызывает подозрений, так как сотрудники думают, что это обязательная процедура, которую курирует HR-отдел. В этот момент злоумышленники и получают доступ к рабочей почте. А там могут храниться как конфиденциальные данные самой компании, так и сведения о клиентах.



Кому стоит опасаться в первую очередь?

Чаще всего, мошенники атакуют банковских служащих. В особенности — сотрудников, непосредственно связанных с обслуживанием клиентов: выдачей кредитов, обслуживанием банковских карт, рассмотрением претензий или предоставлением дистанционного доступа. Они считаются лакомой добычей, так как у них скапливается больше всего персональных данных.



Как уберечь сотрудников от подставных эйчаров?

«Харчо-Журнал» подготовил специальный чек-лист, который поможет проверить, смогут ли злоумышленники вас подставить, обмануть ваших сотрудников и заполучить данные вашей компании и ваших клиентов:

  • Знают ли сотрудники, кто работает в HR-отделе?

    Если у вас небольшая компания и вы в одиночку отвечаете за все HR-функции, то проблем возникнуть не должно. Скорее всего, все вас знают. Но если у вас работают несколько HR-специалистов, а у компании есть отдельные офисы в других городах или даже странах, то это совсем другое дело. Важно вовремя знакомить коллег с новыми эйчарами, а также другими сотрудниками, от которых могут поступать ссылки на сторонние сайты. Иначе злоумышленники смогут запросто выдать себя за новичка сами.

  • Как распространяются обязательные для всех сообщения?

    Желательно, чтобы ваша компания использовала не один, а несколько каналов для внутренних коммуникаций. Так вы сможете предупредить всех в отдельном чате в Telegram или Slack, что на почту вот-вот прилетит ссылка на новый онлайн-тест.

  • Не боятся ли сотрудники задавать вопросы?

    Может показаться, что этот пункт не имеет никакого отношения к делу, но это совсем не так. Важно, чтобы в компании царила дружественная атмосфера, при которой никто не боится уточнять у руководителей и коллег, что и зачем происходит. В токсичной же обстановке все становятся более уязвимыми, так как связи между людьми нарушены, а информация доносится с искажениями либо не передаётся вовсе. Здесь же советуем перепроверить, а знают ли сотрудники к кому обращаться с вопросами. Отчасти это возвращает нас к первому пункту.

  • Владеют ли ваши сотрудники хотя бы минимальной цифровой грамотностью?

    В эпоху цифровизации важно, чтобы все в компании понимали, что можно, а что нельзя делать в интернете, чтобы не стать жертвой кибермошенников. Например, важно донести до сотрудников, что организаторы конференций и создатели HR-сервисов действительно могут запрашивать в качестве логина корпоративный e-mail, но никогда не станут просить от него ещё и пароль. Если вы ещё никогда не обсуждали вопросы информационной безопасности, то самое время включить их в повестку. Вместе с IT-отделом и службой безопасности составьте специальную памятку для новичков, а со старичками проведите отдельный митап. Ну и конечно, не забудьте поделиться с коллегами ссылкой на эту статью. Ведь предупреждён — значит вооружён.

Хотите рассказать, как вы заботитесь об информационной безопасности в офисе? Тогда смело перчите нам. И не забывайте подписываться на рассылку!
Чтобы не потерять наши советы,
просто поделитесь ими с коллегами и друзьями в соцсетях:

Выбор шефа

Выбор шефа

У нас всегда есть добавка: