Измама с доклади за човешки ресурси

Киберпрестъпниците продължават да експлоатират теми, свързани с работното място, защото служителите инстинктивно се доверяват на всичко, което изглежда сякаш идва от вътрешни отдели. Измамата с отчети за човешки ресурси е отличен пример за тази тактика. Въпреки че съобщенията изглеждат професионални и рутинни, те са изцяло измамни и са създадени за събиране на чувствителна информация. Тези имейли не са свързани с никоя легитимна организация, компания или доставчик на услуги, въпреки че изглеждат свързани с бизнеса.

Подвеждащо съобщение, маскирано като актуализация на HR

Измамният имейл твърди, че получателят има достъп до нов месечен отчет от отдела за човешки ресурси. Според съобщението, този „отчет“ уж включва оценки на представянето, обобщения на дейностите, прегледи на отпуските и дори списък с предстоящи повишения. Тези подробности са подбрани стратегически, изглеждат правдоподобни и е вероятно да накарат получателите да кликнат без колебание.

В действителност съобщението няма връзка с работодателя на получателя и докладът не съществува. Единствената му цел е да привлече потребителите към фишинг портал, предназначен да открадне идентификационни данни за вход в имейл.

Порталът за фалшиви доклади

Вградената в имейла връзка насочва жертвите към фишинг страница, имитираща шлюз за документи на Microsoft Excel. Вместо да зарежда истински файл, страницата подканва посетителите да потвърдят самоличността си, използвайки имейл адреса и паролата си. Всичко, въведено в този формуляр, се записва незабелязано и се доставя на нападателите.

Тъй като бизнес акаунтите често предоставят достъп до корпоративни системи, споделени дискове и облачни платформи, тези идентификационни данни са изключително ценни за измамниците.

Как се експлоатират откраднати акаунти

След като киберпрестъпниците получат достъп до имейл акаунт, щетите могат да ескалират бързо. Компрометираната пощенска кутия действа като портал към множество свързани платформи и може да разкрие чувствителни лични или корпоративни данни. Нападателите често се опитват да се придвижат странично в организацията, като използват компрометирания акаунт като опора, понякога внедрявайки зловреден софтуер или ransomware.

По-долу са изброени някои от най-често срещаните злоупотреби, свързани с откраднати имейл идентификационни данни:

• Неоторизиран достъп до свързани акаунти, като например инструменти за сътрудничество, облачно съхранение, услуги за съобщения или финансови платформи
• Заразяване на бизнес мрежи с троянски коне, рансъмуер и друг зловреден софтуер
• Представяне за жертвата с цел искане на пари, заеми или дарения
• Разпространение на злонамерени файлове или връзки към контакти
• Извършване на измамни покупки или транзакции с помощта на компрометирани финансови акаунти

Жертвите често се сблъскват със сериозни нарушения на поверителността, значителни финансови загуби, прекъсвания на услугите и дори кражба на самоличност.

Защо тази измама работи

Фишингът, насочен към работното място, е успешен, защото много служители са свикнали да получават актуализации от отдела за човешки ресурси и вътрешни документи. Нападателите разчитат на рутинни дигитални навици и предположението, че вътрешните комуникации са надеждни.

Освен това, фишинг имейлите често съпътстват по-широки спам кампании, които могат да се опитват да събират лични данни, да разпространяват несвързани измами или да доставят зловреден софтуер. Измамните съобщения често съдържат подхвърлени връзки или прикачени файлове, предназначени да задействат верига от инфекции.

Как Malspam разпространява зловреден софтуер

Злонамереният спам остава един от най-често срещаните методи за доставяне на вреден софтуер. Нападателите използват много файлови формати, за да прикрият полезния си товар:

• Документи като Microsoft Office, OneNote или PDF файлове
• Архиви като ZIP или RAR, както и изпълними файлове, включително EXE или RUN
• Скриптове като JavaScript и подобни изпълними формати

Когато потребител отвори един от тези файлове, започва инсталирането на злонамерен софтуер. Някои формати изискват допълнителна стъпка, например файловете на Office могат да подканят потребителите да активират макроси, а файловете на OneNote често съдържат вградени обекти, които активират полезния товар при щракване.

Какво да направите, ако вече сте въвели вашите идентификационни данни

Всеки, който е предоставил данните си за вход чрез фишинг страницата, трябва незабавно да нулира паролите за всички акаунти, които може да са свързани с компрометирания имейл. Важно е също така да се уведомят официалните екипи за поддръжка на засегнатите услуги, за да могат да помогнат за защитата на акаунта и да идентифицират неоторизирана дейност.

Да останеш в безопасност

Тъй като подвеждащите имейли могат да бъдат много убедителни, е изключително важно да се внимава с неочакваните съобщения. Потребителите трябва да бъдат особено внимателни, когато получават непоискани известия, особено такива, които изискват проверка на идентификационните данни или предлагат достъп до документи, които не са очаквали.

Бдителността по отношение на имейли, директни съобщения, SMS и други комуникационни канали е една от най-ефективните защити срещу атаки като измамата с отчети за човешки ресурси.