Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Estafa de sol·licitud d'autorització del departament de...

Estafa de sol·licitud d'autorització del departament de recursos humans

El Mezo el Phishing, Correu brossa
Traduir a:

Ser prudent a l'hora de revisar els missatges relacionats amb la feina és essencial, sobretot perquè els ciberdelinqüents cada cop suplanten la identitat dels departaments interns per obtenir accés a informació confidencial. Un dels exemples més recents d'aquesta tàctica és l'estafa de sol·licitud d'autorització del departament de recursos humans, una operació de suplantació d'identitat (phishing) dissenyada per robar credencials de comptes i comprometre els sistemes corporatius.

Un missatge enganyós que es fa passar per recursos humans

Els correus electrònics fraudulents examinats pels investigadors de seguretat es presenten com a avisos interns del departament de Recursos Humans d'una empresa. Es presenten com a actualitzacions relacionades amb una fase propera de desenvolupament del personal i afirmen que el destinatari ha de revisar les noves estructures de compensació, les revisions de la política de vacances i els ajustos salarials. L'assumpte sovint s'assembla a "Sol·licitud d'autorització de recursos humans: actualitzacions de polítiques per al 2025", tot i que la redacció exacta varia.

Malgrat el to convincent, totes les afirmacions d'aquests missatges són inventades. Els correus electrònics no estan associats amb l'empresari del destinatari, el departament de recursos humans ni amb cap empresa, organització o proveïdor de serveis legítim. En canvi, serveixen com a esquers dissenyats per empènyer els destinataris cap a pàgines de phishing que imiten portals d'inici de sessió de correu electrònic. Aquests llocs web falsos es creen per capturar contrasenyes i donar als estafadors accés complet als comptes de treball.

Per què els ciberdelinqüents ataquen els comptes de la feina

Obtenir accés al compte d'un empleat és extremadament valuós per als atacants. Les comunicacions empresarials sovint contenen dades confidencials, detalls operatius, registres financers i enllaços d'accés a serveis interns. Un cop els delinqüents obtenen aquestes credencials, poden explotar-les amb finalitats malicioses directes o vendre-les a altres actors amenaçadors.

Riscos creats per comptes compromesos

  • Exposició d'informació empresarial sensible i augment del risc de brots de programari maliciós, incloses infeccions de ransomware o troians
  • Accés no autoritzat a plataformes connectades com ara emmagatzematge al núvol, eines per compartir fitxers, sistemes de gestió de projectes o comptes de xarxes socials corporatives

Amb l'accés correcte, els estafadors poden suplantar la víctima per sol·licitar diners, compartir fitxers maliciosos o difondre contingut fraudulent a col·legues, socis i clients.

Possibles conseqüències d'un atac reeixit

  • Robatori financer, transaccions fraudulentes o mal ús de moneders digitals
  • Frau d'identitat i suplantació d'identitat
  • Impactes a llarg termini sobre la privadesa i possibles violacions de dades corporatives

Tàctiques darrere d'aquests correus electrònics de phishing

Tot i que molta gent espera que el correu brossa estigui ple d'errors evidents, aquestes estafes sovint estan polides i escrites professionalment. Imiten intencionadament el to i la marca corporatius per semblar autèntics. Els atacants distribueixen aquests correus electrònics per promoure diferents formes de frau i per lliurar programari maliciós a través d'adjunts nocius o enllaços incrustats.

Els fitxers maliciosos utilitzats en aquestes campanyes poden incloure programes executables, arxius, documents, fitxers JavaScript o altres formats. Alguns s'activen automàticament en obrir-los, mentre que d'altres requereixen interacció, com ara habilitar macros als fitxers d'Office o fer clic en elements incrustats als documents del OneNote.

Què passa amb les víctimes

Aquells que cauen en l'estafa de sol·licitud d'autorització del departament de recursos humans poden enfrontar-se a una cascada de danys. El robatori de credencials dóna als delinqüents l'oportunitat d'infiltrar-se en xarxes més àmplies, robar dades addicionals i iniciar la implementació de programari maliciós. Els danys resultants sovint inclouen violacions de la privadesa, comprometre el sistema, pèrdues financeres i robatori d'identitat.

Si algú ja ha proporcionat les dades del seu compte, cal actuar immediatament. Es recomana fermament actualitzar les contrasenyes de tots els comptes potencialment afectats i contactar amb els equips d'assistència oficials d'aquests serveis.

Mantenir-se vigilant, fins i tot amb correus electrònics que semblen rutinaris o de font interna, és una de les defenses més efectives contra les amenaces modernes de phishing.

System Messages

The following system messages may be associated with Estafa de sol·licitud d'autorització del departament de recursos humans:

Subject: HR Authorization Request: Policy Updates for 2025

HR Department Authorization Request

Employee Compliance Required

Attention!

Following the recent executive session, we are pleased to announce that the company has officially launched the next phase of staff development initiatives for the end-2025 operational cycle. This phase introduces updates to compensation structures and an enhanced leave/vacation policy, effective from 11/14/2025 8:04:15 a.m..

All active employees are required to review their personalized eligibility and confirm any applicable updates to salary increments and refreshed leave entitlements. Kindly ensure your prompt acknowledgment to avoid any delays in processing these updates.

Note: This authorization requires your review and confirmation. Please use the secure company portal to proceed.

Please use the buttons below to access the secure company portal for your immediate review:

Review Salary Eligibility & Benefits
View 2025 Leave/Vacation Schedule

Alternatively, you can log in to the company portal directly at ******** and navigate to the "HR Updates" section.

If you experience any difficulty accessing these resources or require assistance submitting your preferences, please contact the HR Support Team directly at or extension ********

Kind regards,
Human Resources Department

This email was sent to ******** as part of official company communications.

All Rights Reserved © 2025 ********

Tendència

Més vist

Carregant...