Podvod s žádostí o autorizaci personálního oddělení

Při prohlížení pracovních zpráv je nezbytná opatrnost, zejména proto, že kyberzločinci se stále častěji vydávají za interní oddělení, aby získali přístup k citlivým informacím. Jedním z nejnovějších příkladů této taktiky je podvod typu „HR Department Authorization Request Scam“, což je phishingová operace vytvořená za účelem krádeže přihlašovacích údajů k účtům a kompromitace podnikových systémů.

Klamavá zpráva maskovaná jako HR

Podvodné e-maily zkoumané bezpečnostními experty se vydávají za interní oznámení od personálního oddělení společnosti. Jsou prezentovány jako aktualizace související s nadcházející fází rozvoje zaměstnanců a tvrdí, že příjemce musí zkontrolovat nové struktury odměňování, revize zásad dovolené a úpravy platů. Předmět často připomíná „Žádost o autorizaci personálního oddělení: Aktualizace zásad pro rok 2025“, ačkoli přesné znění se liší.

Navzdory přesvědčivému tónu je každé tvrzení v těchto zprávách vykonstruované. E-maily nejsou spojeny se zaměstnavatelem příjemce, jeho personálním oddělením ani s žádnou legitimní společností, organizací či poskytovatelem služeb. Místo toho slouží jako návnady, jejichž cílem je přimět příjemce k phishingovým stránkám, které napodobují přihlašovací portály k e-mailům. Tyto falešné stránky jsou vytvořeny za účelem získávání hesel a udělování podvodníkům plného přístupu k pracovním účtům.

Proč kyberzločinci útočí na pracovní účty

Získání přístupu k účtu zaměstnance je pro útočníky mimořádně cenné. Obchodní komunikace často obsahuje důvěrné údaje, provozní podrobnosti, finanční záznamy a přístupové odkazy k interním službám. Jakmile zločinci tyto přihlašovací údaje získají, mohou je zneužít k přímým škodlivým účelům nebo je prodat jiným aktérům hrozby.

Rizika způsobená napadenými účty

• Zveřejnění citlivých obchodních informací a zvýšené riziko šíření malwaru, včetně ransomwaru nebo trojských koní
• Neoprávněný přístup k připojeným platformám, jako jsou cloudová úložiště, nástroje pro sdílení souborů, systémy pro řízení projektů nebo firemní účty na sociálních sítích

S správným přístupem se podvodníci mohou vydávat za oběť a žádat o peníze, sdílet škodlivé soubory nebo šířit podvodný obsah mezi kolegy, partnery a klienty.

Možné důsledky úspěšného útoku

• Finanční krádeže, podvodné transakce nebo zneužití digitálních peněženek
• Podvod s identitou a předstírání jiné identity
• Dlouhodobé dopady na soukromí a potenciální úniky firemních dat

Taktiky skryté za těmito phishingovými e-maily

Ačkoli mnoho lidí očekává, že spam bude plný zjevných chyb, tyto podvody jsou často propracované a profesionálně napsané. Záměrně napodobují firemní tón a branding, aby vypadaly autenticky. Útočníci distribuují takové e-maily, aby propagovali různé formy podvodů a šířili malware prostřednictvím škodlivých příloh nebo vložených odkazů.

Škodlivé soubory používané v těchto kampaních mohou zahrnovat spustitelné programy, archivy, dokumenty, soubory JavaScriptu nebo jiné formáty. Některé z nich se aktivují automaticky při otevření, zatímco jiné vyžadují interakci, například povolení maker v souborech Office nebo kliknutí na vložené položky v dokumentech OneNote.

Co se stane s oběťmi

Ti, kteří naletí na podvod s žádostí o autorizaci ze strany personálního oddělení, mohou čelit kaskádě škod. Ukradené přihlašovací údaje dávají zločincům možnost infiltrovat širší sítě, ukrást další data a zahájit nasazení malwaru. Mezi výsledné škody často patří narušení soukromí, ohrožení systému, finanční ztráty a krádež identity.

Pokud již někdo poskytl údaje o svém účtu, je nutné okamžitě jednat. Důrazně se doporučuje aktualizovat hesla pro všechny potenciálně dotčené účty a kontaktovat oficiální týmy podpory těchto služeb.

Zachování ostražitosti, a to i u e-mailů, které se zdají být rutinní nebo pocházejí z interních zdrojů, je jednou z nejúčinnějších obran proti moderním phishingovým hrozbám.