Penipuan Laporan Sumber Manusia

Penjenayah siber terus mengeksploitasi tema berkaitan tempat kerja kerana pekerja secara naluri mempercayai apa sahaja yang kelihatan datang daripada jabatan dalaman. Penipuan Laporan Sumber Manusia adalah contoh utama taktik ini. Walaupun mesej kelihatan profesional dan rutin, ia sepenuhnya palsu dan direka untuk mendapatkan maklumat sensitif. E-mel ini tidak berkaitan dengan mana-mana organisasi, syarikat atau penyedia perkhidmatan yang sah, walaupun kelihatan berkaitan dengan perniagaan.

Mesej Menipu yang Disamarkan sebagai Kemas Kini HR

E-mel palsu itu mendakwa penerima mempunyai akses kepada laporan bulanan baharu daripada jabatan HR mereka. Menurut mesej tersebut, 'laporan' ini kononnya merangkumi penilaian prestasi, ringkasan aktiviti, gambaran keseluruhan cuti dan juga senarai promosi akan datang. Butiran ini dipilih secara strategik, ia kelihatan boleh dipercayai dan berkemungkinan mendorong penerima untuk mengklik tanpa teragak-agak.

Pada hakikatnya, mesej itu tidak ada kaitan dengan majikan penerima, dan laporan itu tidak wujud. Tujuan utamanya adalah untuk menarik pengguna ke arah portal pancingan data yang direka untuk mencuri kelayakan log masuk e-mel.

Portal Laporan Palsu

Pautan yang dibenamkan dalam e-mel tersebut mengarahkan mangsa ke halaman pancingan data yang meniru gerbang dokumen Microsoft Excel. Daripada memuatkan fail sebenar, halaman tersebut akan meminta pelawat untuk mengesahkan identiti mereka menggunakan alamat e-mel dan kata laluan mereka. Semua yang ditaip ke dalam borang ini akan dirakam secara senyap dan dihantar kepada penyerang.

Oleh kerana akaun perniagaan sering menyediakan akses kepada sistem korporat, pemacu kongsi dan platform awan, kelayakan ini sangat berharga kepada penipu.

Bagaimana Akaun yang Dicuri Dieksploitasi

Sebaik sahaja penjenayah siber mendapat akses kepada akaun e-mel, kerosakan boleh meningkat dengan cepat. Peti masuk yang digodam bertindak sebagai pintu masuk ke pelbagai platform yang berkaitan dan mungkin mendedahkan data peribadi atau korporat yang sensitif. Penyerang kerap cuba bergerak secara mendatar di dalam organisasi dengan menggunakan akaun yang digodam sebagai tempat berpijak, kadangkala menggunakan perisian hasad atau ransomware.

Berikut adalah beberapa penyalahgunaan paling biasa yang berkaitan dengan kelayakan e-mel yang dicuri:

• Kemasukan tanpa kebenaran ke dalam akaun yang dipautkan, seperti alat kolaborasi, storan awan, perkhidmatan pesanan atau platform kewangan
• Jangkitan rangkaian perniagaan dengan trojan, ransomware dan malware lain
• Menyamar sebagai mangsa untuk meminta wang, pinjaman atau derma
• Mengedarkan fail atau pautan berniat jahat kepada kenalan
• Membuat pembelian atau transaksi palsu menggunakan akaun berkaitan kewangan yang dikompromi

Mangsa sering menghadapi pelanggaran privasi yang teruk, kerugian kewangan yang ketara, gangguan perkhidmatan dan juga kecurian identiti.

Mengapa Penipuan Ini Berkesan

Pancingan data bertemakan tempat kerja berjaya kerana ramai pekerja sudah biasa menerima kemas kini HR dan dokumen dalaman. Penyerang bergantung pada tabiat digital rutin dan andaian bahawa komunikasi dalaman boleh dipercayai.

Di samping itu, e-mel pancingan data kerap kali disertakan dengan kempen spam yang lebih luas yang mungkin cuba mengumpul data peribadi, menyebarkan penipuan yang tidak berkaitan atau menghantar perisian hasad. Mesej palsu selalunya mengandungi pautan yang ditanam atau lampiran fail yang direka untuk mencetuskan rantaian jangkitan.

Bagaimana Malspam Menyampaikan Perisian Hasad

Spam berniat jahat kekal sebagai salah satu kaedah paling biasa untuk menyampaikan perisian berbahaya. Penyerang menggunakan pelbagai format fail untuk menyembunyikan muatan mereka:

• Dokumen seperti Microsoft Office, OneNote atau fail PDF
• Arkib seperti ZIP atau RAR, serta fail boleh laku, termasuk EXE atau RUN
• Skrip seperti JavaScript dan format boleh jalan yang serupa

Apabila pengguna membuka salah satu fail ini, pemasangan perisian hasad akan bermula. Sesetengah format memerlukan langkah tambahan, contohnya, fail Office mungkin meminta pengguna untuk mendayakan makro dan fail OneNote selalunya mengandungi objek terbenam yang mengaktifkan muatan apabila diklik.

Apa yang Perlu Dilakukan Jika Anda Telah Memasukkan Kredensial Anda

Sesiapa yang telah memberikan butiran log masuk mereka melalui halaman pancingan data harus segera menetapkan semula kata laluan untuk semua akaun yang mungkin dipautkan ke e-mel yang digodam. Adalah juga penting untuk memaklumkan pasukan sokongan rasmi tentang perkhidmatan yang terjejas supaya mereka dapat membantu mengamankan akaun dan mengenal pasti aktiviti yang tidak dibenarkan.

Kekal Selamat

Memandangkan e-mel yang mengelirukan boleh menjadi sangat meyakinkan, berhati-hati dengan mesej yang tidak dijangka adalah penting. Pengguna harus lebih berhati-hati apabila menerima pemberitahuan yang tidak diminta, terutamanya yang meminta pengesahan kelayakan atau menawarkan akses kepada dokumen yang tidak mereka jangkakan.

Kewaspadaan merentasi e-mel, mesej langsung, SMS dan saluran komunikasi lain merupakan salah satu pertahanan paling berkesan terhadap serangan seperti Penipuan Laporan Sumber Manusia.