Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Ny HR-bedömning Scam e-post – och hur man undviker det

En ny nätfiskebedrägeri gör omgångar inom företag och hotar att avslöja privata och personliga uppgifter om dem som faller offer för den, liksom potentiellt att kosta företag en förmögenhet.

Potentiella offer får ett e-postmeddelande som hävdar att de kommer från företagets HR-avdelning och begär att ett utvärderingsformulär fylls i. I själva verket skickas användarens information, inklusive företagslösenord, direkt till bedragaren.

Påkörningseffekten kan få katastrofala konsekvenser för ett företag. Vi tittar på hur man känner igen och undviker bluffen.

Hur HR-e-postbedrägeriet fungerar

Phishing-e-postmeddelanden är nästan lika gamla som själva internet. Ändå kan du alltid lita på att någon bedragare drömmer om en ny twist på den. Sättet att alla phishing-e-postmeddelanden fungerar är att maskera sig som en officiell kommunikation som faller in i din inkorg. Eftersom e-postmeddelandet verkar komma från en betrodd källa kan mottagaren enkelt klicka på den och vanligtvis visas till en extern webbplats där de ombeds att ange personliga uppgifter som lösenord och bankinformation.

Enligt Kaspersky, som har lyft fram den här nya bluffen, fungerar den här på samma sätt. Men det som är särskilt riskabelt är hur det riktar sig till företagets anställda.

E-postmeddelandet påstås vara från personalresurser eller en liknande avdelning inom företaget och ber användarna skicka in ett utvärderingsformulär. E-postmeddelandet innehåller en länk till det här formuläret, som ska mottagaren klicka på och fylla i, sedan skörda användarnamn och lösenord som bedragare kan använda för att komma åt företagets privata data. De kan också ha tillgång till andra personliga konton om användaren använder samma lösenord för andra webbplatser – vilket är en oroande vanlig metod.

Sidan som e-postmeddelandet länkar till är förvånansvärt nakna ben, som du kan se på skärmtaket nedan. Medan typiska nätfiskelänkar går ur deras sätt att replikera utseendet på en bank- eller sociala mediesajt, vilket speglar dem identiskt, kan det primitiva utseendet på denna företagsportal för backend-stil mycket väl fungera till sin fördel, vilket ökar legitimiteten. eftersom de flesta företagsintranät är relativt grundläggande.

Effekten av att bedragaren får tag på denna information kan vara katastrofal för företaget och individen. Känslig företagsinformation, tillgång till finansiella poster och personliga uppgifter kan mycket väl ge ett stort slag för ett företag, stort som litet. Bedrägeriet kan till och med använda denna information som hävstång i utpressningsförhandlingar eller till och med låsa in interna system.

Ett exempel på nätfiskewebbplatsen, med tillstånd av Kaspersky

Hur man undviker bluffen

Det finns några viktiga sätt att skydda dig från att bli fel på denna bluff:

  • Kontrollera en länk innan du klickar på den – Var uppmärksam när du uppmanas att klicka på en länk. Håll muspekaren över länken och kolla in webbadressen – verkar det vara legitimt? Är det en du känner igen? Om inte, klicka inte på det och rapportera e-postmeddelandet till din IT-avdelning
  • Kontrollera e-postadressen – Dubbelkolla var e-postmeddelandet kommer ifrån. Inte bara namnet på avsändaren, som är lätt att förfalska, utan själva e-postadressen. Har det kommit inifrån företaget?
  • Handla inte för tidigt – Många bedrägerier får oss att fatta ett dåligt beslut genom att pressa oss att agera snabbt. I fallet med denna bedrägeri kommer de flesta anställda att se att de fyller i ett utvärderingsformulär snabbt, och de kanske också tror att det är kopplat till en löneökning, en annan anledning att få det gjort förr än senare. Hoppa inte in. Tänk igenom det först.
  • Använd en lösenordshanterare – Lösenordshanterare kommer ihåg alla dina inloggningsuppgifter och sparar besväret med att jonglera flera lösenord samtidigt. Det finns två nackdelar med detta. För det första kommer du inte att replikera dina lösenord på olika webbplatser och lämna dem alla sårbara, men också när en phisher försöker få dig att logga in på en tvivelaktig webbplats kommer din lösenordshanterare inte automatiskt att fylla i fälten. Detta bör utlösa larmklockor.
  • Investera i programvara för prestationshantering – För att stoppa anställda som faller för misstänkta länkar, ge dem professionell och pålitlig programvara för prestationshantering. Att ha en pålitlig central punkt för sådana uppgifter kommer att göra de anställda mycket mer misstänksamma mot konstiga länkar som de inte känner igen eller HR-portaler som inte ser professionellt ut.
  • Berätta för andra – Förutom att rapportera misstänkta e-postmeddelanden till IT, berätta också för dina kollegor. De kanske inte är så kunniga och kan klicka på en länk innan IT har haft en chans att skicka en varning över hela företaget.
  • Uppdatera din säkerhetsprogramvara – Mer en för företagsägare, men om e-postmeddelanden som denna gör det genom säkerhetssystem, se till att de är uppdaterade och naturligtvis svartlista den ursprungliga e-postadressen.