Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Фишинг от имени HR: анкета для самооценки | Блог Касперского

Фишинг от имени HR: анкета для самооценки | Блог Касперского

Злоумышленники рассылают от имени HR-отдела приглашение на процедуру самооценки, чтобы выманить корпоративные учетные данные.

В крупных компаниях у рядового сотрудника не так часто спрашивают мнение о его карьерных устремлениях, сферах интересов и достижениях, выходящих за рамки должностных обязанностей. Как правило, это происходит раз в год — при подведении итогов. А многим хочется поделиться своими мыслями с руководством гораздо чаще. Поэтому, когда внезапно в почтовые ящики падает приглашение на внеочередной опрос для самооценки, многие не раздумывая спешат ответить на вопросы. Особенно если в приглашении четко сказано, что процедура обязательная. Этим и решили воспользоваться злоумышленники для очередной кампании целевого фишинга.

Фишинговое письмо с приглашением

Письмо присылается якобы от HR-отдела компании. И снабжено оно весьма проникновенным текстом, описывающим процедуру самооценки сотрудников. О том, что это часть корпоративных усилий по установлению откровенного диалога между сотрудниками и менеджментом, что вся предоставленная информация будет использована для создания подробного отчета, который позволит многое узнать о своих сильных и слабых сторонах и определить направление дальнейшего развития в компании. В общем, достаточно убедительный корпоративный мотивационный спич.

Письмо сотрудникам с приглашением пройти процедуру самооценки

Письмо сотрудникам с приглашением пройти процедуру самооценки

Впрочем, в письме есть несколько достаточно заметных красных флагов, позволяющих понять, что это фишинг. Для начала — это доменное имя в адресе отправителя. Да, он не совпадает с названием организации получателя. И в теории ваш HR-отдел действительно мог воспользоваться услугами неизвестного вам подрядчика. Но почему этим может заниматься Family Eldercare? Даже если вы не знаете, что это некоммерческая организация, цель которой в помощи семьям, заботящимся о пожилых родственниках, название должно насторожить.

Кроме того, в письме написано, что опрос ОБЯЗАТЕЛЕН для ВСЕХ (капслоком) и сдать его нужно До Конца Дня (с заглавных букв). Даже если отбросить нелепую капитализацию, акцентирование внимания на срочности — это всегда повод задуматься, а нет ли тут какого-то подвоха, и уточнить у реальных сотрудников отдела кадров: проводится ли в компании такое исследование.

Фальшивый опросник для самооценки

Дошедших до анкеты ждет некоторое количество вопросов, которые, вероятно, действительно могут иметь какое-то отношение к оценке собственной эффективности в компании. Но реальный смысл всего этого фишингового мероприятия заключается в последних трех вопросах. Дело в том, что в анкете требуется указать адрес электронной почты, аутентифицироваться при помощи своего пароля и дополнительно ввести пароль еще раз для подтверждения.

Последние три вопроса фейкового опросника

Последние три вопроса фейкового опросника

На самом деле это очень хитрый ход. Обычно фишинг такого типа сразу из письма ведет на форму для ввода корпоративных учетных данных на постороннем сайте, а это многих настораживает. Здесь же запрос пароля и адреса (который чаще всего является логином) замаскирован под часть анкеты. При этом анкеты, которая уже почти заполнена. Это изрядно усыпляет бдительность жертвы.

Также обратите внимание на то, как в вопросе написано слово password: две буквы закрыты звездочками. Это делается для обхода автоматических фильтров, настроенных на поиск ключевого слова password.

Как оставаться в безопасности

Для того чтобы сотрудники вашей компании не попадались на уловки злоумышленников, нужно рассказывать им об актуальных трюках (например, пересылая наши посты, рассказывающие о фишинговых уловках). Если вам ближе более системный подход, то имеет смысл организовать регулярные тренинги и проверки, например, при помощи онлайновой платформы для повышения осведомленности о киберугрозах.

Впрочем, в идеале следует оградить сотрудников от большей части фишинга при помощи технических средств: установить защитные решения с антифишинговыми технологиями как на уровне корпоративного почтового шлюза, так и на рабочие устройства, использующиеся для доступа к Интернету.


Источник: Лаборатория Касперского

20.09.2023