Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Фишинг от имени HR: анкета для самооценки | Блог Касперского
Злоумышленники рассылают от имени HR-отдела приглашение на процедуру самооценки, чтобы выманить корпоративные учетные данные.
В крупных компаниях у рядового сотрудника не так часто спрашивают мнение о его карьерных устремлениях, сферах интересов и достижениях, выходящих за рамки должностных обязанностей. Как правило, это происходит раз в год — при подведении итогов. А многим хочется поделиться своими мыслями с руководством гораздо чаще. Поэтому, когда внезапно в почтовые ящики падает приглашение на внеочередной опрос для самооценки, многие не раздумывая спешат ответить на вопросы. Особенно если в приглашении четко сказано, что процедура обязательная. Этим и решили воспользоваться злоумышленники для очередной кампании целевого фишинга.
Фишинговое письмо с приглашением
Письмо присылается якобы от HR-отдела компании. И снабжено оно весьма проникновенным текстом, описывающим процедуру самооценки сотрудников. О том, что это часть корпоративных усилий по установлению откровенного диалога между сотрудниками и менеджментом, что вся предоставленная информация будет использована для создания подробного отчета, который позволит многое узнать о своих сильных и слабых сторонах и определить направление дальнейшего развития в компании. В общем, достаточно убедительный корпоративный мотивационный спич.
![Письмо сотрудникам с приглашением пройти процедуру самооценки](https://media.kasperskydaily.com/wp-content/uploads/sites/90/2023/09/19181000/hr-selfevaluation-scheme-letter.jpg)
Письмо сотрудникам с приглашением пройти процедуру самооценки
Впрочем, в письме есть несколько достаточно заметных красных флагов, позволяющих понять, что это фишинг. Для начала — это доменное имя в адресе отправителя. Да, он не совпадает с названием организации получателя. И в теории ваш HR-отдел действительно мог воспользоваться услугами неизвестного вам подрядчика. Но почему этим может заниматься Family Eldercare? Даже если вы не знаете, что это некоммерческая организация, цель которой в помощи семьям, заботящимся о пожилых родственниках, название должно насторожить.
Кроме того, в письме написано, что опрос ОБЯЗАТЕЛЕН для ВСЕХ (капслоком) и сдать его нужно До Конца Дня (с заглавных букв). Даже если отбросить нелепую капитализацию, акцентирование внимания на срочности — это всегда повод задуматься, а нет ли тут какого-то подвоха, и уточнить у реальных сотрудников отдела кадров: проводится ли в компании такое исследование.
Фальшивый опросник для самооценки
Дошедших до анкеты ждет некоторое количество вопросов, которые, вероятно, действительно могут иметь какое-то отношение к оценке собственной эффективности в компании. Но реальный смысл всего этого фишингового мероприятия заключается в последних трех вопросах. Дело в том, что в анкете требуется указать адрес электронной почты, аутентифицироваться при помощи своего пароля и дополнительно ввести пароль еще раз для подтверждения.
![Последние три вопроса фейкового опросника](https://media.kasperskydaily.com/wp-content/uploads/sites/90/2023/09/19180915/hr-selfevaluation-scheme-questions.jpg)
Последние три вопроса фейкового опросника
На самом деле это очень хитрый ход. Обычно фишинг такого типа сразу из письма ведет на форму для ввода корпоративных учетных данных на постороннем сайте, а это многих настораживает. Здесь же запрос пароля и адреса (который чаще всего является логином) замаскирован под часть анкеты. При этом анкеты, которая уже почти заполнена. Это изрядно усыпляет бдительность жертвы.
Также обратите внимание на то, как в вопросе написано слово password: две буквы закрыты звездочками. Это делается для обхода автоматических фильтров, настроенных на поиск ключевого слова password.
Как оставаться в безопасности
Для того чтобы сотрудники вашей компании не попадались на уловки злоумышленников, нужно рассказывать им об актуальных трюках (например, пересылая наши посты, рассказывающие о фишинговых уловках). Если вам ближе более системный подход, то имеет смысл организовать регулярные тренинги и проверки, например, при помощи онлайновой платформы для повышения осведомленности о киберугрозах.
Впрочем, в идеале следует оградить сотрудников от большей части фишинга при помощи технических средств: установить защитные решения с антифишинговыми технологиями как на уровне корпоративного почтового шлюза, так и на рабочие устройства, использующиеся для доступа к Интернету.
Источник: Лаборатория Касперского
20.09.2023