«Лаборатория Касперского» назвали темы фишинговых рассылок, которые часто были направлены на сотрудников компаний в 2023 году. Сообщения злоумышленников в них строятся по похожей схеме. Обычно работнику приходит письмо якобы от HR-отдела, в котором ему сообщают «важную» рабочую информацию: например, об индексации зарплат или предстоящем отпуске. Далее сотрудника могут попросить или перейти по ссылке или сканировать qr-код, затем – ввести свой логин и пароль от корпоративной учётной записи. В итоге злоумышленники могут получить доступ к корпоративной инфраструктуре.
Какие же темы в этом году пользовались популярностью у мошенников?
Планирование отпусков. Сотрудника просят, например, подтвердить запланированный отпуск или наоборот перенести его якобы из-за важного мероприятия либо конфликта с отпуском другого человека.
Информация о зарплате / финансах. В письме говорится, что в ближайшее время, например, планируется индексация зарплат, выплата премий или расчёт налоговых задолженностей за текущий год. Чтобы узнать детали, нужно так же перейти по ссылке.
Оценка работы сотрудников. Человеку предлагают заполнить анкету для оценки его эффективности, а в конце просят указать адрес рабочей электронной почты и пароль.
Требования внутренней безопасности. Сотруднику могут сообщить о нарушении корпоративной политики использования интернет-ресурсов либо, например, о необходимости пройти проверку на выполнение политики безопасности личных устройств при использовании корпоративных ресурсов.
Эксперты предупреждают, что к концу года фишинговые письма подобной тематики могут появляться чаще, ведь вновь актуальными становятся вопросы, связанные с отпусками на предстоящий год, индексацией зарплатами и обучением сотрудников.
«Мошенники стараются использовать темы, которые вызывают у сотрудников максимальный интерес. Они рассчитывают, что люди доверятся письму от HR-отдела, без подозрений перейдут по ссылке и не станут перепроверять информацию. Поэтому сотрудникам важно быть бдительными — особенно в период праздников и отпусков. В первую очередь стоит насторожиться, если вас просят выполнить что-то срочно: это один из основных признаков мошенничества. В этом случае лучше уточнить информацию у коллег напрямую, даже если речь идёт о важном деле», — отмечает Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
Чтобы не стать жертвой мошенников, эксперты «Лаборатории Касперского» рекомендуют:
- сотрудникам — критически относиться к любым электронным письмам: не переходить по подозрительным ссылкам, не сообщать корпоративные или личные данные третьим лицам;
- проверять подлинность электронного адреса, с которого пришло сообщение;
- обращать внимание на ошибки и опечатки, неаккуратную вёрстку письма;
- компаниям — повышать цифровую грамотность сотрудников, обучать их защите от актуальных онлайн-угроз, таких как фишинг. Например, проводить обучение можно с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- использовать надёжное защитное решение для корпоративных устройств, например Kaspersky Security для бизнеса.
