Как мошенники обманывают сотрудников и что с этим делать

Мошенники все чаще используют доверие сотрудников, чтобы получить доступ к конфиденциальной информации о компании или украсть персональные данные человека. Один клик по ссылке — и информация в руках злоумышленников. 

Эйчары могут сыграть важную роль в предотвращении таких ситуаций, обучив сотрудников распознавать угрозы. 

В статье рассказываем, какие популярные схемы мошенничества, направленные на сотрудников компаний, существуют, как они влияют на корпоративную культуру и как выстроить эффективную защиту от атак.

Какие бывают схемы атак

Фишинговая рассылка сотрудникам от имени компании

Фишинг — распространенный метод кибермошенничества. Его цель — получить доступ к конфиденциальным данным. В 2023 году хакеры одной фишинговой атакой взломали 400 компаний в России. 

Как работает схема:

1️⃣ Злоумышленники рассылают поддельные письма. Такие сообщения приходят сотрудникам от имени компании, а иногда с уже взломанных почтовых ящиков партнеров фирмы. В письмах сотрудников просят протестировать новый сервис, обновить учетные данные или подтвердить доступ по ссылке. 

2️⃣ Сотрудник переходит по ссылке и попадает на поддельный сайт компании. Как правило, его дизайн тщательно замаскирован под дизайн официального ресурса. Поэтому сотрудники ничего не подозревают и вводят логины и пароли от корпоративных ресурсов. 

3️⃣ Мошенники получают доступ к корпоративным данным. После ввода логина и пароля злоумышленники могут проникнуть во внутренние системы компании: получить доступ к служебной переписке, конфиденциальным документам или использовать учетную запись для рассылки новых фишинговых писем от имени сотрудника. 

По данным Известий, 45% сотрудников становятся жертвами этого вида мошенничества. Это может происходить из-за привычки доверять корпоративным письмам, недостаточного внимания к проверке отправителей и нехватки знаний о кибербезопасности. 

Эйчарам важно напоминать сотрудникам о рисках и обучать их проверять письма и ссылки перед тем, как взаимодействовать с ними.

Звонки от фейковых руководителей и «компетентных органов»

Злоумышленники представляются топ-менеджерами или официальными представителями госструктур, чтобы заставить жертву выполнить их требования.

Так выглядит типичный сценарий атаки:

1️⃣ Работнику звонит «генеральный директор» или «служба безопасности» компании. Злоумышленник сообщает о срочной проблеме, например о финансовой утечке или угрозе для компании. Обычно разговор проходит в условиях стресса, чтобы жертва не успела проанализировать ситуацию.

2️⃣ Сотрудника переводят на «специалиста» — якобы из банка или службы безопасности. Этот «эксперт» подтверждает серьезность ситуации, создавая впечатление многослойной проверки и усиливая доверие.

3️⃣ Жертву убеждают выполнить определенные действия. Под предлогом защиты компании мошенники просят сотрудника перевести деньги на «безопасный счет» или предоставить доступ к корпоративным финансам. 

Если мошенники понимают, что не смогут через сотрудника получить доступ к счетам компании, они переключаются на личные финансы человека. Например, просят данные банковской карты или убеждают оформить кредит, чтобы «помочь компании» справиться с угрозой. Иногда также требуют установить программы для удаленного доступа, чтобы получить контроль над компьютером жертвы.

Почему у мошенников получается манипулировать доверием:

• В разговоре с жертвой используют эффект срочности: «Ваши данные украдены, нужно немедленно перевести средства на защищенный счет» или «Компания под угрозой, если мы не примем меры в течение часа, последствия будут катастрофическими»
• Требуют конфиденциальности: «Это внутреннее расследование, пожалуйста, никому не говорите об этом» или «Речь идет о безопасности компании, поэтому важно сохранить эту информацию в тайне»
• Апеллируют к авторитету: «Это поручение лично генерального директора» или «Мы действуем по указанию службы безопасности»
• Создают иллюзию компетентности: «Я вижу подозрительную активность на вашем аккаунте» или «Мы отслеживаем финансовые потоки компании и нашли несоответствия»

Эйчарам следует обучать сотрудников распознавать мошеннические приемы и напоминать, что ни одна официальная структура или руководитель не будет требовать срочных действий без возможности перепроверки информации.

Письма с фальшивыми вакансиями от популярных сервисов

Этот вид мошенничества связан с кражей данных сотрудников из баз резюме. Злоумышленники рассылают письма от имени популярных сервисов по поиску работы, предлагая привлекательные вакансии, чтобы выманить у жертв личные данные или деньги.

Как работает схема:

1️⃣ Сотруднику приходит письмо с заманчивым предложением о работе. В нем может упоминаться высокая зарплата, удаленный формат или гибкий график. Письмо выглядит убедительно: используются логотип реального джоб-борда и правильные контактные данные.

2️⃣ Жертву просят создать учетную запись на поддельном сайте. Для регистрации или отклика на вакансию сотрудника направляют по ссылке, ведущей на сайт-клон, внешне неотличимый от оригинала.

3️⃣ Злоумышленники запрашивают личные и платежные данные. После регистрации мошенники находят повод запросить оплату. Например, за «проверку безопасности» или «доступ к контактам работодателя». В результате жертва теряет деньги, передает личные данные или предоставляет злоумышленникам доступ к своим счетам.

Даже если специалисты не делятся желанием сменить работу, им все равно необходимо рассказывать о рисках отклика на фальшивую вакансию и напоминать о признаках мошенничества — подозрительных ссылках, просьбах о предоплате и вводе личных данных.

Как случаи мошенничества влияют на корпоративную культуру

Когда сотрудники становятся жертвами мошенников, это влияет не только на них лично, но и на всю компанию. Например, в организации могут возникнуть сбои в работе корпоративных сервисов — служебной почты, внутренних платформ и уведомлений, что создает серьезные неудобства.

В команде также может пострадать доверие, особенно если мошенники действовали от имени руководства или коллег. Сотрудники могут начать сомневаться в надежности внутренних коммуникаций, что создает напряженность.

Как эйчару выстроить систему защиты сотрудников от киберугроз

Чтобы выстроить надежную систему защиты и создать комфортную рабочую среду, HR-отделу важно действовать системно.

Нанять специалиста по безопасности 

Первый шаг к системной защите — сотрудничество с профессионалом. Эксперт поможет оценить текущие риски, разработать политику безопасности и адаптировать обучающие материалы под специфику компании. 

Специалист по безопасности поможет эйчарам:

• Отследить подозрительные входы в корпоративные аккаунты сотрудников
• Блокировать вредоносные письма
• Настроить двухфакторную аутентификацию для входа в рабочие сервисы

Обучить сотрудников

Регулярные рассылки помогут поддерживать осведомленность работников о киберугрозах. В письмах стоит рассказывать о реальных примерах мошеннических атак и объяснять, как их распознать. 

Чтобы сотрудники знали, как поступать в подозрительной ситуации, важно закрепить понятные алгоритмы. Например, напомните, что при получении неожиданного письма или звонка следует проверять адрес и телефон, консультироваться с IT-отделом или эйчаром и никогда не переходить по сомнительным ссылкам. 

Если данные уже переданы мошенникам, необходимо:

1. Срочно сменить пароль от корпоративной почты или другого скомпрометированного сервиса
2. Уведомить IT-отдел об утечке
3. Проверить финансовые операции — как личные, так и корпоративные, если у сотрудника был доступ к счетам компании

Также важно организовывать тренинги. Например, раз в полгода проводить симуляции фишинговых атак и обучать сотрудников проверке подозрительных ссылок и писем.

Поддерживать атмосферу доверия и стабильности

Надежная защита сотрудников — это часть общей заботы о коллективе. Чтобы поддерживать стабильность и атмосферу доверия:

• Развивайте корпоративную культуру, где ценятся безопасность и вовлеченность
• Упростите систему репортинга, например добавьте кнопку «Сообщить о мошенничестве» в почте
• Предлагайте программы повышения квалификации, включая обучение кибербезопасности
• Включите в пакет бенефитов консультации с психологом 
• Учитывайте мнение сотрудников, их потребности и обратную связь — это укрепляет их доверие к компании

Поможем организовать безопасный рекрутмент

Работа с персональными данными кандидатов требует особой защиты: любая утечка может повлиять не только на репутацию компании, но и на безопасность специалистов. В Хантфлоу мы делаем все, чтобы этого не произошло: ваша база всегда защищена.

Непрерывное резервное копирование, зашифрованные пароли и хранение данных на сертифицированных серверах в России помогут вам сосредоточиться на подборе и не отвлекаться на предупреждение рисков. С системой автоматизации рекрутмента Хантфлоу вы можете быть уверены в безопасности подбора на каждом этапе.

Правдивые результаты компаний, внедривших Хантфлоу:

• Рекрутеры ЭкоНивы-АПК экономят два рабочих часа каждый день
• Dodo Brands автоматизировали работу с резюме и быстрее находят кандидатов
• Рекрутеры PERI закрывают вакансии на треть быстрее

Хантфлоу подходит компаниям и с одним рекрутером, и с несколькими отделами подбора. Сохраняйте резюме в единую базу, пишите кандидатам и назначайте собеседования в популярных видеосервисах, не выходя из системы. Более 20 готовых отчетов помогут найти скрытые проблемы в подборе и оценивать его качество.

Хотите увидеть, как это будет работать на практике в вашей компании? Оставьте заявку, и наш эксперт расскажет, как Хантфлоу поможет ускорить наем даже на сложные позиции ⬇️