В условиях современной цифровой экономики мошенники все чаще прибегают к методам социальной инженерии, выдавая себя за сотрудников компаний-работодателей. Атаки могут быть направлены как на обычных работников, так и на руководителей, с целью кражи денег, получения секретной информации или вовлечения в незаконные действия. Осознание принципов работы таких схем крайне важно для защиты сотрудников и активов компании.
Рассмотрим основные схемы мошенничества.
1. CEO-фрод
Эта схема нацелена на сотрудников, имеющих доступ к финансам компании, таких как бухгалтеры и работники финансового отдела. Мошенник, используя фальшивый адрес электронной почты или взломанный аккаунт в корпоративном мессенджере, выдает себя за высшее руководство. В сообщении содержится срочный запрос на перевод значительной суммы денег на указанный счет под предлогом «конфиденциальной сделки», «проверки со стороны контролирующих органов» или «необходимости срочного завершения контракта». Для увеличения правдоподобия создается атмосфера крайней секретности и давления, чтобы сотрудник не успел проверить информацию.
2. Фишинг под видом HR-отдела или службы безопасности
В этой схеме атаке подвергаются рядовые сотрудники. Злоумышленники рассылают письма или сообщения, маскируясь под отдел кадров, IT-службу или внутреннюю безопасность. Цель – получение учетных данных или персональной информации. Сообщение может содержать:
· Требование «срочно обновить» логин и пароль от корпоративных систем.
· Ссылку на фишинговый сайт, имитирующий внутренний портал компании.
· Просьбу предоставить личные данные (паспорт, ИНН, данные банковской карты) под предлогом «переоформления документов» или «ведомственной проверки».
Для усиления доверия мошенники могут использовать утекшие базы данных, упоминая в письме реальные имена сотрудников и их должности.
3. Вовлечение в нелегальную деятельность под видом трудоустройства
Иногда под маской трудоустройства скрывается попытка втянуть человека в незаконный бизнес. Мошенники могут предлагать работу, связанную с обналичиванием денег, переводом средств по поддельным документам или иной противоправной деятельностью, маскируя это под вакансию «помощника руководителя», «операциониста» или «логиста».
Меры защиты для сотрудников и компаний
Для сотрудников:
· Проверяйте источник запроса. Любое нестандартное распоряжение, особенно связанное с деньгами или данными, требует дополнительной проверки. Позвоните отправителю по известному вам номеру телефона, чтобы устно подтвердить операцию.
· Внимательно анализируйте адрес отправителя. Мошенники часто используют домены, похожие на корпоративные, с незаметными опечатками.
· Не передавайте учетные данные. Никогда и никому не сообщайте свои пароли. Служба безопасности или IT-отдел никогда не запрашивают их по почте или в мессенджере.
· Остерегайтесь срочности. Давление со стороны «руководителя» с требованием немедленно совершить действие – классический признак мошенничества.
Для компаний:
· Внедрение многофакторной аутентификации. Это значительно усложняет для злоумышленников взлом корпоративных учетных записей.
· Проведение регулярных тренингов по кибербезопасности. Сотрудники, особенно в бухгалтерии и HR, должны уметь распознавать фишинговые атаки и знать регламент действий при подозрительных запросах.
· Установка четких финансовых и административных процедур. Все операции с переводами денежных средств или предоставлением конфиденциальной информации должны быть регламентированы и требовать подтверждения по разным, независимым каналам связи.
· Использование почтовых фильтров.
Настройте системы защиты электронной почты для пометки писем, пришедших извне организации, что поможет сотрудникам идентифицировать потенциальную угрозу.
Мошенничество под видом работодателя представляет собой серьезную угрозу, основанную на манипуляции человеческим фактором. Его эффективность напрямую зависит от недостаточной осведомленности сотрудников и отсутствия в компании выстроенных процедур безопасности. Противодействие таким атакам требует комплексного подхода, сочетающего технические меры защиты, регулярное обучение персонала и формирование культуры кибербдительности на всех уровнях организации.
Материл подготовлен при поддержке Минобрнауки России в рамках Десятилетия науки и технологий
