Az Ön fizetését is könnyen lenyúlhatják a netes csalók

A kiberbűnözés ezúttal nem közvetlenül a bankszámlákra próbálja rátenni a kezét, hanem inkább az alkalmazottak bérét csapolja meg. Érdemes figyelni, hogy hová megy a fizetésünk.
 

Az FBI IC3 (Internet Complaint Center) központja egy figyelmeztetést adott ki, miszerint az internetes alvilág berkein belül egy újabb tendencia van kibontakozóban. Erre pedig érdemes időben felkészülni, mivel sok kárt okozhatnak az egyre csak szaporodó netes csalások. 

Az nem újdonság, hogy a kiberbűnözés mindenre felfigyel, ahol anyagi haszonra tehet szert. Eddig azonban inkább az volt a jellemző, hogy közvetlenül próbáltak hozzáférni a felhasználók bankszámláihoz. Ehhez felhasználóneveket, jelszavakat lopkodtak. Az FBI szerint azonban az utóbbi időben elszaporodtak azok az online károkozások, amelyek a vállalatok, intézmények által üzemeltetett HR-rendszereket ostromolják. Jelesül azokat a felületeket, amelyeken az alkalmazottak lekérdezhetik, beállíthatják a saját adataikat. Nyilván sok cégnél nincs ilyen webes lehetőség, de ahol van, ott felvetődnek a szóban forgó kockázatok. 

Az FBI szerint egyre több feljelentés, bejelentés érkezik a kiberbiztonsági központjába olyan esetekkel összefüggésben, amelyek a szervezetek alkalmazottjainak fizetését veszélyeztetik. A támadók adathalász módszereket használnak, többnyire célzott akciók során. Olyan elektronikus leveleket küldenek ki a kiszemelt alkalmazottaknak, amelyekben megtévesztő módon arra kérik őket, hogy lépjenek be a HR-portálra. A levélben egy hivatkozás is szerepel, csakhogy az nem az eredeti oldalra mutat, hanem a csalók által összeállított weblapra. Amennyiben itt jelentkezik be a felhasználó, akkor a felhasználóneve, jelszava rögtön az adathalászokhoz kerül, akik ezt követően belépnek az eredeti portálra, és nemes egyszerűséggel lecserélik a dolgozó bankszámlaszámát a sajátjukra. Így amikor a bérrendszerből megtörténik a fizetések utalása, akkor azok a csalók számláira kerülnek. 

Kockázatcsökkentési tanácsok

A fenti támadások ellen a legjobb módszernek az alkalmazottak biztonságtudatossági képzése számít, amelynek részét kell, hogy képezzék az ilyen jellegű csalások elleni óvintézkedések is. El kell mondani a felhasználóknak, hogy ha bérrendszerrel kapcsolatos levelet kapnak, akkor azt kezeljék kellő körültekintéssel, és különösen figyeljenek a levelekben lévő hivatkozásokra. A célzott támadások során ugyanis sokszor az elkövetők nagyon hasonló domain neveket választanak, mint a célkeresztbe állított cégé. Így nem biztos, hogy első ránézésre feltűnik, hogy egy e-mailben lévő link nem oda vezet, ahova kellene. 

Ugyancsak fontos, hogy ha az alkalmazottak gyanús tevékenységet észlelnek, akkor azt rögtön jelezzék a HR/IT osztályok felé, hogy az esetleges támadások méregfogát minél hamarabb ki lehessen húzni. 

A szervezetek a HR-oldalak elleni támadások kockázatát technikai intézkedésekkel is csökkenthetik. Érdemes kétfaktoros hitelesítést bevezetni. Ha pedig egy HR-portál az internet felől is elérhető, akkor tiltani kell azon hitelesítő adatok használatát, amelyek más rendszerekbe is betekintést engedhetnek, vagyis több szolgáltatás esetében is érvényesek.