Recruiter's Diary

Recruiter's Diary

Pomáhám organizacím najít nové zaměstnance do IT a lidem tu pravou práci. Odjakživa mám blízko k lidem a baví mě nalézat řešení tam, kde jiní tápou.

Podvržené e-maily nejen v náboru a HR

Také jste někdy dostali podivný e-mail, který se tvářil, že byl odeslán Vaší bankou, mobilním operátorem nebo kolegou z jiného oddělení a chtěl po Vás zadat citlivé údaje? Tyto zprávy se bohužel nevyhýbají ani náborářům a HR specalistům. Dnes si řekmene, jak je poznat a nespadnout do pasti.

Hana Kopřivová

postreadingtime

Snad každý z nás se setkal s nějakou formou podvodného jednání v online prostoru. Není divu – s rozšiřujícími se možnostmi při využívání digitálních nástrojů roste také snaha podvodníků o jejich zneužívání. Je proto třeba mít se neustále na pozoru, abychom se nestali obětmi podvodů a nekompromitovali sami sebe, svého zaměstnavatele, či zákazníky a obchodní partnery.

Většina organizací již dnes využívá specializovaná školení pro zaměstnance a učí je podvodné chování rozpoznávat a vhodně na něj reagovat. Takové školení však bývá ale jen jedno z mnoha, jimiž si každý rok lidé musí projít, a jeho obsah se jim tak bohužel často rychle vykouří z hlavy. A pak vzniká problém. Člověk je totiž stále tím nejzranitelnějším článkem v organizaci, přes který se může podvodník dostat nejen k citlivým datům. Obětí se při tom může stát kdokoli, bez ohledu na profesi. Pracujete-li však v oddělení HR, náboru, obchodu, financí, nebo v managementu firem, je vysoce pravděpodobné, že se během své kariéry setkáte nejen s generickými podvodnými e-maily, ale také pokusy o podvod, které jsou „šité na tělo“ přímo vám.

Takto cíleným typem útoku byl i nedávný případ podvržených životopisů obsahujících malware more_eggs, který útočníci záměrně zasílali specificky na hiring manažery. Postupovali při tom vcelku sofistikovaně. Nejprve vylákali od reálných lidí přes profesní síť LinkedIn jejich životopisy pod záminkou pracovní nabídky. Následně tyto soubory obohatili o malware a rozesílali je hiring manažerům v komprimovaném formátu ZIP. Po otevření tohoto souboru došlo k instalaci malware, který umožnil útočníkům skrytě z postižených systémů získávat citlivá data. Útočníci s pomocí výše uvedeného postupu zasáhli několik firem v USA a v Kanadě, včetně jedné personální agentury. Mohli tak zístat citlivá data nejen samotných zaměstnanců firem, ale také jejich zákazníků a obchodních partnerů.

Jak na podobné útoky nenaletět? Obezřetnost se jednoznačně vyplácí, proto když dostanete nějaký podivný e-mail, v prvé řadě si uvědomte, zda poznáváte celou adresu i jméno odesilatele a zda je jakýkoli ve zprávě uvedený požadavek validní a smysluplný. Podvodník se může vydávat za vašeho klienta, zaměstnance, nebo známého, ale zpravidla bude na výsledné zprávě něco v nepořádku – ať už půjde o adresu odesilatele, text, který bude působit jako strojový překlad, nebo neobvyklý požadavek, který bychom od daného odesilatele pravděpodobně nečekali.

Pokud se vám něco na jakékoli e-mailové zprávě nezdá, zachovejte klid, na nic neklikejte a nepodlehněte potřebě okamžitě reagovat, obzvlášť pokud e-mail nese název Urgentní, Faktura po splatnosti (případně Urgent, Overdue invoice) a podobně. V takových případech bývá nejjistější spojit se s osobou podepsanou pod e-mailem s pomocí jiného komunikačního kanálu (optimálně telefonu) a ověřit si, zda e-mail skutečně zaslali. V prostředí organizací navíc může být vhodné kontaktovat s žádostí o pomoc a radu interní IT oddělení.

V každém případě však nepodceňujte osvětu a prevenci. Jako zaměstnanci věnujte pozornost bezpečnostním školením pro uživatele, které vám firma poskytuje. Pokud takové školení u vašeho zaměstnavatele nemáte, může být vhodné mu jeho zavedení navrhnout – může jemu i vám ušetřit nejednu bezesnou noc…

Nedávné články

Kategorie

O mně

Na tomto webu se chci s Vámi podělit o své zkušenosti, nápady a postřehy z praxe, které mohou recruiterům i firmám usnadnit práci. Nebo alespoň nabídnout jiný úhel pohledu.