Не е тайна за никого, че хакерите стават все по-изобретателни. Този път обект на техните атаки са HR мениджърите и в частност рекрутърите, които съхраняват чувствителна информация. Достъпът до нея хакерите осъществяват, като се представят за кандидати за работа.
„Троянски кон“ се оказват фалшиви автобиографии
Компанията за киберсигурност eSentire наскоро съобщи, че е открила и блокирала опит за подобна атака срещу фирма от сектора на индустриалните услуги. Хакерът се е представил за кандидат за работа в платформа за обяви за работа и е предоставил на HR-а сайт за изтегляне на фалшиви автобиографии. При преминаване към сайта жертвата е била посрещната с бутон „Изтегляне на автобиография“, което е довело до изтегляне на злонамерен Windows Shortcut File (LNK). Навигацията към същия URL адрес дни обаче води до обикновен HTML, без индикации за пренасочване или изтегляне.
Заплахата е свързана със зловреден софтуер „more_eggs“, който според eSentire е създаден, за да „открадне ценни идентификационни данни, включително потребителски имена и пароли за корпоративни банкови сметки, имейл акаунти и акаунти на ИТ администратори“.
Според фирмата за киберсигурност нападателите се представят не само за потенциален кандидат за работа, но и за лице от външна агенция за набиране на таланти, която предлага „подходящ кандидат“.
Хакерите прилагат атаката в момент, когато в компанията-жертва действително има кампания за набиране на таланти
Работодателите все повече се притесняват дали следващото нарушение няма да се дължи на това, че служителите не знаят за заплахата и затова не биха внимавали. По този повод Стю Шюверман, главен изпълнителен директор на KnowBe4, коментира, че е необходимо да се проведе обучение за повишаване на осведомеността на всички HR специалисти и служители, които се занимават с наемане.
„Мениджърите, отговарящи за наемането на служители, трябва внимателно да проверяват кандидатите за работа и предполагаемите автобиографии, особено тези, които идват от съмнителни уебсайтове или контакти по електронна поща. Корпоративните политики за сигурност трябва да регулират начина, по който екипите за набиране на персонал обработват материалите на кандидатите.“
