Ловушка для нового сотрудника

Мошенники используют социальную инженерию, чтобы выманивать деньги у сотрудников, недавно присоединившихся к компании.

Как мошенники разводят на деньги новых сотрудников компаний

Первые дни в новой компании всегда забиты всевозможными встречами с командой, тренингами, знакомством с используемыми системами и так далее. Много суеты — и одновременно мало понимания, что происходит. При этом есть и своеобразные ритуалы, которые многие также любят выполнять в первые дни: например, написать в соцсети (чаще в LinkedIn, но нередко и во все доступные) о начале работы на новом месте и в новой должности. Часто компании и сами пишут в своих официальных аккаунтах в соцсетях о том, как они рады приветствовать нового члена команды. На этом-то моменте новоявленный сотрудник и привлекает внимание мошенников.

Как правило, в посте в соцсети написано имя, название компании и должность. Чаще всего этого вполне достаточно, чтобы идентифицировать непосредственного начальника нового сотрудника (пользуясь той же самой соцсетью или просто зайдя на корпоративный сайт). Зная имена, можно вычислить адреса электронной почты. Во-первых, для такого «пробива» существуют специальные сервисы, а во-вторых, зачастую в качестве адреса электронной почты используется просто имя сотрудника или имя плюс фамилия — достаточно просто посмотреть, какую систему используют в компании. Ну а дальше мошенники занимаются социальной инженерией.

Первое поручение — перевести деньги мошенникам

В первые дни новый сотрудник еще плохо ориентируется в происходящем, но при этом, вероятнее всего, хочет показать свое рвение и выглядеть в глазах коллег и начальства молодцом. Такой настрой негативно влияет на внимательность — сотрудник бросается выполнять любые задачи, не обращая достаточного внимания на то, где он их получает, звучат ли они сколько-нибудь разумно и вообще его ли это дело. Сказали делать — он делает. Особенно если распоряжение отдал непосредственный начальник или, например, один из основателей компании.

Мошенники используют это, чтобы обманывать новых сотрудников. Они пишут письмо якобы от лица начальника или одного из видных лиц в компании (но с совершенно «левого» адреса) с вопросом, может ли сотрудник выполнить новую задачу «вот прямо сейчас». Конечно же, сотрудник рад стараться! Новой задачей может оказаться перевод денег некоему исполнителю по контракту или покупка подарочных сертификатов на определенную сумму. Сделать это надо максимально оперативно, деньги начальник обещает вернуть до конца дня. (Мошенники специально упирают на срочность, чтобы сотрудник не успел задуматься или задать кому-то дополнительные вопросы.)

Не проблема! Фигура начальника внушает авторитет, а сотрудник очень хочет быть полезным. Так что у него не возникает вопросов, зачем это нужно делать и почему этим занимается именно он. Жертва спешит перевести деньги по указанным реквизитам, о чем успешно отчитывается «начальству» по тому же адресу электронной почты, с которого получено письмо. Опять же, не обращая внимания на то, что адрес далек от настоящего.

Мошенник при этом продолжает играть роль большого босса: просит документы, подтверждающие транзакцию, а после их получения хвалит сотрудника и обещает переслать документы исполнителю заказа (это добавляет происходящему «легитимности»). Чтобы создать полное ощущение обычного рабочего взаимодействия, злоумышленник даже обещает сказать, если от незадачливого сотрудника понадобится что-то еще.

И только спустя некоторое время сотрудник либо начинает задаваться вопросом, почему эту задачу поручили решать ему, либо обращает внимание на неправильный адрес электронной почты «начальника», либо упоминает эту задачу в разговоре с реальным начальником. И понимает, что перевел деньги мошенникам.

Отягчающие обстоятельства

Как и другие способы обмана, связанные с работой, такая схема набрала обороты в эпоху повсеместной удаленки. В этот период даже небольшие компании начали нанимать персонал по всему свету, так что некоторые новые сотрудники могли быть вообще не только не знакомы с начальником, но и не имели возможности быстро уточнить у кого-то из коллег, насколько адекватным выглядит поручение.

С другой стороны, если начальник и большинство других сотрудников работают в других странах, просьба перевести деньги кому-то, кто находится в том же государстве, что и вы, кажется еще более убедительной. Внутренние банковские переводы всегда проще и быстрее, чем переводы между странами, что придает задаче от мошенников флер нормальности.

Наконец, в небольших компаниях, на которые, судя по всему, обычно и целятся злоумышленники, зачастую принято менее формальное обращение с деньгами, без запросов и финансовых контролеров. Потрать сейчас, потом впиши в расходы — тебе вернут. Это еще один фактор, из-за которого подобные письма от мошенников кажутся более-менее легитимными.

Что делать сотрудникам, чтобы не попасться

Самое главное для сотрудника — не терять головы в попытке быть полезным компании.

  • Стоит внимательно смотреть на адреса, с которых приходят письма или сообщения в мессенджерах. Если адрес вам незнаком — это повод удвоить бдительность.
  • Не надо стесняться спрашивать коллег о том, насколько поступившая просьба нормальна. Если что-то смущает — лучше спросить, чем потом расстраиваться.
  • Если вас что-то смущает в задаче, поступившей якобы от кого-то из компании, можно уточнить детали у этого же человека, используя другой канал связи. Получили задачу купить подарочные сертификаты от начальника по почте? Уточните у него же в мессенджере.

Что делать компаниям, чтобы защитить сотрудников

Самое главное — настроить почтовый сервер компании. Он может добавлять к письмам, приходящим со сторонних адресов, специальную пометку. Например, Google Workspace, который используют многие организации, по умолчанию вешает на такие письма плашку External. А при попытке ответить на такое письмо показывает совсем уж ярко заметное уведомление Be cautious about sharing sensitive information. Такие уведомления здорово помогают сотрудникам понять, взаимодействуют ли они с кем-то из компании или нет. Кроме того, мы рекомендуем:

  • В первый же день провести для сотрудника тренинг по информационной безопасности. На этом тренинге стоит познакомить сотрудника с понятием фишинга (если он вдруг не знаком), а также проинструктировать, какие практики применяются в компании, а какие точно не применяются.
  • Создать памятку по информационной безопасности для новых сотрудников с основными правилами и предостережениями против основных угроз. О том, как составить такую памятку, мы уже рассказывали.
  • Периодически повышать уровень осведомленности сотрудников об актуальных киберугрозах. Например, при помощи специализированных онлайн-платформ.
Советы