Британская компания разослала сотрудникам письма с обещанием бонусов за работу в пандемию — это оказался тест на фишинг Статьи редакции
Профсоюз назвал ситуацию «жестокой шуткой» и потребовал извинений.
Британская железнодорожная компания West Midlands Trains в апреле предложила своим сотрудникам единовременные выплаты в благодарность за работу в пандемию, пишет The New York Times.
Сотрудники получили письмо от бухгалтерии, перешли по ссылке в нём и ввели свои данные для получения бонусов. Но вместо денег получили уведомление, что это был тест на фишинг.
Сообщение о бонусах получили примерно 420 сотрудников, занимающих руководящие должности, рассказали изданию в компании. Сколько из них нажали на ссылку, NYT не уточняет. В профсоюзе уточняют, что всего письмо пришло 2500 сотрудников.
Профсоюз компании назвал тест «шокирующей и циничной шуткой» и потребовал извинений. Его представитель Мануэль Кортес заявил, что во время пандемии Covid-19 заразились многие сотрудники, а один умер, поэтому «невозможно поверить, что компания солгала, пообещав помощь».
По мнению профессора кибербезопасности в Университетском колледже Лондона Стивена Мёрдока, подобные тесты могут навредить отношениям между компанией и сотрудниками. «Люди, которые отвечают за пожарную безопасность, не поджигают здание», — прокомментировал он тесты изданию.
West Midlands Trains — не единственная компания, которая вызвала недовольство сотрудников тестами на фишинг под видом финансовой помощи. Среди них обещавшая по $650 компания GoDaddy и американское издательство Tribune — в 2020 году оно обещало сотрудникам бонусы до $10 тысяч.
По мнению опрошенных изданием экспертов по кибербезопасности, компании должны действовать осторожно, когда проверяют сотрудников. Ложные обещания выплат могут нанести психологические травмы и ослабить безопасность компании — так как сотрудники будут меньше настроены сообщать о подозрительных письмах.
Ну если прям с корповой почты на рабочий адрес пришло, то возможно я бы тож повелся
Ну а от кого должно прийти сообщение, если это реальная фишинговая атака?
Ну обычно это сberbanc.ru и тд
Адрес отправителя можно поставить не тот с которого реально пришло, это подделывается
Можно подставить, только эмейл клиенты как правило проверяют IP сервера отправителя. И если не получается, то маркируют как спам.
Такие вещи шлются с подставных имэйлов, добавленных в вайтлист в корпоративной почте. Никогда не шлются с самой корпоративной почты .
Потому что в таком случае это легитимное письмо и как бы сотрудники отличили фиш от обычного письма начальства?
Так в этом и состоит проверка сотрудников - они получили письмо вроде как легитимное письмо от начальства компании, перешли по ссылке из письма и ввели свои персональные данные для получения бонусов.
Ключевой момент - сотрудник ввел свои персональные данные на фишинговом сайте и не задумался о том, что все эти данные и так должны быть у начальства.
Это то же самое, когда звонят с подставного номера 900, представляются Сбером и выясняют у вас персональную информацию и смс-коды.
Впервые слышу о таком. Ни одна известная мне компания-конкурент не рассылает фиш со своего корпоративного мэйла. Потому что тестирование на фиш не предусматривает взлом корпоративной почты. Это другой вектор атаки. И уж тем более, если вашу корпоративную почту взломали, вы уже в жопе - злоумышленники могут достать оттуда огромное количество важной приватной информации.
Фишинговые атаки потому и популярны, что не требуют взлома никаких паролей или почт или ещё чего-то. А здесь у них получился какой-то странный микс