Британская компания разослала сотрудникам письма с обещанием бонусов за работу в пандемию — это оказался тест на фишинг Статьи редакции
Профсоюз назвал ситуацию «жестокой шуткой» и потребовал извинений.
Британская железнодорожная компания West Midlands Trains в апреле предложила своим сотрудникам единовременные выплаты в благодарность за работу в пандемию, пишет The New York Times.
Сотрудники получили письмо от бухгалтерии, перешли по ссылке в нём и ввели свои данные для получения бонусов. Но вместо денег получили уведомление, что это был тест на фишинг.
Сообщение о бонусах получили примерно 420 сотрудников, занимающих руководящие должности, рассказали изданию в компании. Сколько из них нажали на ссылку, NYT не уточняет. В профсоюзе уточняют, что всего письмо пришло 2500 сотрудников.
Профсоюз компании назвал тест «шокирующей и циничной шуткой» и потребовал извинений. Его представитель Мануэль Кортес заявил, что во время пандемии Covid-19 заразились многие сотрудники, а один умер, поэтому «невозможно поверить, что компания солгала, пообещав помощь».
По мнению профессора кибербезопасности в Университетском колледже Лондона Стивена Мёрдока, подобные тесты могут навредить отношениям между компанией и сотрудниками. «Люди, которые отвечают за пожарную безопасность, не поджигают здание», — прокомментировал он тесты изданию.
West Midlands Trains — не единственная компания, которая вызвала недовольство сотрудников тестами на фишинг под видом финансовой помощи. Среди них обещавшая по $650 компания GoDaddy и американское издательство Tribune — в 2020 году оно обещало сотрудникам бонусы до $10 тысяч.
По мнению опрошенных изданием экспертов по кибербезопасности, компании должны действовать осторожно, когда проверяют сотрудников. Ложные обещания выплат могут нанести психологические травмы и ослабить безопасность компании — так как сотрудники будут меньше настроены сообщать о подозрительных письмах.
Есть конторы которые именно такими тестами и занимаются. Шлют фишинговые письма со ссылками на подставные сайты. А потом смотрят кто переходил по ссылкам и вводил данные. Кто попался - тому 2 тренинга по безопасности вне очереди.
Естественно письма отправляются с подставных адресов которые маскируются под настоящие, тоже самое со ссылками. В общем минимальная внимательность позволяет понять что это фишинговое письмо. А если добавить чуть-чуть больше смекалки и поискать домен на который ведут ссылки - то станет ясно, что это не настоящий фишинг, а тестовое письмо от инфобеза.
Точно, всё так и делаем
Вы же не с корпоративной почты шлете? Потому что тогда это не тестирование на фиш. Фиш не требует взлома корпоративной почты. Если у хакера уже есть доступ к важной корпоративной почте - компания уже в полной жопе
Вообще есть 7 направлений фишинга (от кого/кому) и связанные с этим ~12000 сценариев. Мы шлем по всем направлениям
Ну ок. Вы первые кто так делает )
Это уже не фиш атака, это комплексная проверка уязвимости на несколько векторов
Наверное да, но это конечно не на скорую руку делается, это ~50 учебных атак в год + обучение тех, кто провалил проверку.
А если надо по-быстренькому проверить навыки, то да, 3 атаки за неделю: откройте вложение, откройте ссылку, введите учетку и готово. Но сотруднику всегда нужно давать шанс, т.е. в каждом сообщении должны быть признаки подделки