{"id":4265,"title":"\u041a\u0430\u043a \u043e\u0446\u0438\u0444\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u0435\u043a\u0441\u0443\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u2014 \u043d\u0430 UX\/UI-\u0441\u0442\u0440\u0438\u043c\u0435 \u00ab\u0410\u043b\u044c\u0444\u0430-\u0411\u0430\u043d\u043a\u0430\u00bb","url":"\/redirect?component=advertising&id=4265&url=https:\/\/vc.ru\/promo\/261764-korotko-strim-dlya-ux-ui-issledovateley-i-produktovyh-dizaynerov&hash=f623a23125f37225f64e6616544f0d26ed8f50071c4de3546ddf4ec4da7564de","isPaidAndBannersEnabled":false}
Офлайн
Евгения Евсеева

Британская компания разослала сотрудникам письма с обещанием бонусов за работу в пандемию — это оказался тест на фишинг Статьи редакции

Профсоюз назвал ситуацию «жестокой шуткой» и потребовал извинений.

Британская железнодорожная компания West Midlands Trains в апреле предложила своим сотрудникам единовременные выплаты в благодарность за работу в пандемию, пишет The New York Times.

Сотрудники получили письмо от бухгалтерии, перешли по ссылке в нём и ввели свои данные для получения бонусов. Но вместо денег получили уведомление, что это был тест на фишинг.

Сообщение о бонусах получили примерно 420 сотрудников, занимающих руководящие должности, рассказали изданию в компании. Сколько из них нажали на ссылку, NYT не уточняет. В профсоюзе уточняют, что всего письмо пришло 2500 сотрудников.

Профсоюз компании назвал тест «шокирующей и циничной шуткой» и потребовал извинений. Его представитель Мануэль Кортес заявил, что во время пандемии Covid-19 заразились многие сотрудники, а один умер, поэтому «невозможно поверить, что компания солгала, пообещав помощь».

По мнению профессора кибербезопасности в Университетском колледже Лондона Стивена Мёрдока, подобные тесты могут навредить отношениям между компанией и сотрудниками. «Люди, которые отвечают за пожарную безопасность, не поджигают здание», — прокомментировал он тесты изданию.

West Midlands Trains — не единственная компания, которая вызвала недовольство сотрудников тестами на фишинг под видом финансовой помощи. Среди них обещавшая по $650 компания GoDaddy и американское издательство Tribune — в 2020 году оно обещало сотрудникам бонусы до $10 тысяч.

По мнению опрошенных изданием экспертов по кибербезопасности, компании должны действовать осторожно, когда проверяют сотрудников. Ложные обещания выплат могут нанести психологические травмы и ослабить безопасность компании — так как сотрудники будут меньше настроены сообщать о подозрительных письмах.

{ "author_name": "Евгения Евсеева", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 52, "likes": 17, "favorites": 9, "is_advertisement": false, "subsite_label": "offline", "id": 245629, "is_wide": false, "is_ugc": false, "date": "Thu, 13 May 2021 18:49:09 +0300", "is_special": false }
0
52 комментария
Популярные
По порядку
Написать комментарий...
30

Ну если прям с корповой почты на рабочий адрес пришло, то возможно я бы тож повелся

Ответить
–1

Ну а от кого должно прийти сообщение, если это реальная фишинговая атака?

Ответить
26

Ну обычно это сberbanc.ru и тд

Ответить
3

Адрес отправителя можно поставить не тот с которого реально пришло, это подделывается

Ответить
0

Можно подставить, только эмейл клиенты как правило проверяют IP сервера отправителя. И если не получается, то маркируют как спам.

Ответить
7

Такие вещи шлются с подставных имэйлов, добавленных в вайтлист в корпоративной почте. Никогда не шлются с самой корпоративной почты .
Потому что в таком случае это легитимное письмо и как бы сотрудники отличили фиш от обычного письма начальства?

Ответить
5

Так в этом и состоит проверка сотрудников - они получили письмо вроде как легитимное письмо от начальства компании, перешли по ссылке из письма и ввели свои персональные данные для получения бонусов.
Ключевой момент - сотрудник ввел свои персональные данные на фишинговом сайте и не задумался о том, что все эти данные и так должны быть у начальства.

Это то же самое, когда звонят с подставного номера 900, представляются Сбером и выясняют у вас персональную информацию и смс-коды.

Ответить
3

Впервые слышу о таком. Ни одна известная мне компания-конкурент не рассылает фиш со своего корпоративного мэйла. Потому что тестирование на фиш не предусматривает взлом корпоративной почты. Это другой вектор атаки. И уж тем более, если вашу корпоративную почту взломали, вы уже в жопе - злоумышленники могут достать оттуда огромное количество важной приватной информации.
Фишинговые атаки потому и популярны, что не требуют взлома никаких паролей или почт или ещё чего-то. А здесь у них получился какой-то странный микс

Ответить
0

TSSA has learned that on 21 April WMT sent an email from Managing Director, Julian Edwards to around 2.500 members of staff thanking them for their hard work over the past year.

Ответить
13

То есть их не смутило, что надо вводить какие-то данные для бухгалтерии, которые и так у нее есть? И что выплаты не будут зачислены со следующей зп/просто так?

Ну и
>По мнению опрошенных изданием экспертов по кибербезопасности, компании должны действовать осторожно, когда проверяют сотрудников. Ложные обещания выплат могут нанести психологические травмы

Психологические травмы из-за фишинговых ссылок это неимоверно смешно, конечно

Ответить
10

Человек уже себе новую ps присматривал, а тут такое.....

Ответить
0

Ничего смешного. Я б на месте сотрудников обиделся бы. Уволился, прихватив всю ценную инфу, до которой бы дотянулся. А учитывая, что письма пришли в основном топам, инфы я унес бы немало. Все это, скорее всего, привело бы к психологическим травмам сотрудников службы безопасности. Возможно, и к физическим тоже)

Ответить
0

Получается, если мы за год отправили около 100 000 фишинговых писем, то у психологов сейчас очереди :(

Ответить
15

У меня дежавю. По-моему этой новости уже год)

Ответить

Низкий танк88

12

Миллениалы в руководстве. 

Ответить
7

Я бы сделала вывод на месте работников Насколько руководство не уважает их и начала подыскивать компанию, где к сотрудникам не относятся как к рабам, которым кость бросили под видом еды.
Позор hr’никам, кто такое допустил.

Ответить
5

Сегодня трубопровод выплатил 5 млн долл вымогателям после нескольких дней простоя. Как еще достучаться до пустоголовых?

Ответить
6

Да любой бы повёлся, почта то корпоративная)

Ответить
4

вот так фишинг и работает

Ответить
16

Нафиг тогда корпоративная почта, если даже ей доверять нельзя? Это уже надо безопасников натягивать отвечающих за дыры в почтовом сервере.

Ответить
3

Нельзя так категорично. Дело в том, что email by design позволяет указать отправителем кого угодно. Да, это довольно старый протокол, созданный во времена когда о фишинге не особо думали. С тех пор конечно на него навешали расширений вроде SPF, DKIM и прочих, но не все почтовики пометят подставного отправителя как не прошедшего проверку. Поэтому бдительность должна быть.

Ответить
1

Ну уж  корпоративный почтовик  должен отличать внутреннее письмо от внешнего.

Ответить
0

В идеальном мире - да

Ответить
0

Smtp протокол позволяет слать письмо с одного адреса (Вася Пупкин), а указывать в from что письмо от другого (корпоративного)
Если не лезть в служебные заголовки или если нет дополнительных защит, то это будет выглядеть как оригинальное корпоративное письмо.

Ответить
11

- Почему ты не сделал фичу Х, которую я просил в письме от Y?
- Так я думал, это была фишинговая атака. Внимательным нужно быть в наше время.

Так что ли?

Ответить
1

Норм тема для итальянской забастовки - обрабатывать только те письма, которые продублированы в бумаге с ознакомлением под роспись.

Ответить
0

Задачи должны быть в бэклоге, а не почте.

Ответить
3

Поверьте , кроме программистов есть еще масса других профессий и бизнес-процессов.....
Более того ,   в бэклог то задачи заносят тоже из почты
.

Ответить
0

Вместе со всем спамом и откровенными фотографиями. Извините, опыт )

Ответить
0

Я даже не про автоматическое занесение.
Клиент пишет письмо -  манагер формулирует из него бэклог.

В 90% случаев клиенту банально неудобно ставить и обсуждать задачу иначе.

Ответить
2

Ага, ведь каждая уважающая себя железнодорожная компания уже внедрила Jira для всех сотрудников.

Ответить
0

Это инструмент для разработчиков.

Ответить
2

Где инфа что отправлено именно с корпоративной почты? Я знаю этот бизнес. Там шлются с подставных похожих имэйлов, суть вся именно в этом 

Ответить
0

TSSA has learned that on 21 April WMT sent an email from Managing Director, Julian Edwards to around 2.500 members of staff thanking them for their hard work over the past year.

Ответить
0

Ну, это может означать и что «якобы» от него.
Фишинговые атаки не предусматривают взлом корпоративной почты. Потому что это событие редкое. Фиш атаки потому и популярны что для них не нужно ничего взламывать, просто шлешь с подставной похожей почты письмо. Здесь не фиш атака в чистом виде, здесь херня какая-то, потому что если чел уже получил доступ к корпоративной важной почте - он может очень много чего плохого наделать, и фишинговые письма сотрудникам это далеко не самое плохое 

Ответить
4

... а задержка зарплаты - тест на терпимость. Так и просветления недолго достичь.

Ответить
4

Шутка отличная, но чего они этим добились-то? Только сотрудников против себя настроили.

Ответить
2

Есть конторы которые именно такими тестами и занимаются. Шлют фишинговые письма со ссылками на подставные сайты. А потом смотрят кто переходил по ссылкам и вводил данные. Кто попался - тому 2 тренинга по безопасности вне очереди.

Естественно письма отправляются с подставных адресов которые маскируются под настоящие, тоже самое со ссылками. В общем минимальная внимательность позволяет понять что это фишинговое письмо. А если добавить чуть-чуть больше смекалки и поискать домен на который ведут ссылки - то станет ясно, что это не настоящий фишинг, а тестовое письмо от инфобеза.

Ответить
0

Точно, всё так и делаем

Ответить
2

Вы же не с корпоративной почты шлете? Потому что тогда это не тестирование на фиш. Фиш не требует взлома корпоративной почты. Если у хакера уже есть доступ к важной корпоративной почте - компания уже в полной жопе 

Ответить
0

Вообще есть 7 направлений фишинга (от кого/кому) и связанные с этим ~12000 сценариев. Мы шлем по всем направлениям

Ответить
0

Ну ок. Вы первые кто так делает ) 
Это уже не фиш атака, это комплексная проверка уязвимости на несколько векторов

Ответить
0

Наверное да, но это конечно не на скорую руку делается, это ~50 учебных атак в год + обучение тех, кто провалил проверку.
А если надо по-быстренькому проверить навыки, то да, 3 атаки за неделю: откройте вложение, откройте ссылку, введите учетку и готово. Но сотруднику всегда нужно давать шанс, т.е. в каждом сообщении должны быть признаки подделки

Ответить
2

это ТОП-1 пранк вышедший из под контроля....

Ответить
2

Назвали «шокирующей и циничной шуткой». Ну тогда пусть ждут «русских» хакеров с «шокирующей и циничной реальностью»

Ответить
1

Лол, вообще-то такие тесты - стандартная практика в западных компаниях (даже в РФ). Ничего плохого в них нет, я уверен, что все сотрудники проходили курс анти-фишинга, на котором учат распознавать подозрительные письма и не открывать левые ссылки, даже если они пришли с корпоративной почты

Ответить
1

Приманка слишком циничная, поэтому и шум.

Ответить

Комментарий удален

0

Безопасникам надо было на форме собирать инфу по карте, для начисления бонусов, в том числе и cvv/cvc - смогли бы наглядно объяснить необходимость таких тестов даже самым отсталым сотрудникам.

Ответить
0

Хм, если это тест, то хорошо. У нас такие тренировки проводятся. По крайней мере, в тонусе держат.

Ответить
0

Вот мне интересно. Почему про инвестиции в России всегда пишут в долларах. Объясните, вот реально основатели на страте вложили 50 тыс. долларов, имели доллары на счетах, платили в долларах. Или все же вкладывали рубли а потом посчитали по курсу, сколько это вышло в долларах? Если последнее, то зачем так? 

Ответить
0

Как мне кажется это потому что сегодня 10к рублей и 3 года назад это разные деньги. А 1к баксов он так и останется (по покупательной способности)

Ответить
0

Жестко. Жестоко(

Ответить
Читать все 52 комментария
Как прокачать команду, компанию и экологию: акселератор, который понравился бы Кофи Аннану

Рассказываем о простом и классном проекте, благодаря которому METRO развивает сотрудников и генерирует инициативы по устойчивому развитию.

Что внутри у Алены: разбираем чат-бота по косточкам
Привычки и установки, которые «убивают» вас как профессионала и человека

Правильнее, конечно, было бы перечислять в обратном порядке — человека и профессионала, потому что установки и черты характера первичны, но раз уж мы на профессиональном ресурсе, то будем соблюдать политес… :-)

Основатели южноафриканской криптобиржи Africrypt пропали вместе с биткоинами пользователей на $3,6 млрд Статьи редакции

В апреле они объявили о «взломе» платформы и попросили пользователей не обращаться к юристам.

Власти Москвы обязали отстранять непривившихся сотрудников от работы и анонсировали «сплошные проверки» Статьи редакции

Сотрудников без прививки можно перевести на удалёнку, но они будут учитываться в штате для определения доли привитых.

В Москве до 12 июля разрешили сидеть на летних верандах кафе без предъявления QR-кодов Статьи редакции

Дети смогут ходить в кафе без кодов, если будут вместе со взрослыми.

Статья дополняется
Учимся подглядывать в портфель Баффета и не только

Наверняка каждый инвестор интересовался, куда инвестируют крупные фонды или известные профессионалы: Билл Гейтс, Уоррен Баффет, Джордж Сорос или Рэй Далио. Узнать все это можно и достаточно просто.

Заметил в приложении «Тинькофф» страховку, оформленную на незнакомого человека — все его данные и документы доступны

Зашел сегодня в приложение банка и обнаружил, что у меня продуктах появилась страховка имущества. Оказалось, что она оформлена на неизвестного мне человека.

Умер Джон Макафи, создатель антивируса McAfee — его нашли мёртвым в тюремной камере Статьи редакции

По предварительным данным, он совершил самоубийство.

У Timepad появился раздел «сервисы»: кому и зачем это нужно

Timepad обновляется. Вслед за сменой бизнес-модели и введением подписного формата работы с организаторами мы улучшаем внутренний функционал платформы. Цель последнего изменения — легкость работы по созданию событий на Timepad. Мы постоянно кастомизируем и улучшаем наши сервисы и продукты для того, чтобы организаторы получали новые опыты и…

Два месяца без UGC контента. Что стало с Зайцами?

Как мы уже сообщали ранее, два месяца назад мы приняли решение удалить UGC контент с нашего сайта и приложений.

Комментарии
null