針對HR的網絡威脅:原因與防護方法

不分行業,某些職位會較受網絡攻擊「歡迎」,其中一個就是人力資源 (human resources, HR),因為他們的公司電郵地址因為招聘的原因而公開,即是容易找到。

針對HR的網絡威脅

人力資源在公司的位置十分特別,他們會從公司外接收大量郵件,但他們也擁有權限存取個人資料,而這些資料外洩會對公司造成嚴重打擊。

收郵件

網絡罪犯發送含有惡意附件或連結的電郵滲透公司是典型的攻擊方法,所以我們經常提議讀者不要打開可疑電郵附件,或點擊陌生人提供的連結,但在HR的立場而言,因為工作關係以上的方法並不可行。因為他們收到的大部份電郵都是外來陌生人,當中還可能附有履歷表或其他樣本連結,但專家認為有一半都帶有可疑。

此外,履歷表和樣本等檔案有時存取在不常見的格式,例如非常特別的CAD程式檔案,由於工作需要HR員工需要打開和檢視檔案的內容,即使暫時忘記網絡罪犯會更改文件副檔名來隱藏文件的真正格式 (CAD、RAW、DOC還是EXE?),也並非所有程式都是最新版本通過漏洞測試,專家不時在常用的軟件中找到執行隨意編碼的漏洞,例如Microsoft Office。

存取個人資料

大公司可能有專責同事負責與求職者聯絡,與負責內部員工聯絡的人分開,但中小企業通常都有一位HR同事負責所有工作,即是一個人能存取公司擁有的個人資料。因此如果在攻擊者的角度來說,取得HR的電郵信箱控制權可以做很多事情。求職者發送履歷表在某程度上同意公司處理和儲存他們的個人資料,但他們肯定不同意資料落入外人手上,而網絡罪犯可以利用這些資料進行敲詐勒索。

而近年橫行的加密勒索,有個案顯示網絡罪犯可能先盜取受害者公司的資料,再進行勒索,如果惡意程式進入了HR的電腦,攻擊者取得公司的個人資料就如同中大獎一樣。

BEC攻擊的起點

如果員工太容易信人或未受過培訓而犯錯會為公司帶來風險,其中較困難但較有效的商用電郵攻擊 (business e-mail compromise, BEC) 形響甚大,攻擊者取得一名員工的郵箱控制權後,會利用它誘騙同事傳款或轉寄機密資料,為了提高成功機會,網絡罪犯通常瞄準較具說服力的行政人員電郵信箱,HR就是目標之一。

這意味著HR一方面容易打開網絡釣魚電郵或連結,另一方面公司員工容易相信來自HR的電郵,對於BEC攻擊者而言,取得HR的電郵便事半功倍。

防護HR的電腦

為了盡可能降低HR部門電腦遭滲透的可能性,我們建議:

  • 如果可以,把HR的電腦隔離在一個子網絡,減低一旦電腦遭入侵,威脅散播整個公司網絡的機會。
  • 不要把個人資料儲存在workstation,可以存放在另一台伺服器,或儲存在受到多重認證保護的系統內。
  • 優先對HR相關員工進行網絡安全的意識培訓
  • 提醒HR同事留意求職者附件的格式,至少懂得分辨執行檔案及知道不能執行,最理想是在招聘資料上列明接受的檔案類型。
  • IT人員定期為HR的電腦更新軟件,維持嚴格但容易遵守的密碼方針 (內部資源不容許使用簡單或重複使用密碼,定期更改全部密碼),並在每台電腦安裝可靠的保安方案,能對應新威脅或嘗試使用漏洞的軟件。

資料來源:Kaspersky Blog