在一些大機構,HR不時會要求員工替交問卷,以收集不同範疇的意見,尤其每年一次的表現評估最為重要,因此不少員工都對這類型的內部溝通欠缺戒心,而有網絡犯罪份子就假借自我評估的問卷,準行最新的針對性網絡釣魚攻擊。
帶有邀請的釣魚電郵
釣魚電郵是以HR之名寄出,內容含有精心製作的員工自我評估步驟的述途,並落力推銷參與問卷能對員工自身有百利而無一害,極具企業演說的風格。不過,當中也有釣魚電郵的蛛絲馬跡,首先依然是送件者的電郵域名,與公司的名字對不上,而且是「Family Eldercare」,即使是外判也不會由家庭養老機構進行,儘管不認識相關機構,但看見名字便應該提高警覺。
另外,電郵提到問卷屬於強制性則,而且需要在限期前完成,即使拋開錯別字與大寫的問題,催促收件者行動是騙徒的常用技倆,單是這個原因便值得停下來三思,不妨花點時間向真的HR部門查證是否真有其事。
假自我評估表格
如果從電郵點擊進入問卷網址,大部份問題都與工作表現有關,但重點是最後三條問題,要求受害者提供電郵地址,並輸入密碼兼要再輸入一次以作決定,此舉能更容易令人掉入陷阱,如果直接要求輸入公司登入憑證,可能會引起受害者的警惕,但在最後才要求電郵地址(很大機會是登入的用戶名稱)及密碼,便很大機會在受害者放鬆警覺而乘虛而入,值得一提是問卷採用了Authentication和Validation去取代Password一字,目的是繞過關鍵字「Password」的自動過濾。
提升整體網絡安全意識
要防止員工掉入網絡釣魚陷阱,便要通知他們騙徒的最新技倆,又或者透過自動化的培訓平台,有系統地進行培訓和檢測,另一方面,最理想是在機構的mail gateway層面以及在所有連接互聯網的工作裝置,部署具備防釣魚技術的保安方案。
資料來源:Kaspersky Blog
