HR:為何受到攻擊的總是我?

不論是何種業務類型,有些職業總是比其他職業更容易受到網路攻擊。今天我們重點談一談針對人力資源專員(HR)的網路威脅。他們之所以會成為網路攻擊的目標,最直接的原因是HR的信箱地址常常公佈在公司網站上用於招聘,這也就導致HR的信箱地址很容易被找到。

針對人事部門的網路威脅

人事部門員工所處的位置較為特殊:他們不僅從公司外部收到大量信件,還會訪問大量的個人數據,而這些數據的洩漏會對公司產生重大影響。

收到的郵件

通常,網路犯罪分子會通過向員工發送包含惡意附件或連結的郵件來滲透入公司的安全網路。因此我們始終建議大家不要打開帶有附件的可疑郵件,也不要點擊未知個人發送的連結——但對於人力資源專業人員而言,該建議沒有太大意義。HR們收到的大多數外部電子郵件都很可能來自陌生人,並且許多郵件都會包含簡歷附件(有時還包括作品集和項目樣本)。據推測,這些郵件中至少有一半是可疑的。

此外,以往工作的作品集或樣本有時會以不常見的格式出現,例如高度專業化的CAD程式文件,而出於工作的性質,人事員工會打開並查看此類文件的內容。即使網路犯罪分子有時會通過更改文件擴展名(是CAD文件,還是RAW照片,DOC,EXE?)來掩飾文件的真實目的,但不要忘記並非所有此類程式都已升級到了最新版本,並且不是所有漏洞都已經過了全面的測試。專家經常會發現允許任意代碼執行的安全漏洞,即使對於某些廣泛使用、定期分析的軟體(例如Microsoft Office)也是如此。

個人數據訪問權

大型公司可能會聘請各類專業人員來負責與求職者的溝通以及與現有僱員的工作,而小型企業則很可能只設有一名人力資源代表來處理各類事務。該人員很可能有權訪問該公司所擁有的所有個人數據。

想要發起網路攻擊,不法分子通常從侵入人力資源專業人員的信箱入手。發送簡歷的申請人可能會明確許可或默許公司處理和儲存其個人數據,但他們絕對不會同意將其數據移交給未知的外部人員。網路犯罪分子可以利用訪問此類訊息來進行網路詐騙。
在網路詐騙方面,勒索軟體也是需要考慮的重要方面。在奪取數據所有者的數據訪問權之前,最新的病毒常常會首先竊取它。一旦HR的電腦感染了這類惡意軟體,不法分子便可盜取大量個人數據。
BEC攻擊的立足點

單純指望人們不犯錯是不切實際的。近年來,難度更高但更有效的企業電子郵件詐騙(BEС)已成為主要的攻擊方式。這種類型的攻擊通常旨在奪取員工信箱的控制權,並騙取其同事向其轉移資金或轉發機密訊息。為了確保成功,網路犯罪分子需要劫持那些發出指令他人會遵照執行的人員的郵件帳戶——通常是企業高管人員。在進入實質性詐騙階段前,還有一項困難的任務,那就是找到合適的高級別員工作為詐騙目標。這時人事信箱就成為了非常容易入手的目標。

一方面,如上所述,人事員工更容易打開釣魚郵件或連結。另一方面,公司員工一般會信任來自人事部門的郵件。人事部門會定期將申請人的簡歷發送給各個部門的主管,還會將公司內部文件發送至整個公司。這就使得被劫持的HR郵件帳戶成為了發起BEС攻擊以及隨後對公司網路採取不法行動的有效平台。

如何保護人事部門的電腦

為了最大程度地減少入侵者侵入人事部門電腦的可能性,卡巴斯基有以下建議:

  • 盡可能將HR的電腦隔離在單獨的子網內,以最大程度地減少單獨一台電腦受到攻擊使整個公司網路遭受威脅的可能性;
  • 不要在協作工作站上儲存個人身份訊息,而是將其保存在單獨的伺服器上,或者最好將其保存在為此類訊息定制且受多重身份驗證保護的系統中;
  • 聽取人力資源專業人士關於公司網路安全意識培訓的建議,並將HR員工作為培訓的首要目標;
  • 提醒HR密切注意申請人發送的文件格式。招聘人員應有能力發現可執行文件,並知曉不應運行威脅文件。理想情況下,可共同製定可接受的簡歷及工作樣本文件格式列表,並將這些訊息包含在可信任申請人名單中。

最後,重要的是要遵守基本的安全規範:及時更新HR電腦上的軟體,維持嚴格且易於遵守的密碼規定(比如內部資源不得使用弱密碼或重複密碼,還有定期更新所有密碼),在每台電腦上安裝安全軟體,確保可以對新威脅做出快速響應,並能探測嘗試利用軟體漏洞發起的攻擊。

資料來源: https://mp.weixin.qq.com/s/3p0Wn_m4cUitzeVKt4v4XA

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: