Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Chcę zmienić konto na mojej liście płac” – zobaczcie atak na polskie działy HR
Maciej podesłał nam taki zrzut ataku kierowanego na jego firmę:
Trochę kulawy translatorowy język, grubymi nićmi próba podszycia się pod office365 (?)… Ale pewnie trochę mniej świadomych działów HR może się nabrać i przelać pensję na nowe „lewe” konto.
No właśnie, nie ma tutaj żadnego „podejrzanego” załącznika czy linku. Podawane jest po prostu rzekome nowe konto bankowe wybranego pracownika. Tylko to „nowe konto” należy do cyberprzestępców.
~Michał Sajdak
Potężna plaga. Pracuje w US i dosłownie ktoś przetłumaczył schemat który wpada u nas. Sender ten sam, zmieniają się jedynie cyfry po office365
Chwile kminilem o co Ci chodzi – i dalej nie wiem, czy chodzi Ci o urzad skarbowy czy hamburgerownie :)
@Filip
Przeczytałem automatycznie jako urząd skarbowy… i wydawało mi się bez sensu. Dopiero po Twoim komentarzu zrozumiałem :o
U nas w firmie taki numer nie przejdzie, bo wszelkie zmiany dotyczące wypłat musimy regulować za pomocą wewnętrznego druku, bezpośrednio w dziale kadr.
Chwila,
Przeciez konto bankowe nie jest anonimowe…
@Bartek
W tego typu przekrętach pieniądze na pierwszym koncie na które trafiają (oczywiście założonym na słupa) są tylko moment – natychmiast są z niego wyprowadzane, różnymi sposobami o których czasem można posłuchać na konferencjach. Nie tak prosto jest za nimi podążyć i namierzyć właściwych przestępców a nie słupy rzucone na pożarcie.
Ale jak przelejesz sobie sam pieniądze z konta na konto to zdarza się blokada i konieczność tłumaczenia, „bo pranie brudnych pieniędzy”. Jak przestępcy przelewają na słupa, to wtedy problemu nie ma;)
To może doradźmy co powinna zrobić osoba otrzymująca takiego maila, a władna rzeczywiście zmienić konto na które idą przelewy:
– jeśli otrzymujesz od pracownika/podwykonawcy prośbę mailową o zmianę numeru konta do przelewów,
1) skontaktuj się z danym pracownikiem innym środkiem kontaktu niż email z którego przysłano prośbę (np osobiście, telefonicznie) i zapytaj, czy taką prośbę wysyłał
2) pokaż ten mail komuś kto u ciebie w firmie zajmuje się komputerami (administratorowi, „informatykowi”, wynajętemu serwisowi)
– żeby zapobiec takim rzeczom, możesz też utworzyć procedurę zmieniania numeru konta, wymagającą od pracownika zrobienia tego w specjalniejszy sposób niż wysłanie prośby emailem, najlepiej by był to sposób umożliwiający weryfikację osoby która taką prośbę składa
———–
I tu niestety pomyślałem o tych wszystkich mailach i listach zwykłych, gdzie urzędy miast / gazownie / elektrownie / wodociągi informują swoich abonentów o zmianie numeru konta do rozliczeń. Kto mieczem wojuje od miecza ginie :(
W Polsce nie przejdzie. U nas wszystko ma być na piśmie :)