Dlaczego hackowanie aplikacji webowych jest proste? Zapisz się na darmowe szkolenie od sekuraka.

„Chcę zmienić konto na mojej liście płac” – zobaczcie atak na polskie działy HR

07 czerwca 2022, 10:30 | W biegu | komentarzy 9
Tagi:

Maciej podesłał nam taki zrzut ataku kierowanego na jego firmę:

Trochę kulawy translatorowy język, grubymi nićmi próba podszycia się pod office365 (?)… Ale pewnie trochę mniej świadomych działów HR może się nabrać i przelać pensję na nowe „lewe” konto.

No właśnie, nie ma tutaj żadnego „podejrzanego” załącznika czy linku. Podawane jest po prostu rzekome nowe konto bankowe wybranego pracownika. Tylko to „nowe konto” należy do cyberprzestępców.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Potężna plaga. Pracuje w US i dosłownie ktoś przetłumaczył schemat który wpada u nas. Sender ten sam, zmieniają się jedynie cyfry po office365

    Odpowiedz
    • Filip

      Chwile kminilem o co Ci chodzi – i dalej nie wiem, czy chodzi Ci o urzad skarbowy czy hamburgerownie :)

      Odpowiedz
      • wk

        @Filip

        Przeczytałem automatycznie jako urząd skarbowy… i wydawało mi się bez sensu. Dopiero po Twoim komentarzu zrozumiałem :o

        Odpowiedz
  2. Grzegorz

    U nas w firmie taki numer nie przejdzie, bo wszelkie zmiany dotyczące wypłat musimy regulować za pomocą wewnętrznego druku, bezpośrednio w dziale kadr.

    Odpowiedz
  3. Bartek

    Chwila,
    Przeciez konto bankowe nie jest anonimowe…

    Odpowiedz
    • wk

      @Bartek

      W tego typu przekrętach pieniądze na pierwszym koncie na które trafiają (oczywiście założonym na słupa) są tylko moment – natychmiast są z niego wyprowadzane, różnymi sposobami o których czasem można posłuchać na konferencjach. Nie tak prosto jest za nimi podążyć i namierzyć właściwych przestępców a nie słupy rzucone na pożarcie.

      Odpowiedz
      • Max

        Ale jak przelejesz sobie sam pieniądze z konta na konto to zdarza się blokada i konieczność tłumaczenia, „bo pranie brudnych pieniędzy”. Jak przestępcy przelewają na słupa, to wtedy problemu nie ma;)

        Odpowiedz
  4. wk

    To może doradźmy co powinna zrobić osoba otrzymująca takiego maila, a władna rzeczywiście zmienić konto na które idą przelewy:
    – jeśli otrzymujesz od pracownika/podwykonawcy prośbę mailową o zmianę numeru konta do przelewów,
    1) skontaktuj się z danym pracownikiem innym środkiem kontaktu niż email z którego przysłano prośbę (np osobiście, telefonicznie) i zapytaj, czy taką prośbę wysyłał
    2) pokaż ten mail komuś kto u ciebie w firmie zajmuje się komputerami (administratorowi, „informatykowi”, wynajętemu serwisowi)

    – żeby zapobiec takim rzeczom, możesz też utworzyć procedurę zmieniania numeru konta, wymagającą od pracownika zrobienia tego w specjalniejszy sposób niż wysłanie prośby emailem, najlepiej by był to sposób umożliwiający weryfikację osoby która taką prośbę składa

    ———–

    I tu niestety pomyślałem o tych wszystkich mailach i listach zwykłych, gdzie urzędy miast / gazownie / elektrownie / wodociągi informują swoich abonentów o zmianie numeru konta do rozliczeń. Kto mieczem wojuje od miecza ginie :(

    Odpowiedz
  5. Tomek

    W Polsce nie przejdzie. U nas wszystko ma być na piśmie :)

    Odpowiedz

Odpowiedz