Кибератаки на сотрудников HR-департаментов участились в первые 9 месяцев 2024 года, по сравнению с аналогичным периодом прошлого года, их стало на 38% больше. Эксперты «Информзащиты» связывают это с тем, что кадровые службы обрабатывают и хранят большой объем конфиденциальных данных.

«HR-департаменты содержат в своих базах множество конфиденциальной информации о сотрудниках: ФИО, адреса, образование, уровни зарплат, номера банковских карт и многое другое. Эта информация крайне ценна для киберпреступников, поскольку она позволяет совершать мошенничества и другие виды преступлений», — отмечает Павел Коваленко, директор Центра противодействия мошенничеству компании «Информзащита».

Фишинг – самый распространенный способ атак на специалистов кадровых служб. По данным «Информзащиты», около 90% атак на HR-департаменты проводятся именно таким способом.

«Работа специалистов HR-департаментов связана с получением электронных писем и сообщений в мессенджерах из неизвестных источников, а также с дальнейшей работой с ними. Например, они регулярно получают таким способом резюме от кандидатов, часть из которых может оказаться подставными. Вместе с загрузкой файла из фишингового письма специалисты скачивают вредоносные программы, например, шпионов или вымогателей», – отмечает Павел Коваленко.

В «Информзащите» указывают, что кража данных через взлом HR-специалистов может стать началом более сложных атак. Так, хакеры могут получить в свое распоряжение персональные данные сотрудников для создания целевых фишинговых атак или же получить доступ к идентификационным данным других специалистов, что может открыть путь к остальным элементам информационной инфраструктуры.

«В последнее время мы все чаще фиксируем схемы, в которых злоумышленники крадут аккаунты топ-менеджеров в мессенджерах или же создают их точные копии. Для убедительности схемы им нужна информация как о самом руководителе, так и о потенциальных жертвах. Всю эту информацию они как раз могут получить атаковав эйчаров», – подчеркивает директор Центра противодействия мошенничеству.

Эксперты интегратора рекомендуют HR-департаментам внедрять дополнительные меры безопасности: использование антифишинговых решений, регулярное обучение сотрудников кибергигиене, а также ограничения доступа к конфиденциальным данным в рамках принципа минимальных привилегий.