Οι απατεώνες χρησιμοποιούν την κοινωνική μηχανική για να στοχεύσουν τους νεοπροσληφθέντες εργαζόμενους.
Οι πρώτες ημέρες σε έναν νέο χώρο εργασίας είναι συνήθως γεμάτες ομαδικές συναντήσεις, εκπαιδεύσεις, συνεδρίες ένταξης του νέου προσωπικού κ.ο.κ. Σε αυτές τις διαδικασίες, ο νέος υπάλληλος μπαίνει έχοντας συχνά περιορισμένη κατανόηση του τι ακριβώς συμβαίνει. Ταυτόχρονα, υπάρχουν ορισμένες «τελετές» στις οποίες επιδίδονται οι εργαζόμενοι τις πρώτες μέρες μετά την πρόσληψή τους – με μια από τις πιο γνωστές να είναι η δημοσίευση στα κοινωνικά μέσα (συνήθως, αλλά όχι αποκλειστικά, στο LinkedIn) για την έναρξη μιας νέας εργασίας. Συχνά, και οι ίδιες οι εταιρείες ανακοινώνουν εκεί πόσο ευτυχείς είναι να καλωσορίσουν ένα νέο μέλος στην ομάδα. Και αυτή είναι η στιγμή που ο νέος εργαζόμενος προσελκύει την προσοχή των απατεώνων.
Κατά κανόνα, αυτές οι δημοσιεύσεις στα μέσα κοινωνικής δικτύωσης, πληροφορούν για τα ονόματα τόσο του εργαζόμενου όσο και της εταιρείας, καθώς και τον τίτλο εργασίας. Αυτό συνήθως αρκεί για να αναγνωρίσει κάποιος τον manager του νέο-προσληφθέν ατόμου (μέσω του ίδιου κοινωνικού δικτύου ή της εταιρικής ιστοσελίδας). Γνωρίζοντας τα ονόματα, ένας απατεώνας μπορεί να βρει ή να μαντέψει τις ηλεκτρονικές διευθύνσεις. Πρώτον, υπάρχουν πολλά εργαλεία αναζήτησης ηλεκτρονικού ταχυδρομείου που μπορούν να βοηθήσουν με αυτό. Δεύτερον, πολλές εταιρείες χρησιμοποιούν απλώς το όνομα ή το όνομα και το επώνυμο του εργαζομένου ως ονόματα χρήστη ηλεκτρονικού ταχυδρομείου, επομένως το μόνο που χρειάζεται είναι να ελεγχθεί ποιο σύστημα χρησιμοποιείται για να μπορέσει να βρει την ηλεκτρονική διεύθυνση. Και αφού ο απατεώνας βρει το σωστό e-mail, τότε αρχίζει η κοινωνική μηχανική.
Πρώτο task: Μεταφορά χρημάτων σε απατεώνες
Για τις πρώτες ημέρες σε μια νέα θέση εργασίας, ο εργαζόμενος είναι πιθανό να μην είναι αρκετά ενημερωμένος, αλλά θα ήθελε να φανεί ως τέτοιος στα μάτια των συναδέλφων και των ανωτέρων του. Και αυτό μπορεί να μειώσει την επαγρύπνηση του: Εκτελεί βιαστικά κάθε εργασία χωρίς να σταματά να σκέφτεται από πού προέρχεται, αν ακούγεται λογικό ή αν είναι υποχρέωση του. Κάποιος το θέλει να γίνει, άρα και πρέπει να γίνει. Αυτό ισχύει ιδιαίτερα εάν η οδηγία προέρχεται από τον άμεσο προϊστάμενό τους ή ακόμη και από έναν από τους ιδρυτές της εταιρείας.
Οι απατεώνες το εκμεταλλεύονται αυτό για να ξεγελάσουν νέους υπαλλήλους. Στέλνουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου υποτίθεται από τον προϊστάμενο ή κάποιον ανώτερο (αλλά χρησιμοποιώντας μια μη εταιρική ηλεκτρονική διεύθυνση) ζητώντας από τον εργαζόμενο να εκτελέσει μια εργασία “αμέσως”. Με την αμηχανία του πρώτου καιρού, ο νέος εργαζόμενος είναι, φυσικά, πρόθυμος να το εκτελέσει. Το task μπορεί να είναι, για παράδειγμα, η μεταφορά κεφαλαίων σε έναν ανάδοχο ή η αγορά πιστοποιητικού δώρου συγκεκριμένης αξίας. Και το μήνυμα καθιστά σαφές ότι “η ουσία βρίσκεται στην ταχύτητα” και ότι τα χρήματα “θα σας επιστραφούν εώς το τέλος της ημέρας” (φυσικά!). Οι απατεώνες τονίζουν τον επείγοντα χαρακτήρα, ώστε να μην δώσουν χρόνο στον εργαζόμενο να σκεφτεί ή να ελέγξει το μήνυμα με κάποιον άλλο συνεργάτη.
Ο διευθυντής έχει έναν αέρα εξουσίας και ο εργαζόμενος θέλει να είναι χρήσιμος. Επομένως, δεν παίρνει χρόνο να θέσει ερωτήματα στη λογική ή γιατί έχει επιλεγεί συγκεκριμένα για την εκτέλεση αυτού του καθήκοντος. Το θύμα μεταφέρει τα χρήματα στον καθορισμένο λογαριασμό χωρίς δισταγμό και το αναφέρει στον “προϊστάμενό” στην ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου — και πάλι δεν έχει εντοπίσει ότι το domain όνομα φαίνεται ύποπτο.
Ο απατεώνας συνεχίζει να παίζει το ρόλο του μεγάλου αφεντικού: Ζητά έγγραφα που επιβεβαιώνουν τη συναλλαγή και, αφού τα λάβει, επαινεί τον εργαζόμενο και λέει ότι θα προωθήσει τα έγγραφα στον υπεύθυνο της παραγγελίας (κάτι που προσθέτει μια αίσθηση νομιμότητας). Για να ολοκληρωθεί η αίσθηση μιας κανονικής αλληλεπίδρασης στο χώρο εργασίας, οι επιτιθέμενοι λένε επίσης ότι θα έρθουν ξανά σε επαφή εάν χρειαστεί κάτι περισσότερο από τον εργαζόμενο – θύμα.
Μόνο μετά από κάποιο χρονικό διάστημα ο εργαζόμενος μπορεί είτε να αρχίσει να αναρωτιέται γιατί του ανατέθηκε αυτό το καθήκον, είτε να εντοπίσει την εκτός εταιρείας διεύθυνση ηλεκτρονικού ταχυδρομείου ή να αναφέρει το περιστατικό κατά τη διάρκεια συνομιλίας με τον πραγματικό προϊστάμενό του. Στη συνέχεια, η θλιβερή αλήθεια αποκαλύπτεται: Ήταν απάτη.
Επιβαρυντικές περιστάσεις
Όπως και άλλες απάτες που σχετίζονται με την εργασία, το σύστημα αυτό έχει επωφεληθεί από τη μαζική μετατόπιση προς την εργασία εξ αποστάσεως. Ακόμη και οι μικρές εταιρείες άρχισαν να προσλαμβάνουν από όλο τον κόσμο, γεγονός που σημαίνει ότι ορισμένοι νέοι εργαζόμενοι μπορεί όχι μόνο να μην γνωρίζουν πώς φαίνεται και πώς ακούγεται το αφεντικός τους — αλλά δεν έχουν και τρόπο να αποσαφηνίσουν γρήγορα με έναν συνεργάτη, ακόμη και αν το επιθυμούν, εάν το καθήκον ανήκει στις υποχρεώσεις του επιπέδου τους.
Επιπλέον, εάν ο επόπτης και οι περισσότεροι από τους άλλους υπαλλήλους εργάζονται σε διαφορετικές χώρες, ένα αίτημα μεταφοράς χρημάτων σε κάποιον που βρίσκεται στην περιοχή τους θα μπορούσε να φανεί πολύ εύλογο. Οι εγχώριες τραπεζικές μεταφορές είναι πάντα πιο εύκολες και πιο γρήγορες από τις διεθνείς, γεγονός που προσδίδει ένα πέπλο κανονικότητας στο αίτημα της απάτης.
Τέλος, οι μικρότερες εταιρείες, οι οποίες φαίνεται να αποτελούν κοινούς στόχους, τείνουν να εφαρμόζουν λιγότερο επίσημες διαδικασίες διαχείρισης χρήματος — χωρίς τη συμπλήρωση έντυπων ή τους οικονομικούς ελεγκτές: «Απλώς στείλτε το τώρα, θέστε το στα έξοδά σας και θα το λάβετε ξανά σε λίγο». Αυτός είναι ένας άλλος παράγοντας που νομιμοποιεί την απάτη μέσω ηλεκτρονικού ταχυδρομείου.
Πώς μπορούν να αποφύγουν την παγίδα οι εργαζόμενοι
Το πιο σημαντικό πράγμα για έναν νέο εργαζόμενο είναι να μην χάσει το κεφάλι του προσπαθώντας να φανεί χρήσιμος στην εταιρεία.
Είναι σημαντικό να εξετάσετε προσεκτικά τις ηλεκτρονικές διευθύνσεις από τις οποίες τα μηνύματα φτάνουν μέσω e-mail ή στο Messenger. Εάν σας φαίνεται άγνωστος ο αποστολέας, τότε αυξήστε την επαγρύπνηση σας.
Μην διστάσετε να ρωτήσετε ένα συνάδελφο εάν ένα τέτοιο αίτημα αποτελεί συνήθη πρακτική. Αν κάτι φαίνεται περίεργο, καλύτερα να το ρωτήσετε τώρα παρά να το μετανιώσετε αργότερα.
Εάν φαινομενικά λάβετε ένα ασυνήθιστο αίτημα από το εσωτερικό της εταιρείας, διευκρινίστε τις λεπτομέρειες με τον αποστολέα χρησιμοποιώντας ένα διαφορετικό κανάλι επικοινωνίας. Σας ζητήθηκε να αγοράσετε πιστοποιητικά δώρου από τον προϊστάμενό σας μέσω e-mail; Ελέγξτε τα μαζί του μέσω μίας εφαρμογής Messenger.
Πώς μπορούν οι εταιρείες να προστατεύουν τους εργαζομένους τους
Το πιο σημαντικό πράγμα που μπορεί να κάνει ένας εργοδότης είναι να διαμορφώσει σωστά το διακομιστή αλληλογραφίας της εταιρείας. Μπορεί να ρυθμιστεί ώστε να επισημαίνει μηνύματα ηλεκτρονικού ταχυδρομείου από μη εταιρικές διευθύνσεις. Για παράδειγμα, το Google Workspace, είναι δημοφιλές στις εταιρείες καθώς επισημαίνει μηνύματα ως “Εξωτερικά” από προεπιλογή. Και όταν προσπαθείτε να απαντήσετε σε ένα τέτοιο μήνυμα ηλεκτρονικού ταχυδρομείου, προειδοποιεί σαφώς: “Να είστε προσεκτικοί με την κοινή χρήση ευαίσθητων πληροφοριών”.
Αυτές οι ειδοποιήσεις βοηθούν πραγματικά τους εργαζόμενους να γνωρίζουν αν συνομιλούν με κάποιον εταιρικό συνάδελφο ή όχι. Επιπλέον, συνιστούμε τα εξής:
Να πραγματοποιεί εκπαίδευση των εργαζομένων για την ασφάλεια πληροφοριών την πρώτη κιόλας μέρα τους. Η συνεδρία θα πρέπει να εισάγει την έννοια του phishing (σε περίπτωση που είναι καινούργιο), καθώς και να δίνει οδηγίες για το ποιες πρακτικές χρησιμοποιούνται στην εταιρεία και ποιες σίγουρα όχι.
Να δημιουργήσει έναν οδηγό ασφάλειας πληροφοριών για νέους εργαζόμενους με βασικούς κανόνες και προφυλάξεις έναντι μεγάλων απειλών. Δείτε το post for details σχετικά με το τι πρέπει να συμπεριλάβετε.
Να διεξαγάγει τακτικά εκπαιδεύσεις ενημέρωσης για την ασφάλεια για όλους τους εργαζόμενους. για παράδειγμα, χρησιμοποιώντας το specialized online platform.