”Du har två osynliga kandidater för din tjänst. Klicka på denna länk för att se ”
Detta var budskapet som innan sommaren skickades ut till rekryterare i hela Norge, inte från rekryteringssystemet som det skulle se ut som, men från svindlare. Genom att skicka ett SMS med en länk till en falsk rekryteringsportal var målet att få den rekryterande chefen att lämna ifrån sig sina inloggningsuppgifter till den faktiska rekryteringslösningen. Kontaktuppgifterna till rekryterande chefen framgick i jobbannonsen. Inuti systemet hittade de kandidater som hade sökt tjänsterna, och genom att skicka dem en inbjudan till en intervju där de ombads bekräfta med sitt bankID fick bedragaren bankinformation och tillgång till konton.
Målet hos bedragarna är pengar. Ofta försöker de få dig att uppge sina bankuppgifter. Som i detta fall, då kandidater ombads bekräfta inbjudan till intervjun med sitt BankID. För många har BankID blivit ett dagligt sätt att verifiera sin identitet. Men fundera alltid en extra gång innan du verifierar dig med Bank ID. I detta fall handlade det om kandidater som är ivriga att acceptera en intervju får sina konton tömda på nolltid.
Den här typen av angripare är tyvärr väldigt vanligt hos våra banker men de har också bra rutiner och system för att förebygga bedrägerier. I flera fall har bankerna lyckats stoppa överföringarna innan innehållet på lönekontot har blivit kryptovalutor.
En av Vismas styrkor är säkerhet. I sådana här situationer finns det ordnade processer för övervakning och åtgärder för att begränsa och förebygga skador för våra kunder. I det här fallet upptäckte Vismas säkerhetsteam tidigt att det inte bara var Vismas eget rekryteringssystem, Visma EasyCruit, som påverkades, utan att liknande falska inloggningssidor och textmeddelanden påverkade alla större rekryteringssystem i Norge, liksom några andra industrier.
5 tips för ökad säkerhet
- Klicka aldrig på länkar som skickas i SMS eller e-posten, där du inte är säker på avsändaren
- Om du har ett meddelande om att du måste kontrollera något eller logga in, gå alltid till din kända sida för att logga in.
- Använd 2FA eller SSO om du kan, detta ökar graden av säkerhet
- Om du misstänker bedrägeri kontrollera alltid innan du klickar
- Skulle olyckan vara ute, lägg all skam och ditt eget dåliga samvete bort – berätta för IT- och systemleverantören, så kan åtgärder vidtas för att minska skador. Om du har klickat på en länk, säg det! Ju tidigare det meddelas, desto mer sannolikt är det att du kan förhindra att skador uppstår och, om inte annat, minska skadans omfattning.
Dessutom har vi några rekommendationer för företag:
- Ge utbildning till anställda i angrepp mot Smishing Attack
- Bygg en kultur som säkerställer transparens om sådana frågor
- Upprätta en nära dialog med systemleverantören och polisen om olyckan skulle inträffa.