Юрист Ковалева рассказала, что мошенники заманивают россиян патриотическими мероприятиями

Мошенники стали чаще обманывать сотрудников российских компаний под видом проведения "обязательных корпоративных тестов", рассказала "Газете.Ru" юрист фирмы "Алимирзоев и Трофимов" Влада Ковалева. По ее словам, иногда россиян заманивают патриотическими мероприятиями.

"В отличие от типичных схем, рассчитанных на студентов, здесь применяется более изощренный подход.

Сотрудникам направляют письма или сообщения, имитирующие официальную рассылку от HR-отдела, службы безопасности или государственных структур. Поводом может служить, например, участие в патриотической программе или обновление внутреннего реестра. Сотрудника просят пройти тест по ссылке, ведущей на внешнюю платформу, стилизованную под внутренний портал компании или государственную систему. При переходе ему предлагается ввести данные корпоративного аккаунта, включая логин и пароль, а также загрузить документ, якобы подтверждающий его участие в тестировании. В некоторых случаях ему также предлагают ввести паспортные данные, ИНН под предлогом сверки данных с кадровым отделом", — рассказала юрист.

После этого мошенники получают доступ к почте, внутренним ресурсам и документам компании, что может привести к утечке. Ковалева добавила, что такие действия злоумышленников подпадают под статью о мошенничестве. Если преступники шифруются под государственные структуры и используют их символику, они будут отвечать также по административной статье о незаконном использовании официальной символики.

"Подобные инциденты наносят компаниям материальный и репутационный ущерб. Работодателю необходимо внедрить регулярные очные и дистанционные тренинги по кибербезопасности с обязательной проверкой усвоения.

Обучение должно охватывать методы социальной инженерии, признаки фишинга, алгоритм действий при подозрительных сообщениях. Параллельно требуется ограничить доступ к корпоративным системам, а также установить фильтрацию входящей почты с автоматическим блокированием подозрительных вложений и ссылок. Все запросы, касающиеся сбора персональных данных, должны проходить проверку ИТ-службы, а инициаторы — нести персональную ответственность. Внутренние регламенты должны прямо запрещать использование внешних форм без предварительного одобрения юридического отдела", — заключила она.