Dette var meldingen som ble sendt ut til rekrutterere over hele Norge, ikke fra rekrutteringssystemet slik det kan se ut som, men fra svindlere med onde hensikter. Ved å sende en SMS med en link til en falsk rekrutteringsportal så lurte de rekrutterende ledere til å oppgi sin innloggingsinformasjon til den faktiske rekrutteringsløsningen. Kontaktinformasjonen til lederen var publisert sammen med stillingsutlysningen.
Inne i systemet fant de frem til kandidater som har søkt på stillingene, og ved å sende dem en invitasjon til intervju hvor de ble bedt om å bekrefte med sin BankID, fikk svindlere tak i bankopplysninger og tilgang til å tømme bankkontoer.
Målet til svindlerne var penger. Ofte forsøker de å få deg til å oppgi sine bankopplysninger. Som i dette tilfellet, hvor kandidater ble bedt om å bekrefte en falsk invitasjon til intervju med sin BankID. Det kan kanskje virke litt rart i ettertid, men BankID har for mange blitt en daglig måte å verifisere sin egen identitet på. Men der man i utgangspunktet ikke skal gjøre en økonomisk transaksjon, bør man være naturlig skeptisk. I dette tilfellet handlet det om kandidater, som ivrige etter å akseptere en invitasjon til et intervju, får sine kontoer tømt.
Denne type angrep er dessverre veldig vanlig hos våre banker, men de har også gode rutiner og systemer for å hindre og forebygge svindel. I flere tilfeller har bankene klart å stoppe overføringene før innholdet i lønnskontoen har blitt til kryptovaluta.
Å tenke sikkerhet først er en naturlig del av hverdagen i Visma. I slike situasjoner finnes gode prosesser for overvåking og tiltak for å begrense og forhindre skade på våre kunder. I dette tilfellet oppdaget Visma sitt sikkerhetsteam tidlig at det ikke bare var Visma sitt rekrutteringssystem, EasyCruit, som ble påvirket, men at lignende falske påloggingssider og tekstmeldinger fantes for alle større rekrutteringssystemer i Norge.
5 tips for økt sikkerhet
- Aldri klikk på linker sendt i SMS eller epost hvor du ikke er trygg på avsenderen
- Gjør det til god rutine å gå via nettleseren ved forespørsler på epost og SMS
- Bruk 2-faktor autentisering eller “single-sign on” om du har mulighet til det, dette øker graden av sikkerhet
- Mistenker du svindel, sjekk alltid før du klikker
- Skulle uhellet være ute, så sett all skam og egen dårlig samvittighet bort – si fra til IT og systemleverandør, så tiltak kan iverksettes for å redusere skade. Har du klikket på en link, så si det! Jo raskere det blir gitt beskjed, jo større sannsynlighet er det for at man kan hindre at skade skjer og om ikke annet, redusere skadeomfanget
I tillegg har vi noen anbefalinger til bedrifter:
- Gi opplæring til de ansatte om smishing og phishing angrep
- Bygg en kultur som sikrer åpenhet om slike saker
- Etabler en tett dialog med systemleverandør og politi om uhellet skulle være ute.
Vi i Visma Talent Solutions tror at de selskapene som investerer i de ansattes profesjonelle utvikling vil skille seg ut mer enn noen gang og være i stand til å tiltrekke seg og beholde sine fremtidige stjerner. Vi ønsker å bane vei for fremtidens arbeid ved å kombinere alle prosesser i talent-økosystemet: tiltrekke, ansette, utvikle og beholde – og gjennom dette få enkeltpersoner til å vokse og øke veksten i selskaper.
Les mer om Visma Talent Solutions her: