一月是当员工最有可能考虑换工作了一个月,根据Glassdoor的调查。几乎五分之一的求职者引用月份作为目前最流行月份作出的举动,这意味着简历,求职信和参考接触急切地通过社交媒体,电子邮件和公司网站共用。
网络窃贼都急于采取繁忙的招聘季节的优势,也和他们想出了几种方法渗透到企业系统。安全专家提供他们什么需要注意的技巧,以及如何阻止他们。
网络犯罪分子利用LinkedIn等社交媒体网站来绕过公司的防御
LinkedIn等社交网络是根据网络安全公司Cylance成为威胁者的目标,因为他们知道这是一个伟大的方式来绕过公司的防御。LinkedIn通常是不会被阻止通过网络过滤器,使HR部门的自由与潜在应聘者进行交流的场所。
招募者的一些87%使用LinkedIn期间招聘过程审查候选时,根据Jobvite的招聘国进行的调查2016。求职者涌向现场为好,许多人浏览在办公室,从LinkedIn成员的2016年第一季度的45个十亿页面浏览量,根据LinkedIn。
“这些攻击正变得越来越普遍,因为它很容易和便宜,”克里斯·斯蒂芬,在Cylance通道工程师说。“公司已经放置了很多钱在他们的周边安全和购买的产品找到与声誉不佳的网站得分。LinkedIn这两层规避“。
电子邮件扫描是在这些类型的攻击几乎完全规避,斯蒂芬说。大多数专业人士登录LinkedIn使用他们的个人电子邮件地址,而不是通过他们的公司帐户,因此这些电子邮件不会被他们的电子邮件的安全性进行扫描。虽然大多数电子邮件提供商不允许.exe文件附件,黑客仍然可以上传恶意软件感染通过Word文档或PDF,其中专业人士更容易打开简历,他补充道。
“对于LinkedIn,你为他们提供你的简历,这是真的,那将给予(威胁演员)支出的可能性增加了向量,”斯蒂芬说。招聘网站,如怪物的确有考生预填的,而不是安装一个自己的简历,他补充道。
网络盗贼冒充合法LinkedIn的用户也很难被发现。它们往往是能够通过敲击了社会工程学阴谋或共享恶意软件的附件或招聘员工的对话渗透到公司。如果假冒用户的帐户有大量的共享连接,那么员工是不太可能被关注,斯蒂芬说。
克里斯·斯蒂芬,在Cylance通道工程师
当被问及漏洞,LinkedIn发布了书面答复:“越来越多的网络是在寻找新的商业机会的关键一步,最重要的LinkedIn会员可以做些什么来保护自己是只接受来自他们认识的人或请求推荐的联系人。受信任的连接。我们鼓励我们的成员来举报他们认为任何配置文件,消息或帖子是可疑的。我们有我们的帮助中心的许多有用的文章,保持教育的......。我们也有......专业团队的工作很快删除欺诈任何实例活动和防止再次发生的未来“。
高管面临更高的风险
雷克鲁克,在Proofpoint的社交媒体保护的副总裁说,假冒LinkedIn用户带来高管较高的威胁。平均CEO具有930个LinkedIn连接,根据LinkedIn。“我们看到了更多风险,各地假冒用户的品牌冒充值得信赖的贸易伙伴,并深入到该公司一位高管的领导者,”他说。使用过LinkedIn或社交网络帖子或通信对话,假冒用户将包括缩短的链接形式的恶意软件的链接。点击链接可安装在主管的计算机上的软件。
如果执行将被入侵后,黑客将有机会获得也许更重要或敏感的数据和文件系统比他们将不得不只需尝试社会工程的人力资源部门进来,克鲁克说。
大多数协作平台是脆弱的
LinkedIn是不是在网络盗贼的十字线的唯一注重专业知识的社交网络。协作平台和半私人的社交网络如松弛或牛仔旁路全部到位在网络和基础设施层,并提供新的门廊坏演员渗透到公司的企业管制。
“当涉及到的漏洞是 - 这是一个网络安全战略,是脆弱的环节人为因素,”克鲁克说。安全策略和管理需要怎样的人专注于数据,对应电子邮件和使用工具,如LinkedIn和其他人交流,他补充道。
人力资源部门和招聘人员利用时差和牛仔与应聘者沟通,但这些工具也非托管公司没有说进去或出来的数据控制在内部专业服务公司UHY LLP高级经理大卫·金说,审计,风险和控制的做法。
“最大的风险,我与这些类型的服务看到的是......如果你的招聘人员离开原公司,去到另一个,他们把所有的松弛谈话和他们在一起。”
国王提出更大的控制和监督,以解决这个问题。首先,建立禁止在专业工作中使用个人社交媒体账户的书面政策。公司可以以同样的方式还板载临时或兼职招聘人员,他们欢迎全职员工,通过设立公司的电子邮件和社交媒体占了他们。
“如果你入职一个两个招聘周和摩擦是很高,那么费用就会很高,”他说。另一种选择 - 设立公司松弛帐户,并消除兼职员工的个性化。“然而,每次有人叶子,你将不得不重置帐户的凭据,”金补充说。
保护企业系统
企业应该首先确保员工都知道,这些漏洞存在。培训计划,如矛钓鱼运动,是一种有效的第一步,斯蒂芬说。端点安全和应用层软件也可以帮助阻止这些威胁。
私人与公司电子邮件地址
员工经常使用个人电子邮件帐户访问求职网站如LinkedIn在办公室,或列表的私人电子邮件在他们的联系信息,它提供了一个切入点社会工程计划。
“这里有混合的意见,但我们听到越来越多的公司说,使用贵公司的电子邮件地址与绑定到你的社交媒体档案私人电子邮件地址可能是一个更好的安全性最佳实践,”克鲁克说。“您的企业电子邮件应该是不太容易,如果你周围有强大的安全控制,相比于雅虎,Gmail或Hotmail的私人电子邮件的攻击。”
HR部门经常使用第三方招聘与录用的帮助,谁也使用自己的社交媒体账户,他说。在这种情况下,很多企业发放临时企业电子邮件地址的员工,使他们能够提供和去提供用户比较快,他补充道。
这个故事,“那网上求职者可能携带病毒”最初发表CSO 。