一月是当员工最有可能考虑换工作了一个月,根据Glassdoor的调查。几乎五分之一的求职者引用月份作为目前最流行月份作出的举动,这意味着简历,求职信和参考接触急切地通过社交媒体,电子邮件和公司网站共用。
网络窃贼也很想利用招聘旺季,他们想出了几种潜入公司系统的方法。安全专家给出了他们应该注意什么,以及如何阻止它们的建议。
网络罪犯利用LinkedIn和其他社交媒体网站来绕过公司的防御
网络安全公司Cylance称,LinkedIn和其他社交网络正成为威胁行为者的目标,因为他们知道这是绕过公司防御的好方法。LinkedIn通常是一个不会被网络过滤器屏蔽的网站,允许人力资源部门自由地与潜在的求职者沟通。
87%的招聘人员在招聘过程中使用LinkedIn来审查应聘者Jobvite的招聘国家调查2016。求职者涌向现场为好,许多人浏览在办公室,从LinkedIn成员的2016年第一季度的45个十亿页面浏览量,根据LinkedIn。
Cylance公司的渠道工程师克里斯•斯蒂芬(Chris Stephen)表示:“这些攻击正变得越来越普遍,因为它既简单又便宜。”“公司已经放置了很多钱在他们的周边安全和购买的产品找到与声誉不佳的网站得分。LinkedIn这两层规避“。
斯蒂芬说,在这类攻击中,电子邮件扫描几乎完全被绕过。大多数专业人士使用他们的个人电子邮件地址登录领英,而不是通过他们的公司账户,因此这些电子邮件不会被他们的电子邮件安全扫描。他补充说,虽然大多数电子邮件提供商不允许。exe文件附件,但黑客仍然可以通过Word文档或PDF文件上传感染了恶意软件的简历,专业人士更有可能打开这些文件。
斯蒂芬说:“对于LinkedIn来说,你给他们提供的是你的简历,这实际上是增加(威胁行动者)获得报酬可能性的途径。”他补充道,Monster和Indeed这样的求职网站让求职者提前填写简历,而不是附上简历。
伪装成合法LinkedIn用户的网络窃贼也很难被发现。他们经常能够通过与招聘人员或雇员在社交工程阴谋中展开对话,或分享恶意附件,渗透到公司内部。斯蒂芬说,如果假用户的账户有很多共享连接,那么员工就不太可能担心。
克里斯·斯蒂芬,在Cylance通道工程师
当被问及该漏洞时,LinkedIn发表了一份书面回复:“扩大你的网络是发现新商机的关键一步。为了保护自己,LinkedIn用户可以做的最重要的事情就是只接受他们认识的人的请求,或者从一个可信的连接中推荐联系人。我们鼓励会员标记任何他们认为可疑的个人资料、信息或帖子。我们的帮助中心有很多有用的文章来保持教育…我们还有专门的团队,他们会迅速排除任何欺诈行为,防止未来再次发生。”
高管面临更高风险
Proofpoint负责社交媒体保护的副总裁雷•克鲁克(Ray Kruk)表示,虚假的LinkedIn用户对高管构成了更大的威胁。根据LinkedIn的数据,CEO平均有930个LinkedIn联系人。“我们看到了更多风险,各地假冒用户的品牌冒充值得信赖的贸易伙伴,并深入到该公司一位高管的领导者,”他说。使用过LinkedIn或社交网络帖子或通信对话,假冒用户将包括缩短的链接形式的恶意软件的链接。点击链接可安装在主管的计算机上的软件。
如果执行将被入侵后,黑客将有机会获得也许更重要或敏感的数据和文件系统比他们将不得不只需尝试社会工程的人力资源部门进来,克鲁克说。
大多数协作平台都是脆弱的
LinkedIn是不是在网络盗贼的十字线的唯一注重专业知识的社交网络。协作平台和半私人的社交网络如松弛或牛仔旁路全部到位在网络和基础设施层,并提供新的门廊坏演员渗透到公司的企业管制。
Kruk说:“网络安全战略中的人为因素是网络安全的薄弱环节。”他补充说,安全政策和治理需要关注人们如何与数据交互、如何与电子邮件通信以及如何使用LinkedIn等工具。
人力资源部门和招聘人员利用时差和牛仔与应聘者沟通,但这些工具也非托管公司没有说进去或出来的数据控制在内部专业服务公司UHY LLP高级经理大卫·金说,审计,风险和控制的做法。
“最大的风险,我与这些类型的服务看到的是......如果你的招聘人员离开原公司,去到另一个,他们把所有的松弛谈话和他们在一起。”
国王提出更大的控制和监督,以解决这个问题。首先,建立禁止在专业工作中使用个人社交媒体账户的书面政策。公司可以以同样的方式还板载临时或兼职招聘人员,他们欢迎全职员工,通过设立公司的电子邮件和社交媒体占了他们。
他表示:“如果你每周招聘一到两名招聘人员,而且人员流失率很高,那么管理费用也会很高。”另一个选择是建立一个公司的Slack账户,并取消对兼职员工的个性化设置。“然而,每次有人离开时,你都必须重新设置该账户的凭证,”金补充道。
保护企业系统
企业应该首先确保员工都知道,这些漏洞存在。培训计划,如矛钓鱼运动,是一种有效的第一步,斯蒂芬说。端点安全和应用层软件也可以帮助阻止这些威胁。
私人与公司电子邮件地址
员工经常使用个人电子邮件账户在办公室访问LinkedIn这样的求职网站,或者在联系信息中列出他们的私人电子邮件,这为他们提供了一个切入点社会工程方案。
“这里有混合的意见,但我们听到越来越多的公司说,使用贵公司的电子邮件地址与绑定到你的社交媒体档案私人电子邮件地址可能是一个更好的安全性最佳实践,”克鲁克说。“您的企业电子邮件应该是不太容易,如果你周围有强大的安全控制,相比于雅虎,Gmail或Hotmail的私人电子邮件的攻击。”
HR部门经常使用第三方招聘与录用的帮助,谁也使用自己的社交媒体账户,他说。在这种情况下,很多企业发放临时企业电子邮件地址的员工,使他们能够提供和去提供用户比较快,他补充道。
这篇文章,“网上求职者可能携带病毒”最初发表于方案 。