Hackers mikken op bedrijven die mensen aanwerven
Bedrijven die online hun vacatures hebben openstaan, zijn een groot doelwit voor hackers. Tijdens het aanwerving proces – meestal onder tijdsdruk – zetten bedrijven de deur open voor cyberaanvallen via deze vacatures. Het maakt niet uit of je een ondernemer bent met een klein bedrijf of de HR-directeur van een grote multinational die op zoek is naar de juiste kandidaten.
Omdat de communicatie met mensen waarmee je nooit eerder hebt gecommuniceerd meestal via e-mail of de vacatures website wordt gestart, zijn bijlagen onvermijdelijk. En daarin schuilt het grote risico op hackers. In het geval van kleine bedrijven wordt het probleem nog vergroot omdat er meestal geen informatie beveiliging team betrokken is bij het ontwerp van het hele werving proces en de bijhorende technologie. Hackers zijn zich bewust van deze zwakke positie – en maken daar gretig gebruik van!
Hoe hackers bijlagen infecteren om HR-computers aan te vallen
Hackers uploaden met malware geïnfecteerde cv’s, diploma’s, foto’s van rijbewijzen of sollicitatie brieven naar externe vacaturesites of rechtstreeks naar bedrijven om de computers van HR-personeel aan te vallen.
Ze doen dit via cyberaanvallen waarbij slimme phishing- en social engineering technieken worden gecombineerd om HR-personeel te verleiden schadelijke vacature documenten te openen of te klikken op schadelijke koppelingen in deze documenten.
Wanneer vacature sites automatische kennisgeving e-mails met een bijlage sturen, leveren ze tegelijkertijd schadelijke hacker scripts af die gemakkelijk door de IT-beveiliging kunnen glippen. Als een HR-medewerker of een recruiter die e-mail opent en op de bijlage of een link in die bijlage klikt, wordt een hacker script geïnstalleerd dat van op afstand verbinding maakt met de computer van de hacker die de HR-computer overneemt en onmiddellijk infecteert.
Wat kan HR doen tegen hackers?
HR-professionals moeten betrokken worden bij de gesprekken over cyber beveiliging in bedrijven zodat ze zich bewust zijn van de gevaren op hacking. Ze kunnen samenwerken met de IT-afdeling om de externe communicatie kanalen voor job kandidaten en electronische documenten stroom onder de loep te nemen en beseffen dat ze hiermee een cruciale rol spelen in de cyber veiligheid van het hele bedrijf.
Het is aan HR om ervoor te zorgen dat alle werknemers die met deze vacature documenten omgaan zich volledig bewust zijn van de hacking dreiging, en over de nodige detectie vaardigheden beschikken om adequaat te kunnen reageren. (overigens niet alleen HR-medewerkers maar ook alle andere werknemers dienen voldoende cyber skills te hebben)
Wat kan IT doen tegen hackers?
IT dient ervoor te zorgen dat de technische controles aanwezig zijn om de bezorgdheid over het downloaden van kwaadaardige vacature bijlagen weg te nemen. Bijvoorbeeld door ervoor te zorgen dat alle bijlagen door een virusscanner worden gescand voordat ze worden gedownload. Deze technische controle kan worden geautomatiseerd en zal bekende aanvallen opvangen, op voorwaarde dat de virusscanner up-to-date is.
Zij kunnen ook update procedures uitvoeren om de beveiliging van het Windows-besturingssysteem en van de Microsoft Office-suite regelmatig bij te werken. Wat PDF’en betreft, moeten Adobe-toepassingen of andere ook up-to-date zijn. Minimale privileges voor HR-personeel maken het lijstje van de meest kosteneffectieve beschermende maatregelen compleet.
Zijn er trucs om hacking te omzeilen?
Ja, die zijn er. Deze komen allemaal aan bod tijdens onze gerichte hacker awareness training, zoals de security awareness HR sessie. Hier zijn alvast een paar tips om je te helpen veilig aan te werven:
- Voorkom dat bijlagen (zoals een CV) als Word documenten naar je worden toegestuurd
- Klik niet op links naar sociale media profielen die kandidaten je per e-mail of sms sturen
- Vraag om de lijst met links als tekst naar je gemaild te krijgen en voer ze handmatig in
- Beschouw communicatie van job portals niet automatisch als veilig
- Je kan via een werving bureau werken, maar hun e-mails moeten ook door de virusscan
- Als je een eigen vacature website hebt, gebruik dan tekst velden in plaats van een optie voor bijlagen (zie afbeelding)
- Zorg er natuurlijk wel voor dat je eigen webpagina’s met vacatures hacker-proof zijn