İş dolandırıcılığı, bir salgın içinde bir salgındır. Bu operasyonlar büyüyerek dünyanın her yerindeki ülkelerde faaliyet gösteren milyonlarca dolarlık işletmelere dönüşebilir. Bir ankette, iş arayanların %32’si sahte bir işe başvurduğunu ve hatta mülakata girdiğini, %15’inin kişisel bilgilerinin çalındığını ve %9’u dolandırıcılara para kaybettiklerini söyledi. Mali kayıplar 2022’de yalnızca Amerika Birleşik Devletleri’nde 367 milyon doları aştı.
Wizer Training’in kurucusu ve CEO’su Gabriel Friedlander, bu dolandırıcıların tıpkı diğer işletmeler gibi çalıştığını söylüyor. Ama ürün veya hizmet pazarlamak yerine suç işlemeyi amaçlıyorlar.
“Dolandırıcılıklarını gönderdikleri pazarlamaya sahipler. Potansiyel müşterileri yakalamaya, onları fırsatlara dönüştürmeye ve kişiyi dolandırarak veya şirketi hackleyerek anlaşmayı kapatmaya çalışıyorlar. Pazarlamacıların kullandığı birçok aracı kullanıyorlar. Mesele şu ki, daha iyi bir fare kapanı var çünkü her şeyi sunabiliyorlar” diyor Friedlander.
Şirketler ve Markalar İçin Riskler
İş dolandırıcılıkları yalnızca iş arayanlara zarar vermekle kalmaz, aynı zamanda şirket markalarını da mahvedebilir ve hassas verileri istismarcılara ifşa edebilir. Roger Grimes, KnowBe4’te veri odaklı savunma savunucusudur. Bugünlerde gerçek insanların kimlik bilgilerini çalabilen ve ardından meşru görünen e-postalar veya portföy URL’leri kullanarak işlere başvurabilen iş dolandırıcılarının katıksız yaratıcılığına şaşırıyor. Trellix’in bir raporuna göre, bu e-postalar genellikle kötü amaçlı yazılımları özgeçmiş eklerinde veya bağlantılarında gizler.
Trellix Gelişmiş Araştırma Merkezi’nde tespit araştırması ve operasyonları kıdemli direktörü Fred House bir örnek veriyor: E-postalardaki Qakbot kötü amaçlı yazılımı açığa çıkarılabilir, kökünü kazıyabilir ve ele alınabilir. Ardından birkaç gün içinde Qakbot yeni bir tehdide dönüştü.
House, dolandırıcılık şirketinin “çok iyi finanse edilen, çok çevik bir kuruluş” olduğunu söylüyor. “Ve bu kedi ve fare oyunu.”
Şirketler bazen LinkedIn gibi sosyal medya uygulamaları veya WorkDay gibi SaaS uygulamaları aracılığıyla çok sayıda iş başvurusu alır ve her başvuranın meşru olduğundan emin olmak muazzam bir görev olabilir. Bir uygulama güvenli görünse bile, bu tehdit aktörleri görüşmeye bile hazırdır.
Grimes, “mükemmel adayı” bulduğunu düşünen işverenlerle konuştuğunu söylüyor. Kişi, tüm görüşme sorularını doğru yanıtlamıştır. Ancak, kişi işe alındıktan sonra ortadan kaybolur veya işi yapamaz hale gelir.
Grimes, “Çok prova edilmişler” diyor. “Meşruluğunu doğrulamaya çalıştığınızda, bunu yüzlerce kez duydular ve nasıl yanıt vereceklerini biliyorlar. Size hangi belgeleri göndereceklerini biliyorlar. Bu çok inandırıcı olabilir.”
Savunmasız şirketler, potansiyel iş başvurularını izlemek için bir siber güvenlik ekibi veya yazılımı olmayan şirketleri içerir. Bu, daha küçük firmaların risk altında olduğu anlamına gelse de, genellikle hedeflenen Fortune 500 markalarıdır.
Grimes, “Ne kadar büyük olurlarsa, bu beyin avı firmasının onlar adına çalışan şirket olduğunu doğrulamaları o kadar zor oluyor” diyor. “İnsanların sandığı kadar kolay değil.”
ZeroFox’un başkan yardımcısı AJ Nash, “Eğer arzu edilen bir şirketseniz, bu daha büyük bir marka, insanları cezbetmek için daha büyük bir fırsat. Bu rüya bir fırsat. Bu baştan çıkarıcı olacak.”
Dolandırıcılıklara Karşı Nasıl Korunulur?
İnsan kaynakları ve güvenlik departmanları için dolandırıcılığa karşı en önemli korumalar farkındalık, eğitim ve öğretimdir. Bu tür iş dolandırıcılığı hakkında bilgi sahibi olmayan şirketler, saldırılara daha yatkındır.
Friedlander, başvuru sahibiyle yüz yüze görüşemezseniz, kapsamlı bir geçmiş araştırması yapın diyor. Geçmiş kontrollerinin artık “olsa iyi olur” olmadığını, şirketleri güvende tutmak için bir zorunluluk olduğunu söylüyor. Ayrıca, bu rol için işe alınan meşru bir kişi olduğundan emin olmak için başvurana çeşitli şekillerde ulaşmayı önerir.
Sıkı bir güvenlik duruşuna sahip olmak, güvende kalmanın temelidir. House, “Sahip oldukları korumalara bağlı. E-posta güvenlikleri ne kadar gelişmiş? Kullanıcı bir kez bağlantıyı tıkladığında, Web proxy’sinden geçtiği ve analiz etme şansı bulduğu bir Web proxy’leri var mı?” BT?”
Grimes’a göre şirketler agresif bir şekilde bu dolandırıcılıkların kökünü kazımalı ve Indeed gibi iş bulma sitelerine ve LinkedIn gibi sosyal medya kanallarına bu siber suçluların yenildiğinden emin olmak için baskı uygulamalı.
LinkedIn yaptığı açıklamada, “son birkaç ay içinde internetteki dolandırıcılık faaliyetlerindeki artışı kabul etti ve yapay zeka sistemleri de dahil olmak üzere teknolojiye ve tespit edilen dolandırıcılık faaliyetlerinin çoğunu siz daha görmeden durduracak uzman ekiplere sahibiz. Ayrıca, güvenli bir deneyim sağlamak için, bir hesabın doğrulanmış bir telefon numarası veya e-postası olup olmadığını görme yeteneği de dahil olmak üzere yeni araçlar ekledik.” Bir LinkedIn raporu, tüm sahte hesapların %95,3’ünün Ocak ve Haziran 2022 arasında kaldırıldığını iddia ediyor.
Şirketin kariyer sayfasında ve sosyal medya platformlarında yapılması ve yapılmaması gerekenlerin listelenmesi, potansiyel iş arayanlara dolandırıcılıktan kaçınma konusunda yardımcı olmanın bir adımıdır. Nash, bunun “Senden asla para istemeyeceğiz” ve “Sosyal Güvenlik numaranızı veya kimlik bilgilerinizi asla istemeyeceğiz” gibi ifadeler içerdiğini söylüyor.
Şirketin büyüklüğüne ve kendini siber güvenliğe adamış çalışan sayısına bağlı olarak, dış kaynak kullanımı bu dolandırıcılıklarla mücadelede en iyi çözüm olabilir. Nash, buna sosyal medya izleme ve marka koruması kurmanın da dahil olduğunu söylüyor. Bir şirketin potansiyel zararı önemli olabilir ve güvenliğe yatırım yapılmasını gerektirir.
Nash, “Bunu yapmayan şirketler, kötü şeyler olduğunda zor yoldan öğrenecekler” diyor.
İtibarınızı Koruyun
Bir şirketin itibarı, sahte iş raporlarından finansal olarak etkilenmese bile zarar görebilir. Nash, şirket sorumlu olmasa da liderliğin markalarının nasıl çalınabileceğini ve kötü amaçlarla kullanılabileceğini anlaması gerektiğini söylüyor.
Nash, “Bu onların suçu değil ama bu onların üzerine yansıyacak” diyor. “Birisi bir işten dolandırıldığında, şirket adı bu dolandırıcılıkla ilişkilendirilecek. İş arayan bir kişi artık o kuruluş hakkında daha az fikre sahip olacak.”
İK departmanına veya güvenlik ekibine şirketle ilgili bir iş dolandırıcılığının meydana geldiğine dair bir bildirim geldiğinde, Nash bu potansiyel iş başvurusuna karşı empati gösterilmesini önerir. “Bunun başınıza geldiğini duyduğuma gerçekten üzüldüm. Bunu bize bildirdiğiniz için teşekkür ederiz. Her ne olursa olsun bunu tavsiyemiz altına alacağız, istihbarat ekibimizle konuşacağız.”
İş Dolandırıcılığının Geleceği
Grimes, bu dolandırıcılıkların son on yılda geliştiğini belirtiyor. İş başvurusunda bulunan birini bulmak her zaman bu kadar karmaşık değildi.
Grimes, “Bu, ebeveynlerimizin endişelenmesine gerek olmayan bir şey” diyor. “GE’ye bir iş başvurusunda bulunuyorsanız, bu gerçekten GE içindi ve GE birini işe alıyordu. Yüz yüze tanıştıkları bir kişiyle iş yapıyorlardı. yakında ortadan kalkacak. Bence bu, sosyal mühendislik ve kimlik avı kadar yapımızın bir parçası.”
Kendimizi siber suçlardan korumayı öğrenmek, İnternet çağının talihsiz bir parçasıdır. Friedlander’a göre dünyanın düzeni bu.
Friedlander, “Siber risk, fiziksel risk kadar net değildir” diyor. “Somut değil. Ve insanların eğitilmesi gerekiyor. Bunu çoğu zaman göremiyorsunuz.”