Giả mạo thưởng cuối năm: Chiêu trò mới của các sếp doanh nghiệp để thử lòng nhân viên
Tờ WSJ cho hay càng về cuối năm lại càng có nhiều doanh nghiệp lừa nhân viên bằng những email thưởng giả mạo. Vậy chuyện gì đang diễn ra?
Tờ Wall Street Journal (WSJ) cho hay hiện nhiều doanh nghiệp đang sử dụng các bài thử nghiệm (Phishing Test) để điều tra nhân viên.
Một ví dụ là anh Ju Song Baek sống tại Canada vào đầu tháng 9/2023 đã nhận được một bức thư điện tử (email) trúng thưởng vé xem buổi biểu diễn Eras Tour từ Taylor Swift ở Toronto.
Nhà thiết kế 26 tuổi này lập tức vui mừng và định click vào đường link nhưng nhận ra bản thân không hề dùng địa chỉ hòm thư điện tử công ty để đăng ký bất kỳ hành vi mua vé nào.
Cuối cùng, anh Baek phát hiện ra đây là một bài kiểm tra của chính ông chủ với các nhân viên của mình.
Những người báo cáo nội dung bức email trên sẽ vượt qua được bài kiểm tra, còn những nhân viên click vào đường link sẽ phải tham gia lại các khóa đào tạo hoặc chịu chế tài từ doanh nghiệp.
“Tôi chưa bao giờ cảm thấy bị xúc phạm cá nhân bởi một bức email như thế này”, anh Baek nói.
“Chúc mừng bạn đã trượt”
Số liệu của Cục điều tra liên bang Mỹ (FBI) cho thấy năm 2022 đã có hơn 300.000 đơn kiện về hành vi lừa đảo qua mạng, gây thiệt hại 10,3 tỷ USD tài sản bao gồm cả những chiêu trò dùng email trúng thưởng như trên.
Chính vì lẽ đó mà nhiều công ty bên ngoài việc đào tạo nâng cao kiến thức về bảo mật cho nhân viên thì còn thực hiện hàng loạt những bài kiểm tra giả như trên.
Một trường hợp tương tự nữa là cô Sarah Fiete, vốn thường xuyên nhận được các bài kiểm tra giải qua thư.
Thế nhưng cuối cùng cô vẫn bị phạt vào tháng 12/2022 khi nội dung email là do công ty cảm ơn những đóng góp của cô nên thưởng thẻ quà tặng và đề nghị click vào đường link để tiếp tục.
Ngay khi cô Fiete làm theo, người phụ nữ này đã trượt bài kiểm tra và phải tham gia lại các khóa đào tạo của doanh nghiệp về bảo mật thông tin.
Cô Fiete, hiện đã chuyển việc và làm giám đốc marketing cho một studio ở New York, cho biết vụ việc trên là do bản thân dùng smartphone.
Thông thường nếu sử dụng máy tính, cô có thể dễ dàng phân biệt được email là giả mạo nhưng do dùng trên điện thoại nên cô Fiete khó thao tác hơn để nhận diện.
Thêm vào đó, công ty cũng từng tặng thẻ quà cho nhân viên trước đây nên việc nhận được bức email như vậy bị mặc định là bình thường.
Tất nhiên, hậu quả của việc trượt bài kiểm tra khiến cô Fiete cực kỳ khó chịu: “Những email kiểm tra này khiến nhân viên bị tổn thương tinh thần nhiều hơn là đem lại lợi ích.”
Nhận định của Fiete là có cơ sở khi thời gian đang trôi dần về cuối năm, thời điểm mà các công ty thường bắt đầu chạy các chương trình trao thưởng cho nhân viên sau 1 năm vất vả.
Thế nhưng những bài kiểm tra thưởng mang danh nâng cao ý thức nhân viên cho bảo mật này lại đang khiến rất nhiều người bị ức chế.
Một ví dụ điển hình nữa là cô Becky Robison làm việc cho một hãng truyền thông. Vào tháng 9/2023, cô nhận được một email thông báo tiền thưởng cuối năm.
Đây là điều khá lạ bởi trong suốt 6 năm làm việc, công ty của cô Becky thường không hay trao phần thưởng cuối năm, do đó người phụ nữ 36 tuổi này đã không click vào.
Tuy nhiên, giao diện và những lời lẽ trong bức email quá chân thực khiến cô Becky cũng phải bức xúc bởi những nhân viên mới làm việc hoặc chưa có kinh nghiệm sẽ trúng bẫy.
“Trong bối cảnh kinh tế khó khăn mà công ty lại thực hiện những bài kiểm tra giả mạo về thưởng cuối năm như thế này thì thật là quá đáng”, cô Becky bực bội.
“Bạn nhận được quá nhiều email trong công việc và cuộc sống và chẳng thể nào ngồi nhìn từng cái một xem đó là giả hay thật được”, cô Jasmine Lucey, một nhân viên 27 tuổi đã 2 lần bị phạt vì trượt bài kiểm tra email giả năm 2019, cho hay.
Kiểu gì cũng dính
Theo WSJ, hãng KnowBe4 là một công ty bảo mật chuyên phát triển những email giả mạo như trên.
Trong khoảng 1 tháng qua, công ty này đã phát tán khoảng 17.600 bức thư điện tử và có đến 533 người trượt bài kiểm tra.
Hoạt động này của KnowBe4 hoàn toàn tuân theo các hợp đồng của hơn 65.000 chủ doanh nghiệp nhằm mục đích nâng cao ý thức bảo mật và đào tạo nhân viên.
Đây là một phần của ngành công nghiệp an ninh mạng và quản trị rủi ro, thường đi kèm với các buổi đào tạo cũng như những phần mềm dịch vụ.
Để cho ra mắt những email đánh lừa nhân viên hiệu quả, KnowBe4 đã tập hợp hẳn một đội ngũ chuyên lướt mạng xã hội để hình thành nên ý tưởng hấp dẫn với các email thu hút nhân viên click vào đường link đi kèm.
Ngoài những câu chuyện về thẻ quà, vé ca nhạc, thưởng cuối năm thì nhóm này còn xây dựng cả những email bao gồm chuyện giật gân như “có vụ đánh ghen trong tầng hầm công ty” hay các bản tin thời sự như “vụ kiện của Johnny Depp và Amber Heard”, hoặc là dạng thông báo gây nhầm lẫn như “hộp quà Valentine của bạn đã được giao thành công” nhằm thu hút lượt click.
Thậm chí, nhóm này còn phát triển những tin nhắn giả tạo mạng xã hội thông báo tài khoản của nhân viên có vấn đề, hoặc phòng nhân sự yêu cầu họp, bổ sung hồ sơ...
Thông thường, đội ngũ phát triển sẽ lựa chọn khoảng 20.000 bản mẫu email giả tạo cho chủ các công ty lựa chọn trong việc kiểm tra nhân viên.
Bất chấp những chỉ trích từ người lao động, phía KnowBe4 cho rằng những kẻ lừa đảo sẽ làm đủ mọi cách để khiến người dùng mắc bẫy và có quá nhiều nhân viên chưa ý thức được tầm quan trọng của vấn đề.
“Đây chính xác là những gì kẻ lừa đảo sẽ làm với bạn, họ sẽ dùng mọi chiêu trò để bạn có phản ứng khi không phân biệt được thật giả”, giám đốc vận hành Greg Kras của KnowBe4 cảnh báo.
Cũng theo công ty này, các buổi hỗ trợ đào tạo và những bài kiểm tra bảo mật trên có thể giúp làm giảm khả năng click vào các đường link lừa đảo của nhân viên từ 33,2% xuống chỉ còn 5,4%.
*Nguồn: WSJ