Phishing in de hr-wereld: beter voorkomen dan genezen

3 december 2019

Verschillende bedrijven meldden ons dat ze het slachtoffer werden van (poging tot) fraude. Hr-verantwoordelijken kregen mails van oplichters met als doel lonen van medewerkers op te strijken. In dit artikel lees je hoe ze te werk gaan en hoe je ervoor zorgt dat hun slaagkansen zo klein mogelijk zijn.

Opletten geblazen met mails die je ontvangt. Steeds vaker doen oplichters zich per mail voor als iemand anders om gegevens te achterhalen ofom geld te stelen. De kans is groot dat er vroeg of laat ook in jouw inbox zo’n gerichte phishingmail verschijnt. 

In dit concrete geval zoeken oplichters op wie in een organisatie verantwoordelijk is voor de hr- of payrolladministratie en welke medewerkers veel verdienen. Vervolgens mailen ze de hr-medewerker met de vraag om het bankrekeningnummer aan te passen van de veelverdiener voor wie ze zich voordoen. Vaak zijn dat leden van het hoger management, zoals de CEO of het hoofd van een afdeling. 

Je verkleint de kans dat je opgelicht wordt door:

  • Medewerkers regelmatig te herinneren aan de gevaren van phishing en hoe ze valse e-mails leren herkennen.
  • Afzenders extra te controleren. Phishingmails komen vaak van onbekende adressen of varianten van bekende.
  • Extra waakzaam te zijn bij e-mails met een urgent of dwingend karakter. Er staat bijvoorbeeld dat het nodig is om ‘snel actie te ondernemen’.
  • Alert te zijn als het gaat om een buitenlands rekeningnummer.
  • Alle e-mails ontvangen van personen van buiten de organisatie (extra) aan te duiden in de e-mailapplicatie

Wijk niet af van interne procedures

Naast het herkennen van phishingberichten is het aangewezen om werk te maken van waterdichte processen en ervoor te zorgen dat medewerkers deze altijd volgen, ook onder druk om af te wijken door een zogeheten leidinggevende of ceo. Bankrekeningnummers laten aanpassen door de medewerkers zelf in self-servicetoepassingen (zoals eBlox HR of Proxy HRSS) geeft oplichters geen kans.

Kan enkel jij als hr-medewerker zulke gegevens aanpassen? Dubbelcheck dan zeker bij de aanvrager via zijn professionele e-mailadres of telefoonnummer.

Wat als er toch loon op een verkeerd bankrekeningnummer wordt gestort?

Neem zo snel mogelijk contact op met de bank. Die kan binnen de eerste 24-48 uur na een transactie de storting mogelijk nog blokkeren. Bereid je voor en hou de contactgegevens van het fraudeteam bij de bank bij de hand.

Doe zeker ook aangifte bij de politie. Het nummer van het proces-verbaal kan nodig zijn om een geblokkeerd bedrag opnieuw vrij te geven. Hoe meer meldingen, hoe groter de kans dat fraudeurs worden gevat.

phishing hr voorkomen