Teknisk selskap SevOne rammet av spyddatabrudd fra spyd

Anonim

CONNECTTWEETLINKEDINCOMMENTEMAILMORE

SevOne ble offer for et cybersikkerhetsangrep som har satt eksisterende og tidligere ansatte i fare for identitetssvindel.

Teknologiselskapet har bekreftet at det utgitt W-2 lønnings- og skattedata til en uautorisert mottaker utenfor selskapet. Denne informasjonen antas å inkludere personnummer, hjemmeadresser, fødselsdato og annen personlig informasjon som kriminelle kan bruke til å sende falske selvangivelser og begå andre former for identitetstyveri.

Den "uautoriserte avsløringen", som selskapets tjenestemenn sa, skjedde mandag, ble rapportert til nåværende og tidligere ansatte sent på tirsdag kveld i en e-post fra SevOnes sjefsjef Diane Pryon. En kopi av e-posten ble hentet av The News Journal.

"Vi jobber aktivt for å forstå hendelsen, og på denne tiden har vi ingen grunn til å tro at andre SevOne-data ble påvirket, " skrev Pryon. "Vi beklager med alle som har blitt påvirket og vil sende ytterligere kommunikasjon ettersom ytterligere informasjon er lært."

Selskapets tjenestemenn nektet å kommentere data brudd, inkludert detaljer om hvordan det skjedde eller hvor mange personer ble påvirket, onsdag.

Tidligere i måneden sluttet SevOne mindre enn 10 prosent av sin globale arbeidsstyrke, som nummererte rundt 525 sent i 2015.

Om lag 200 ansatte jobber ut av selskapets innovasjons- og teknologisenter ved Universitetet i Delaware's Science Technology and Advance Research campus i Newark.

Selskapet sa at det vil gi nåværende og tidligere ansatte med to års gratis kredittovervåkingstjenester for å hjelpe dem med å unngå å bli utsatt for "uautorisert avsløring".

Kriminelle bak phishing-svindel bruker personlig informasjon som er hentet fra bedrifter for å gjøre bedrageriske skatteinnskudd for å samle innkastet. Pryon regisserte SevOne-ansatte til å sende inn skattene sine så snart som mulig for å forhindre en mulig falsk påstand ved å bruke de lekkede dataene.

SevOnes data brudd antas å ha vært en cyberattack kjent som "spyd phishing." Ordningen innebærer en "spoof" e-post som ser ut til å komme fra en bedriftsforvalter som ber om sensitiv informasjon fra en intetanende ansatt.

SevOne, et overvåkingsfirma for nettverksinfrastruktur med Fortune 500-klienter, kan være en høyteknologisk bedrift, men det betyr ikke at ansatte er mindre utsatt for phishing-svindel, sier Greg Gurev, leder av Stanton IT-sikkerhetsselskapet MySherpa.

"Denne typen ting har ingenting å gjøre med tech, " sa han. "Disse svindlere angriper ikke teknologien ved å spre passordet ditt. De sosialt utvikler seg inn i å utnytte en feil i den menneskelige tilstanden."

Flere bedrifter over hele landet har blitt offer for å spy phishing-angrep de siste ukene, inkludert video-meldingsprogrammet Snapchat, California-basert datalagringsselskap Seagate og Main Line Health i Pennsylvania.

Mindre bedrifter som strekker seg fra konkrete forsyningsfirmaer til landskapsarbeid, har også angivelig blitt suckered av svindel.

Internal Revenue Service utstedte et forbrukervarsel om phishing og malware svindel siste måned etter å ha registrert en 400 prosent økning i rapporter denne skattesesongen.

IRS fulgte den advarselen med en advarsel fra 1. mars til lønnsledere og menneskelige ressurser fagfolk spesielt angående spyd phishing-ordninger.

Nesten 800 kriminelle har blitt dømt i det siste året for IRS-relatert identitetstyveri, men mange e-phishing-svindel kommer fra utlandet, noe som gjør anklager nesten umulig.

"Noen form for skattemessig tyveri har alltid eksistert, men det er noe som har tatt på nye former, da vår avhengighet av teknologi har økt, " sa IRS-talsmann Clay Sanford. "Det er usannsynlig at disse svindelene noensinne er noe som helt kan elimineres."

Sanford sa at lignende e-postbaserte svindel er rapportert i hvilke meldinger som sendes som angivelig å være fra skattemyndighetene, skattemyndighetene og skatteselskapene. Meldingene søker vanligvis informasjon relatert til refusjoner, arkiveringsstatus, personlig informasjon eller krav på å kreve personlig identifikasjonsnummer verifisering.

"De går ofte så langt som å bruke logoer, skrifter og falske identifikatorer direkte fra vår nettside, " sa han. "Dessverre, det beste redskapet vi har for å hindre at skattebetalere blir offer for disse typer angrep, øker offentlig bevissthet."

IRS-nettstedet inneholder flere tips for å unngå å bli offer for svindel. Disse forslagene inkluderer å lære å gjenkjenne phishing-e-postmeldinger, ikke åpne e-postvedlegg fra ukjente kilder og bruke virus- / skadelig programvare.

Gurev sa at selskapene også bør rutinemessig gjennomføre en datasikkerhetsrevisjon som kartlegger deres sensitive data, hvor den informasjonen er lagret og hvem som har tilgang til den.

"Du må øke bevisstheten i en organisasjon og opprette en politikk, " sa han. "På den måten kan enhver som ber deg om å overføre penger eller sende informasjon som er kritisk, vet at data ikke skal sendes via e-post. I det minste går du over til din leder og får verifisering først."

Sanford advarer også om lavere-tech IRS telefon svindel som har kostet skattebetalere en anslått $ 26.5 millioner de siste tre årene.

"Vi sender ikke uønskede e-post til skattebetalere, " sa han. "Og vi kaller ikke skattebetalere som ber om personlig informasjon uten at noen skriftlig bekreftelse blir sendt på forhånd."

Enhver som mottar en uønsket e-post som ser ut til å være fra enten IRS eller en organisasjon som er nært knyttet til IRS, som det elektroniske Federal Tax Payment System, kan rapportere det ved å videresende meldingen til

Bedriftseiere som ser etter tips om hvordan de skal beskytte seg mot cyberangrep, oppfordres til å delta i en av fire hendelser som er planlagt i hele staten i de kommende ukene.

Denne skjermgrupen fra nettstedet for interntjenesteservice viser et eksempel på W-2-skjema. Arbeidsgivere blir lurt til å sende detaljert beskjed til arbeidstakere til svindlere som en del av en kommende skattekampkampanje.

Denne måneden vil eksperter fra Connecticut-baserte Artemis Global Security gi tips til eiere av små og mellomstore bedrifter om å utvikle cybersikkerhetsberedskap.

Første workshop vil bli avholdt fra kl. 9.00 til kl. 22.00 ved Delaware Biotechnology Institute, 15 Innovasjonsvei i Newark. Det samme programmet vil bli avholdt fra kl. 9.00 til kl. 23.00 i Kent County Administration Building, 555 S. Bay Road i Dover.

"Noen form for skattemessig tyveri har alltid eksistert, men det er noe som har tatt på nye former som vår avhengighet av teknologi har økt"

IRS talsmann Clay Sanford

I april vil to arrangementer bli holdt for å bistå bedrifter, sammen med ideelle organisasjoner, offentlige organer, akademikere og privatpersoner.

Elayne Starkey, Delaware sjefsikkerhetsoffiser, og Capt. Daniel Meadows av delstatens delstats politi kriminelle etterretningsavdeling, vil gi tips om å utvikle kontinuitet og fleksibilitetsplaner før en cyberattack.

Den første hendelsen vil bli avholdt fra kl. 08.00 til 13.15 den 6. april på Chase Center på Riverfront, 815 Justison St. i Wilmington. Et annet toppmøte vil bli avholdt fra kl. 08.00 til 13.15 den 7. april på Kings Creek Country Club, 1 Kings Creek Circle, vest for Rehoboth Beach.

Kontakt bedriftsreporter Scott Goss på (302) 324-2281, eller på Twitter @ScottGossDel.

DELAWAREONLINE

Sports Authority filer for konkurs beskyttelse

DELAWAREONLINE

Allen Harim for å lukke Md. Plante, flytte arbeid til Delaware

Ikke gå glipp av noe

Last ned våre apper og få varsler om lokale nyheter, vær, trafikk og mer. Søk i "The News Journal" i appbutikken din eller bruk disse koblingene fra enheten din: iPhone app | Android-app for telefon og nettbrett | iPad app Ikke glem å "like" oss på Facebook!