De nieuwste manieren van cybercriminaliteit: sollicitanten opgepast!
Helaas maken cybercriminelen tegenwoordig ook misbruik van de kwetsbare positie waar jij je als sollicitant misschien in bevindt. Hoe doen ze dit? En hoe kun jij jezelf hiertegen beschermen? Dat lees je in deze cybersecurityblog.
Wil je meer cybersecurity tips? Lees dan deze blogs:
- 3 redenen waarom (Spend Cloud) cybersecurity belangrijk is; ook voor jou
- De nieuwste phishing technieken
- Neppe browserupdates; trap er niet in
- Tips voor veilig omgaan met je wachtwoorden
En bekijk onze cybersecuritypagina en de Visma Trust Centre.
5 moderne technieken van wervingsfraude via cybercriminaliteit
Cybercriminelen maken gebruik van diverse technieken om geld en/of gegevens te stelen. Als we het specifiek over het wervingsproces hebben, onderscheiden we tegenwoordig deze categorieën:
- Nep-recruiters benaderen jou om geld te stelen
- Nep-recruiters benaderen jou om gegevens te stelen
- Jij solliciteert onbewust zelf op een nep-vacature
- Je komt onbewust op een neppe websites met de verwachting dat deze je tegen betaling helpt slimmer te solliciteren
- Cybercriminelen maken jou als recruiter wijs dat het nieuwe medewerkers zijn die thuiswerken
Hoe proberen nep-recruiters jou te slim af te zijn?
Stel je voor: je wordt via LinkedIn benaderd door een recruiter met een aantrekkelijk aanbod. Het komt realistisch over en de recruiter lijkt een professional, dus je gaat in op het verzoek voor mailcontact. Vanuit de persoonlijke gmail van de recruiter krijg je een email met meer informatie, een linkje naar de website van je toekomstige werkgever en de vraag of je een aanbetaling wilt doen voor trainingsmateriaal. Daarnaast moet je alvast je bankgegevens en je BSN invullen, zodat ze een medewerkersprofiel voor je kunnen aanmaken.
De aanbetaling is geen onredelijk bedrag en het gaat om een voorschot, dus hier ga je mee akkoord. Natuurlijk hebben ze je bankgegevens nodig om je salaris over te maken, dus ook hierin voorzie je ze. En dan hoor je ineens niets meer. Weg zijn je geld en je gegevens. Hoe had je hierop voorbereid kunnen zijn?
1. Geld overmaken voor trainingsmateriaal, werkvergunningen of verzekeringen
Belangrijk om te weten: onze recruitmentafdeling zal jou als sollicitant nooit om geld vragen om wat voor reden dan ook. Tegenwoordig zien we steeds vaker dat nep-recruiters vragen of je alvast de kosten wil dekken voor werkvergunning en verzekeringen of trainingsmateriaal. Of denk aan het voorschieten van een computer en andere werkapparatuur. Dan volgt er per mail een betaalverzoek, buiten LinkedIn om, zodat de fraude niet opgemerkt wordt op het platform.
Ga hier nooit mee akkoord! Niet als er gevraagd wordt of je zelf iets wil financieren en ook niet als er beloofd wordt dat de kosten later worden terugbetaald. Toonaangevend Nederlands recruitmentbedrijf Werf-en en de Federal Trade Commission geven aan dat “verzoeken voor voorafbetalingen van aanstaande werknemers vrijwel nergens bekend zijn. En ze verzoeken al helemaal nooit om geld over te maken via platforms als Zelle of PayPal.”
Hoe herken ik een nep-recruiter?
Een nep-recruiter herkennen wordt steeds lastiger. Toch zijn hier een aantal tips van LinkedIn zelf om scherp te blijven:
- Word je benaderd met een generieke vacature?
- Wil de recruiter snel overschakelen van LinkedIn naar email of WhatsApp?
- Hoe ziet het emailadres van de recruiter eruit? Bij Visma | ProActive maken we bijvoorbeeld altijd gebruik van het domein @visma of @proactive. Komt de email van een gmailadres? Dan is de kans groter dat je te maken hebt met een nep-recruiter. Let ook op typ- en spelfouten in het emailadres en in de emails zelf
- Ligt de nadruk in het contact meteen op geld overmaken? En zet de recruiter daar veel druk achter? Ook dan is de kans groot dat je te maken hebt met fraude
LinkedIn probeert jou ook te beschermen met een vinkje op het profiel van een recruiter. Helaas vindt Werf& dat “niet heel goed doordachte manier om de ‘echtheid’ van recruiterprofielen te waarborgen.” In datzelfde artikel staat ook het volgende: “Nepvacatures van nepbedrijven kun je voorkomen door alleen recruitmentsites te gebruiken die verantwoordelijkheid dragen voor de echtheid van bedrijven en vacatures die gepubliceerd zijn. Zij zouden baanzoekers een garantie moeten geven van betrouwbaarheid van de bedrijven en vacatures.” Helaas is dat nu dus nog niet het geval.
2. Identiteitsdiefstal en kosten maken in jouw naam
Cybercriminelen kunnen ook indirect geld van je stelen door misbruik te maken van jouw gegevens. Denk aan ernstige vormen van identiteitsdiefstal, maar ook aan het laagdrempelig afsluiten van abonnementen of het kopen van telefoons in jouw naam. Hier ben jij uiteraard zelf de dupe van, maar dit stelt cybercriminelen ook in staat om hun criminaliteit efficiënter voort te zetten. Genoeg reden om alert te blijven dus!
Hoe voorkom ik dat mijn gegevens gestolen worden?
Om te voorkomen dat cybercriminelen met jouw data aan de haal gaan, moet je scherp blijven. Denk bijvoorbeeld aan deze tips:
- Zet alleen noodzakelijke (contact)informatie op je cv
- Controleer regelmatig of je gegevens staan op haveibeenpwned.com, zodat je weet of ze gelekt zijn. Vraagt een website die je wil gebruiken om te controleren of je gegevens zijn gelekt om je wachtwoord? Vul deze dan nooit in!
- Denk goed na over wanneer in het sollicitatieproces jij je adresgegevens, bankgegevens en BSN deelt
- Controleer altijd of het bedrijf waarbij je solliciteert echt bestaat door te googlen en de actuele vacatures te bekijken. Buiten LinkedIn om dus!
- Vraag aan je toekomstige werkgever waar ze jouw gegevens precies voor nodig hebben, als jij je niet prettig voelt bij hoeveel informatie ze van je vragen
- Navigeer niet direct naar www.werkenbij.nl. Ga altijd op zoek naar vacatures via de website van de organisatie waar je wilt werken. Slechts de helft van werkenbij-domeinen komt namelijk daadwerkelijk uit bij werkenbij-site van een bedrijf, volgens Werf&. Die domeinen kunnen dus makkelijk ingepikt worden door cybercriminelen
3. Neppe vacatures die je gegevens stelen
Neppe vacatures van cybercriminelen
Het aanmaken van nepvacatures is helaas geen nieuwe techniek. Er zijn diverse gevallen bekend waarbij gegevens van sollicitanten worden misbruikt of waarbij je zelfs wordt aangenomen op een baan die eigenlijk niet bestaat. Ook hier zijn cybercriminelen uit op jouw gegevens zodat ze je identiteit kunnen stelen.
Neppe vacatures vanuit legitieme bedrijven
Helaas zijn er tegenwoordig ook neppe vacatures die door echte bedrijven worden uitgezet, volgens Werf&. Waarom doen ze dit? Zodat ze een pool van cv’s opbouwen waar ze later uit kunnen kiezen bijvoorbeeld. Maar, denk ook aan: “open lijken voor talent, groei van de onderneming uitstralen, aan je zittende medewerkers uitstralen dat hun werkdruk binnenkort verlicht zal worden en helaas ook uitstralen naar je medewerkers dat ze vervangbaar zijn, zodat ze harder gaan werken.” Bel dus van tevoren zeker even met de hiring manager, zodat je weet of je met cybercriminaliteit te maken hebt of dat het een baan is die eigenlijk niet bestaat.
4. Neppe websites die jouw cv “bovenop de stapel” leggen
Bekende recruiter Katrina Collier vertelt dat er tegenwoordig zelfs websites zijn die beweren jouw cv “bovenop de stapel” te kunnen leggen. Werf-en vat samen: “Cybercriminelen maken gebruik van de naam van bekende recruiters om actief werkzoekenden op te roepen een (nep) site te bezoeken. Daar kunnen ze – uiteraard tegen betaling – hun cv zó aanpassen dat het voortaan elk ATS (Applicant Tracking System, recruitmentsoftware) zal passeren. Zo staat jouw cv ineens altijd vooraan. Dat is natuurlijk complete onzin.” Val dus nooit voor dit soort beloftes! Hoe geloofwaardig de bron ook overkomt.
5. Neppe medewerkers die je systeem hacken
Hoe nep-medewerkers recruiters te slim af proberen te zijn
Voor grote bedrijven is het niet haalbaar om iedere nieuwe medewerker bij naam te kennen. Zeker als een bedrijf hard groeit en veel nieuwe mensen aanneemt, is de nep-medewerker vorm van fraude extra gevaarlijk. Met één gefrustreerde e-mail naar de recruitmentafdeling om het indiensttredingsproces in gang te zetten, is een cybercrimineel binnen. Volgens onderzoek van Threat Horizon 2025: scenarios for an uncertain future, kunnen cybercriminelen dan kwetsbaarheden in het systeem achterlaten, zodat het makkelijk te hacken is.
Waarom zijn deze manieren van wervingsfraude nog niet gestopt?
Wervingsfraude wordt helaas steeds makkelijker. Denk aan de beschikbaarheid van deepfakes, werken op afstand en het delen van informatie online. Aan de ene kant: door het thuiswerken is het moeilijker om al je collega’s van gezicht en naam te kennen. Dat gecombineerd met deepfakes en beschikbare informatie over collega’s en organisatiestructuren, maakt de kans op geloofwaardige nep-medewerkers groter.
Aan de andere kant: iedereen kan een thuiswerkende recruiter spelen. Neppe websites zijn eenvoudig en goedkoop opgezet. Mensen zijn het gewend om door vreemdelingen benaderd te worden op LinkedIn. Ook sollicitanten worden hierdoor makkelijk slachtoffer van cybercriminaliteit.
“We zien een verschuiving naar steeds meer geraffineerde misleiding,” vertelt Oscar Rodriguez, vice-president product management bij LinkedIn. Wist je dat het aantal gevallen van recruitmentfraude in het Verenigde Koninkrijk tussen 2021 en 2023 bijna verdriedubbeld is? Kortom: zorg dat je écht je onderzoek doet voordat je solliciteert of ingaat op een aanbod.
Wil je meer informatie over cybersecurity?
Lees verder over nep-recuiter, nep-werkgevers, neppe recruitmentbureaus en neppe vacatures in dit artikel van Werf&.
Bekijk dan onze cybersecurity-pagina en de Visma Trust Center. Op onze cybersecurity-pagina kun je ook de beveiligingsfactsheet downloaden met nóg meer diepgaande informatie. Succes!
Benieuwd naar Spend Cloud cybersecurity-maatregelen?
Lees meer over onze cybersecurity-visie en alle veilige functionaliteiten van de Spend Cloud op onze cybersecuritypagina.