Callback-верификация через корпоративные номера — главный спасатель. Лучше, когда инициирует обратный звонок сам сотрудник, а не хелпдеск автоматически. Запрашивать внутренний ID, дату рождения или код из корпоративного портала — вполне достаточно, чтобы отсеять фейки. Главное — отладить процесс, чтобы не тормозить работу, но не дать злоумышленникам проход. В нерабочее время — либо блок, либо экстренная заявка с последующим подтверждением.