Hakerzy fałszują oferty pracy w kampaniach phishingowych

Poszukujesz lepszej pracy w IT? Platformy społecznościowe – w tym LinkedIn – są idealnym źródłem ofert oraz kontaktów biznesowych. Niestety, wiedzą o tym również hakerzy. Od niedawna coraz popularniejsze stają się fałszywe oferty pracy, będące w rzeczywistości przykrywką dla różnego rodzaju oszustw i cyberataków.

LinkedIn to platforma społecznościowa należąca do firmy Microsoft, specjalizująca się w kontaktach biznesowych i zrzeszająca użytkowników z całego świata. Kojarzy ją prawdopodobnie każdy specjalista mający na co dzień do czynienia z technologią. LinkedIn to aktualnie jedno z najlepszych miejsc do poszukiwania zatrudnienia i nawiązywania kontaktów biznesowych.

Zarówno LinkedIn, jak i inne media społecznościowe, mogą być narzędziem cyberprzestępców, o czym ostrzega sam Microsoft. Hakerzy odkryli nowy sposób pozyskiwania ofiar – phishing i spear phishing skierowany w użytkowników poszukujących pracy.

Spear phishing to rodzaj oszustwa, w którym przestępca – tak jak w przypadku standardowego phishingu – podszywa się pod zaufaną osobę czy organizację.
W tej sytuacji jednak nie rozsyła wiadomości do tysięcy użytkowników, lecz wybiera ich pojedynczo, posługując się personalnymi danymi zebranymi w internecie.

Powiązania z Koreą Północną?

Microsoft już w czerwcu 2022 roku zauważył podejrzane działania na platformie LinkedIn. Jak informuje na swoim blogu, hakerzy używają tej strony, by kontaktować się ze swoimi potencjalnymi ofiarami – użytkownikami poszukującymi zatrudnienia. W tym celu tworzą fałszywe, bardzo atrakcyjne oferty pracy skierowane do specjalistów z branży informatycznej, rozrywkowej czy obronnej.

Microsoft powiązał te aktywności z grupą ZINC, znaną szerzej jako Lazarus. ZINC to grupa przestępcza sponsorowana przez rząd Korei Północnej i specjalizująca się w wykradaniu danych, infekowaniu sieci złośliwym oprogramowaniem i szpiegowaniu. Działania tej grupy są od dawna śledzone przez różne agencje cyberbezpieczeństwa.

Jak informuje Microsoft, hakerzy ZINC mieli najpierw kontaktować się ze swoimi ofiarami na LinkedInie, by potem zachęcać je do dalszej komunikacji przez aplikację WhatsApp – zaszyfrowaną platformę do przesyłania wiadomości. To właśnie przez WhatsAppa mieli rozsyłać złośliwe oprogramowanie, w tym:

  • zmodyfikowane programy PuTTY i KiTTY instalujące tzw. backdoory na urządzeniu ofiary;
  • strojanizowaną wersję pulpitu zdalnego TightVNC;
  • zmodyfikowany czytnik plików PDF Sumatra;
  • strojanizowany plik instalacyjny czytnika plików PDF muPDF/Subliminal Recording.

Szkodliwe pliki miały służyć jako narzędzia pracy i były wysyłane ofiarom w formie skompresowanych archiwów ZIP lub obrazów płyt ISO.

Przedsiębiorstwa na celowniku

Hakerom wykorzystującym fałszywe oferty pracy wcale nie chodzi o to, by infekować komputery zwyczajnych, bezrobotnych użytkowników (co absolutnie nie znaczy, że osoby dopiero szukające pierwszej pracy są bezpieczne!). Głównym celem przestępców są specjaliści, którzy są już zatrudnieni w renomowanych przedsiębiorstwach, ale mogą skusić się na lepszą propozycję pracy.

Pod koniec marca 2022 roku ofiarą hakerów padł jeden z pracowników Sky Mavis – wietnamskiej firmy będącej producentem i wydawcą Axie Infinity, gry online wykorzystującej kryptowaluty. Pracownik został skuszony atrakcyjną propozycją pracy w innej firmie – dokument, który miał zawierać szczegółową ofertę, w rzeczywistości zawierał złośliwe oprogramowanie.

Malware rozprzestrzeniło się w sieci firmowej, co poskutkowało jednym z największych włamań w branży krypto.

Nie pierwsza taka sytuacja

Grupa hakerska Lazarus została powiązana z podobną kampanią spear phishingową w styczniu 2021 roku. Jej działania miały wtedy na celu wyłowienie ofiar spośród profesjonalistów z branży cyberbezpieczeństwa. Oszuści, by zyskać wiarygodność, tworzyli konta na Twitterze, a nawet publikowali posty na blogu poświęconym bezpieczeństwu.

Choć zastosowana tutaj metoda była czaso- i pracochłonna, to była również skuteczna. Oszuści kontaktowali się ze specjalistami z branży, by następnie proponować im współpracę w badaniach nad podatnością na cyberzagrożenia. Po uzyskaniu zgody oferowali ofiarom plik projektowy programu Visual Studio zawierający złośliwe oprogramowanie.

Czego się wystrzegać?

Każdy prędzej czy później poszukuje pracy, a media społecznościowe są aktualnie doskonałym źródłem zarówno ofert zatrudnienia, jak i przydatnych kontaktów biznesowych. Warto jednak mieć na uwadze, że – tak jak w powyższych przypadkach – oszuści mogą posługiwać się zaufanymi platformami, by „łowić” ofiary. Jak rozpoznać atak hakera i nie narazić siebie lub swojej firmy na niebezpieczeństwo?

  • Dokładnie czytaj ogłoszenia. Niektórzy oszuści starają się wykorzystać naiwność potencjalnych ofiar. Ich ogłoszenia bywają wręcz nierealistycznie atrakcyjne. Zanim odpowiesz na ofertę, porównaj ją ze standardami obowiązującymi w branży.
  • Uważaj na nadgorliwych rekruterów. W Polsce przyjęło się, że to kandydat odpowiada na ofertę pracy. Rzadko zdarza się, że pracodawca kontaktuje się pierwszy, choć oczywiście nie jest to niespotykana praktyka – szczególnie wśród cenionych, doświadczonych specjalistów. Nie radzimy, byś każdą próbę kontaktu traktował jako oszustwo, ale byś zachował czujność.
  • Nie pobieraj podejrzanych plików. Jeśli pracodawca oferuje Ci pliki do pobrania, twierdząc, że są to narzędzia pracy – zastanów się kilka razy, zanim je pobierzesz. Pulpity zdalne czy czytniki PDF lepiej pobierać z oficjalnych źródeł, czyli prosto od ich producentów.
  • Przeprowadź wywiad środowiskowy. Gdyby wszyscy oszuści podszywali się pod rekruterów z nieistniejących firm, byłoby Ci prościej stwierdzić, że kłamią. Niestety, wielu z nich ukrywa się pod znanymi nazwami, takimi jak Amazon czy Microsoft. Jeśli aplikujesz na stanowisko pracy – sprawdź, czy w ostatnim czasie nie było głośno o działalności przestępczej związanej z daną firmą.

Foto: Depositphotos.com

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *