Analitycy ESET zidentyfikowali nową kampanię cyberprzestępców, którzy podszywają się pod rekruterów Apple. Wykorzystując prestiż technologicznego giganta, oszuści dążą do przejęcia kont w mediach społecznościowych kandydatów, co otwiera drogę m.in. do kradzieży danych czy wykorzystania przejętego profilu do dalszych oszustw.
W dobie spowolnienia w sektorze technologicznym i dużej konkurencji o atrakcyjne wakaty, oferta pracy w Apple brzmi dla wielu jak spełnienie marzeń. Cyberprzestępcy doskonale o tym wiedzą. Pierwsza wiadomość, którą otrzymuje ofiara, jest napisana nienaganną, biznesową angielszczyzną i zawiera precyzyjny opis stanowiska, na które prowadzona jest rekrutacja. Aby potwierdzić swój udział w procesie należy odpisać na maila.
– Ta pierwsza wiadomość nie zawiera typowych “czerwonych flag”, takich jak prośba o kliknięcie w nieznany link, czy podanie swoich danych. To świadoma taktyka cyberprzestępców, obliczona na uśpienie czujności odbiorcy i zwiększenie prawdopodobieństwa, że wejdzie on w interakcję z oszustami – mówi Kamil Sadkowski, analityk cyberbezpieczeństwa, ESET.
Pułapka tkwi w wiadomości, która przychodzi jako kolejna. Po kliknięciu w link „Umów spotkanie”, użytkownik trafia na stronę imitującą portal kariery. Całość przypomina powszechnie dziś stosowane systemy do automatyzacji procesów rekrutacyjnych, typowe dla korporacji. Każda próba interakcji z witryną – czy to chęć przejrzenia ofert, czy zarezerwowania terminu rozmowy – kończy się prośbą o zalogowanie. Do wyboru jest adres e-mail lub konto na Facebooku. Wybór którejkolwiek z opcji prowadzi do sfałszowanego panelu logowania Facebooka, który służy wyłącznie do wyłudzenia danych.
– Dla cyberprzestępcy przejęte konto to przede wszystkim nasza tożsamość i zaufanie, na które pracowaliśmy latami. Oszust, pisząc z czyjegoś profilu do rodziny czy współpracowników tej osoby, wykorzystuje wiarygodność, którą daje znajome zdjęcie i nazwisko. W ten sposób przestępcy wyłudzają pieniądze od bliskich lub infekują komputery. Dodatkowo, jeśli dana osoba zarządza stronami firmowymi, oszuści w kilka minut mogą wydać znaczne kwoty z podpiętych kart płatniczych – wyjaśnia Kamil Sadkowski, ESET.
Błąd, który powinien zapalić czerwoną lampkę
Choć kampania została przygotowana z dużą dbałością o detale, cyberprzestępcy nie ustrzegli się błędów, które pozwalają ich zdemaskować. W analizowanym przypadku, o ile pierwszy mail dotyczył pracy w Apple, o tyle w drugiej wiadomości – zawierającej instrukcję umówienia rozmowy – oszuści podziękowali za zainteresowanie rekrutacją w… Meta.
– Nawet najbardziej dopracowane kampanie rzadko są wolne od błędów. Zachowanie czujności, weryfikacja adresu nadawcy oraz sprawdzanie, czy wszystkie fakty w otrzymywanych wiadomościach są ze sobą spójne, to absolutna podstawa. Należy również zwracać uwagę na adres URL stron, na których jesteśmy proszeni o logowanie. Warto też pamiętać o oprogramowaniu zabezpieczającym, które blokuje niebezpieczne witryny – zauważa Kamil Sadkowski, ESET.
Omawiana kampania, której celem jest wyłudzenie poufnych danych, to typowy przykład phishingu. Chociaż jest to jedna z najbardziej popularnych form internetowego oszustwa, z danych ESET i Dagma Bezpieczeństwo IT wynika, że aż 1/3 Polaków pracujących na co dzień przy komputerze przyznaje że nie rozumie tego pojęcia.