Sei alla ricerca di una nuova occupazione? Fai attenzione agli annunci di lavoro, potrebbero nascondere delle insidie!
I ricercatori di Proofpoint hanno identificato una campagna di frodi in crescita che prende di mira le persone in cerca di lavoro. I cybercriminali stanno sfruttando finte opportunità di impiego per distribuire strumenti di monitoraggio e gestione remota (Remote Monitoring and Management – RMM) che possono portare a furto di dati, frodi finanziarie o all’installazione di malware, inclusi ransomware.
I falsi annunci di lavoro scoperti da Proofpoint
Proofpoint ha rilevato molteplici campagne di email fraudolente che si presentano come inviti a colloqui di lavoro. Queste email, che spesso imitano comunicazioni da piattaforme come Zoom o Microsoft Teams, non conducono a un vero colloquio, ma all’installazione di software RMM legittimi come SimpleHelp, ScreenConnect o Atera. Sebbene questi strumenti siano usati dalle aziende per la gestione IT, se abusati, possono funzionare come trojan di accesso remoto, consentendo agli attaccanti di prendere il controllo dei sistemi delle vittime.
“L’uso di software RMM come payload iniziale è diventato estremamente popolare tra gli attori delle minacce,” spiegano i ricercatori di Proofpoint. “Invece di consegnare direttamente RAT o infostealer, utilizzano RMM perché possono confondersi con il traffico legittimo, rendendo più difficile il rilevamento. Una volta installati, possono rubare denaro, informazioni o installare ulteriore malware.”
Le recenti campagne mostrano un’elevata sofisticazione, con email che possono provenire da account compromessi o impersonificare aziende reali, con nomi di mittenti che richiamano reclutatori o dipendenti. I contenuti dei messaggi si riferiscono a reali annunci di lavoro, alcuni dei quali sono stati effettivamente pubblicati dalle organizzazioni impersonificate o compromesse. In un caso, Proofpoint ha trovato prove di un account LinkedIn hackerato che aveva pubblicato una descrizione di lavoro fraudolenta, includendo un indirizzo Gmail che si fingeva l’individuo compromesso.
Gli attori delle minacce ottengono le liste dei bersagli in vari modi: creando falsi annunci di lavoro per raccogliere email, compromettendo caselle di posta o account social di reclutatori e responsabili delle assunzioni, o utilizzando liste di indirizzi precedentemente rubate. Questa attività si inserisce in un più ampio schema di campagne email che distribuiscono strumenti RMM o RAS (Remote Access Software), osservate in precedenza anche in contesti in cui si fingono enti pubblici, istituzioni finanziarie o invitano a eventi.
I consigli di Proofpoint
Consigli per chi è in cerca di lavoro:
- Controllare attentamente il mittente: prestare estrema attenzione a nomi e domini dei mittenti delle email, poiché potrebbero essere falsificati.
- Diffidare di file eseguibili: se si riceve un file eseguibile o un URL che porta a uno di essi, è molto probabile che si tratti di una truffa. Le aziende legittime raramente chiedono di installare software per un colloquio iniziale.
- Verificare l’autenticità: in caso di dubbi, contattare direttamente l’azienda o il reclutatore tramite canali ufficiali (sito web aziendale, pagina LinkedIn) per verificare la realtà degli annunci di lavoro o degli inviti.
- Non cliccare su link sospetti: evitare di aprire link o scaricare allegati da email non richieste o sospette.
Proofpoint invita tutti i candidati a rimanere vigili e a segnalare ogni attività sospetta. La consapevolezza è la prima linea di difesa contro queste minacce in evoluzione.
