Introduzione: riconoscere e evitare le truffe di phishing nelle offerte di lavoro
Se stai cercando lavoro online, devi sapere che i cybercriminali sfruttano questa situazione di vulnerabilità per rubare i tuoi dati personali più sensibili. Una campagna di phishing attualmente in corso utilizza i nomi di aziende prestigiose come Coca-Cola e Ferrari per ingannare candidati ignari. La soluzione immediata è semplice: non cliccare mai su link in offerte di lavoro non richieste e diffida da qualsiasi pop-up che ti chiede di accedere con il tuo account Google o Facebook durante una candidatura.
Gli esperti di sicurezza informatica hanno documentato questa minaccia crescente che, sebbene originariamente focalizzata negli Stati Uniti, rappresenta un pericolo reale per chiunque cerchi occupazione online. Comprendere come funzionano questi attacchi è fondamentale per proteggere la tua identità digitale e i tuoi account personali.
Come funziona la truffa: il meccanismo del phishing
I cybercriminali dietro questa campagna utilizzano tecniche sofisticate per sembrare legittimi. Il processo inizia con un’offerta di lavoro che sembra provenire da un’azienda nota e affidabile. Quando il candidato clicca sul link fornito, viene reindirizzato a una pagina che imita fedelmente il processo di candidatura ufficiale.
Nel caso di Coca-Cola, la truffa funziona in questo modo: viene presentato un link a una pagina Calendly (uno strumento legittimo di prenotazione) dove il candidato deve inserire informazioni di base come nome, indirizzo email, tipo di posizione ricercata e preferenze di orario. Dopo aver selezionato una data e un’ora per il colloquio, l’utente viene invitato a cliccare su un pulsante che dice “Continua con Google”.
Qui inizia il vero inganno. Invece di un normale pop-up di autenticazione Google, viene visualizzata una finestra che sembra un pop-up autentico di Chrome. L’utente è indotto a inserire il suo indirizzo email e la password del suo account Google. Successivamente, gli viene chiesto di fornire anche il codice di verifica a due fattori. I criminali utilizzano queste informazioni per accedere all’account Google reale della vittima, spesso conquistando il controllo dell’account aziendale collegato.
La variante Ferrari: il metodo del phishing su Facebook
La seconda variante della campagna utilizza il marchio Ferrari con un approccio leggermente diverso. I criminali creano una pagina web che replica fedelmente il layout e il design delle pagine di reclutamento ufficiali di Ferrari. Un pop-up ingannevole appare sullo schermo invitando l’utente a candidarsi per una posizione nel dipartimento marketing.
Per procedere, il candidato deve effettuare l’accesso utilizzando il proprio account Facebook. Se l’utente segue le istruzioni e inserisce le credenziali del suo account Facebook, i criminali ottengono l’accesso completo. Da quel momento in poi, possono utilizzare l’account compromesso per accedere ai dati personali della vittima, incluse informazioni di contatto, foto, cronologia di messaggi e molto altro. Ancora più pericoloso, i criminali possono contattare gli amici della vittima spacciandosi per lei, potenzialmente estendendo la truffa a una rete più ampia di persone.
Segnali di avvertimento e come riconoscere un tentativo di phishing
Esistono diversi indicatori che dovrebbero farti sospettare di trovarti di fronte a un tentativo di phishing:
URL sospetto: Gli URL utilizzati in questi attacchi sono spesso falsi e non possono essere selezionati normalmente perché sono in realtà immagini. Se noti che non puoi copiare o evidenziare l’URL, è un segno di allerta.
Pop-up bloccato: I pop-up fasulli utilizzati in questa campagna non possono essere spostati o chiusi normalmente. Scompariranno solo quando ridurrai a icona la finestra del browser. Un pop-up legittimo dovrebbe essere facilmente chiudibile.
Richieste inaspettate di accesso: Le aziende legittime raramente ti chiedono di accedere con i tuoi account personali durante il processo di candidatura. Se vedi una richiesta di accesso con Google o Facebook durante una fase di candidatura, considera questa una bandiera rossa.
Discrepanze di design: Confronta la pagina con il sito ufficiale dell’azienda. Anche piccole differenze nel layout, nei colori o nella tipografia possono indicare una contraffazione.
Azioni preventive essenziali
Per proteggere te stesso da questo tipo di attacchi, segui questi consigli pratici:
Verifica sempre l’origine: Se ricevi un’offerta di lavoro via email, visita direttamente il sito web ufficiale dell’azienda (digitando l’URL nel browser) per verificare se la posizione è effettivamente disponibile. Non cliccare mai su link nelle email.
Controlla i dettagli dell’email: Gli indirizzi email dei criminali spesso contengono variazioni sottili del nome dell’azienda legittima. Esamina attentamente il dominio email.
Non inserire credenziali in pop-up: Anche se un pop-up sembra autentico, evita di inserire le tue credenziali direttamente in finestre popup durante processi di candidatura. I siti legittimi di solito reindirizzano a pagine di accesso separate.
Utilizza l’autenticazione a due fattori: Anche se i criminali ottengono la tua password, l’autenticazione a due fattori aggiunge un livello di protezione supplementare. Tuttavia, in questa campagna, i criminali cercano esplicitamente di ottenere anche i codici di verifica.
Mantieni aggiornato il tuo software: Assicurati che il tuo browser e il tuo sistema operativo siano sempre aggiornati con le ultime patch di sicurezza.
Technical Deep Dive: analisi tecnica del meccanismo di attacco
Dal punto di vista tecnico, questa campagna di phishing impiega diverse tecniche sofisticate che meritano un’analisi approfondita:
Spoofing e replicazione di interfacce: Gli attaccanti utilizzano tecniche di CSS e HTML avanzate per replicare fedelmente l’interfaccia di autenticazione di Google e Facebook. Questo include la riproduzione esatta dei colori, dei font e del layout. La ricerca di sicurezza indica che le vittime hanno difficoltà a distinguere tra interfacce autentiche e contraffatte, soprattutto quando l’interfaccia fasullo viene presentata in un contesto di pop-up.
Gestione dei token di sessione: Una volta che i criminali ottengono le credenziali dell’utente, possono utilizzare tecniche di session hijacking per mantenere l’accesso anche se l’utente cambia successivamente la password. Questo è particolarmente problematico per gli account aziendali collegati a Google Workspace o altri servizi enterprise.
Sfruttamento di servizi legittimi: L’utilizzo di Calendly e altri servizi di terze parti legittimi aggiunge credibilità all’attacco. Questi servizi sono difficili da bloccare a livello di firewall aziendale perché sono comunemente utilizzati per scopi legittimi.
Codici di verifica e autenticazione multi-fattore: La richiesta esplicita di codici di verifica a due fattori suggerisce che gli attaccanti potrebbero avere accesso a tecniche di man-in-the-middle o potrebbero essere in grado di intercettare i messaggi SMS. In alternativa, potrebbero utilizzare il codice di verifica ottenuto per accedere immediatamente all’account prima che l’utente noti l’accesso non autorizzato.
Analisi del comportamento: Gli attaccanti probabilmente utilizzano tecniche di analytics per tracciare quali link funzionano meglio, quale percentuale di utenti completa il processo di phishing e quali dati sono più preziosi. Questo consente loro di ottimizzare continuamente l’attacco.
Infrastruttura di rete: La campagna probabilmente utilizza una rete distribuita di server per ospitare le pagine di phishing, rendendo più difficile per i ricercatori di sicurezza e dalle forze dell’ordine tracciare e bloccare la fonte.
Integrazione con malware: Sebbene non documentato esplicitamente in questa campagna, è possibile che alcune varianti includano download di malware o spyware nascosti che si attivano quando l’utente interagisce con la pagina fasulla.
Per i professionisti della sicurezza informatica, è importante implementare controlli di rete avanzati, sistemi di rilevamento delle anomalie e formazione sulla consapevolezza della sicurezza per i dipendenti, specialmente coloro che hanno accesso a account aziendali.
Fonte: https://www.punto-informatico.it/attenzione-offerte-lavoro-pericolo-phishing/
