Turnover del personale e crisi economica: campagne di phishing mirate alla filiera del lavoro
Da circa due anni a questa parte, stiamo assistendo, in tutto il mondo, al fenomeno delle “dimissioni di massa”: le aziende sono colpite da un turnover del personale mai visto prima, con implicazioni sulla sicurezza informatica da non sottovalutare.
Questo fenomeno, unito alla crisi economica in atto, è sfruttato ad arte, da criminali informatici senza scrupoli, per campagne a tema lavorativo, rivolte a persone in cerca di lavoro, datori di lavoro ed agenzie di recruitment del personale.
Questi tipi di attacco stanno diventando sempre più comuni a causa dell’elevato volume di domande che datori di lavoro e agenzie di reclutamento ricevono: i criminali informatici sono sempre molto attenti alle tendenze, ai comportamenti delle persone, a quello che succede nella società.
Le campagne di phishing sono di due tipi: prendono di mira le persone in cerca di lavoro, inviando e-mail da mittenti riconducibili ad agenzie di reclutamento, chiedendo loro di fornire informazioni personali o credenziali di accesso e infettando con malware quali AgentTesla, Emotet, Cryxos Trojans e Nemucod i dispositivi. Chi in cerca di lavoro non ci cascherebbe?
Allo stesso modo, gli attaccanti si atteggiano a persone in cerca di lavoro per attaccare potenziali datori e agenzie di reclutamento, inviando e-mail che contengono malware tramite allegati o URL camuffati da curriculum dei candidati e documenti di identificazione. Chi alla ricerca di personale non li aprirebbe?
Inoltre, I criminali informatici stanno creando domini dai nomi molto simili a quelli dei più popolari siti Web di ricerca del personale (con lievi variazioni nel nome, sostituendo per esempio qualche lettera, o usando estensioni diverse), facendo credere alle vittime che stiano facendo domanda per un posto di lavoro tramite un sito Web legittimo, quando in realtà stanno fornendo le loro informazioni sensibili ai criminali informatici.
Massima allerta quindi su tutto ciò che riguarda il mondo della domanda e dell’offerta di lavoro: usare la massima cautela, accertarsi sempre della provenienza delle mail, prestare la massima attenzione a link ed allegati che potrebbero riservare bruttissime sorprese.
Una buona strategia di awareness deve prevedere anche un’adeguata formazione in tal senso.
Fonte: https://www.databreachtoday.com/phishing-campaign-targets-job-seekers-employers-a-21371