ترندز تک

دعوت‌نامه استخدام یا تله هکرها؟ چطور با یک پیشنهاد جذاب، رمز حساب گوگل شما را می‌دزدند

دعوت‌نامه استخدام یا تله هکرها؟ چطور با یک پیشنهاد جذاب، رمز حساب گوگل شما را می‌دزدند
بازدید 3
0

جست‌وجوی کار همیشه با استرس و هیجان همراه است؛ موضوعی که حالا به ابزاری برای سوءاستفاده مجرمان سایبری تبدیل شده است. پژوهشگران امنیتی از شناسایی یک کمپین فیشینگ جدید خبر داده‌اند که با جعل دعوت‌نامه‌های استخدام شرکت‌های شناخته‌شده، کاربران را به صفحه‌ای کاملاً مشابه ورود گوگل هدایت کرده و اطلاعات حساب Google آن‌ها را سرقت می‌کند.

این روزها استخدام مانند یک دهه پیش نیست و بیشتر مشاغل با استفاده از اینترنت به جستجوی کاریابان جدید اقدام می‌کنند و در آن سوی میدان نیز این روش به یکی از ارزان‌ترین و سریعترین روش‌های جستجوی کار تبدیل شده. اما آیا به این فکر کرده‌اید که ممکن است هکرها از همین الگو نیز برای طراحی یک سری حملات عجیب فیشینگ و دزدی اطلاعات شما استفاده کنند؟

هکرها خود را جای استخدام‌کنندگان برندهای بزرگ جا می‌زنند

بر اساس گزارش BleepingComputer، این کمپین فیشینگ بیش از ۳۴ شرکت شناخته‌شده را هدف جعل هویت قرار داده که در میان نام‌هایی که مهاجمان از آن‌ها سوءاستفاده می‌کنند، برندهایی مانند Netflix، Adobe، Adidas و FIFA نیز دیده می‌شود.

این حمله عمدتاً متخصصان حوزه بازاریابی و افرادی را هدف قرار می‌دهد که در جست‌وجوی فرصت‌های شغلی در شرکت‌های بزرگ هستند. قربانیان ایمیلی دریافت می‌کنند که ظاهراً از سوی یکی از استخدام‌کنندگان شرکت ارسال شده و آن‌ها را برای هماهنگی زمان مصاحبه دعوت می‌کند.

Fake-Hiring-02.jpg

برای واقعی‌تر جلوه دادن پیام، مهاجمان حتی از نام و تصویر استخدام‌کنندگان واقعی این شرکت‌ها استفاده می‌کنند؛ موضوعی که تشخیص جعلی بودن ایمیل را دشوارتر می‌کند.

Fake-Hiring-03.jpg

بستری که با صفحه لاگین گوگل مو نمی‌زند

پس از کلیک روی لینک زمان‌بندی مصاحبه، کاربر چندین بار بین صفحات مختلف هدایت می‌شود تا در نهایت به سایتی برسد که ظاهری مشابه سامانه رزرو جلسه دارد. در این مرحله از کاربر خواسته می‌شود برای ادامه، با حساب Google خود وارد شود.

اما پنجره ورود نمایش‌داده‌شده، پنجره واقعی احراز هویت گوگل نیست. این صفحه بخشی از همان سایت جعلی است و تنها ظاهر پنجره ورود گوگل را شبیه‌سازی می‌کند تا نام کاربری و رمز عبور قربانی را سرقت کند.

Fake-Hiring-01.jpg

این روش که با نام Browser-in-the-Browser (BitB) شناخته می‌شود، یکی از تکنیک‌های پیشرفته فیشینگ است که با تقلید کامل از پنجره‌های ورود مرورگر، کاربران را فریب می‌دهد.

استفاده از سرویس‌های معتبر برای جلب اعتماد کاربران

بررسی‌ها نشان می‌دهد مهاجمان برای آغاز این زنجیره حمله از سرویس منابع انسانی PeopleForce و همچنین دامنه‌ای متعلق به شرکت خوش‌نام Salesforce استفاده کرده‌اند. البته هنوز مشخص نیست که این حساب‌ها توسط خود مهاجمان ایجاد شده‌اند یا از حساب‌های سرقت‌شده برای اجرای حمله استفاده شده است.

همین موضوع باعث می‌شود بخشی از مسیر اولیه حمله روی سرویس‌های کاملاً معتبر انجام شود و احتمال اعتماد کاربران به لینک دریافتی افزایش پیدا کند.

لیستی از این کمپین‌های فیشینگ توسط ویل توماس، محقق برجسته این حوزه در گیتهاب جمع‌آوری شده که روش کار دقیق و برخی از اهداف هکرها را برای آگاهی بیشتر کاربران، تشریح می‌کند.

چگونه قربانی این حمله نشویم؟

گرفتار نشدن در این حملات ساده و در عین حال، نیازمند دقت بالاست. اگر بدون ارسال درخواست استخدام، ایمیلی از یک استخدام‌کننده دریافت کردید، با احتیاط بیشتری با آن برخورد کنید؛ به‌ویژه اگر پیشنهاد شغلی بیش از حد وسوسه‌کننده به نظر می‌رسد.

همچنین بهتر است فرصت شغلی را مستقیماً از بخش Careers (فرصت همکاری) وب‌سایت شرکت بررسی کنید و به لینک موجود در ایمیل اکتفا نکنید. اگر برای زمان‌بندی مصاحبه یا تکمیل فرم استخدام از شما خواسته شد با حساب Google، Apple یا Facebook وارد شوید، بهتر است ابتدا آدرس نهایی صفحه را با دقت بررسی کنید.

یکی دیگر از راه‌های تشخیص این نوع حمله، جابه‌جا کردن پنجره ورود است. اگر پنجره ورود گوگل واقعی باشد، به‌صورت یک پنجره مستقل مرورگر عمل می‌کند؛ اما در حملات BitB این پنجره تنها بخشی از صفحه وب است و قابلیت جابه‌جایی واقعی ندارد. همچنین استفاده از مدیر رمز عبور نیز می‌تواند تا حد زیادی از این نوع حملات جلوگیری کند، زیرا این ابزارها تنها روی دامنه واقعی گوگل اطلاعات ورود را به‌صورت خودکار تکمیل می‌کنند.

اشتراک گذاری

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

16 + هجده =