Ondate di email di finto recruiting imitano Amazon, Carrefour ed enti pubblici per carpire dati, credenziali e denaro ai candidati in cerca di lavoro.
Autore: Redazione SecurityOpenLab
“Amazon e Carrefour assumono, il tuo curriculum conferma che sei idoneo”. Non è un'offerta di impiego, è una truffa scoperta e monitorata dai Bitdefender Antispam Lab. Fa parte di una ondata di attacchi che sfrutta un trend stagionale ben noto: con l’inizio dell’anno ripartono i budget HR, le aziende pubblicano nuove candidature e molte persone iniziano a inviare curricula o a riattivare vecchi profili sulle piattaforme di recruiting. Questa finestra temporale, tradizionalmente favorevole al mercato del lavoro, viene puntualmente sfruttata dai cyber criminali per far circolare campagne di phishing costruite su offerte di lavoro imperdibili, spesso a nome di brand che godono di un’elevata fiducia presso il pubblico.
Le email analizzate dagli esperti di Bitdefender imitano comunicazioni di prestigiosi datori di lavoro e di rinomate agenzie di selezione, oltre che di enti della pubblica amministrazione, come per esempio il servizio sanitario britannico. Il meccanismo psicologico è basico ma molto efficace: agganciarsi a loghi e nomi noti, che l’utente riconosce al volo, per abbassare le difese e ridurre al minimo le verifiche sulla legittimità del mittente e dell’offerta.
Il copione parte quasi sempre da una buona notizia: il destinatario viene informato che il suo curriculum è stato visionato e giudicato idoneo, spesso “perfettamente adatto” o “eccellente” per la posizione proposta. In alcuni casi, il testo del messaggio cita esplicitamente piattaforme come Indeed, lasciando intendere che il contatto avvenga in seguito a una candidatura precedente. In altri arriva senza che la persona abbia mai inviato richieste per quel ruolo o per quell’azienda.
C’è poi l’immancabile componente dell’urgenza: bisogna confermare subito il colloquio per assicurarsi il posto, oppure procedere con le fasi successive del processo di selezione, cliccando su un pulsante ben visibile. Il lessico è studiato per evocare la ritualità tipica delle procedure aziendali: slot limitati, step successivi, eccetera per confondere l’email in quelle legittime per un iter di assunzione.
Bitdefender distingue due filoni di campagne: i messaggi a contatto diretto e le email a conferma rapida. Entrambe hanno lo stesso obiettivo, ma nel primo caso le comunicazioni assomigliano a lunghe email di HR, ricche di istruzioni operative che invitano a spostare la conversazione su canali esterni, come app di messaggistica o piattaforme di scheduling. I messaggi di contatto diretto servono soprattutto a costruire un rapporto più personale e prolungato con la vittima, creando l’illusione di un vero processo di selezione in corso. Una volta che il candidato accetta di parlare su WhatsApp, Telegram o Microsoft Teams con il sedicente recruiter, vengono richiesti documenti d’identità, CV completi di tutti i recapiti, informazioni sensibili o persino pagamenti anticipati per corsi di formazione, dotazione hardware o oneri amministrativi. Le email a conferma rapida si muovono su una direttiva diametralmente opposta: poco testo, forte impatto visivo, logo del brand bene in vista e pulsante centrale di Call to Action che promette di bloccare subito il colloquio o la posizione.
Una volta che la vittima interagisce, lo scenario cambia a seconda delle informazioni estorte. CV completi, copie di documenti, numeri di telefono, indirizzi email e altre informazioni analoghe alimentano il furto di dati personali riciclati in ulteriori campagne di phishing o frodi di identità, anche a distanza di tempo. Se invece ci sono link che portano all’esterno, si tratta di portali di login clonati che imitano siti di posta elettronica, reti aziendali o piattaforme di recruiting, il cui obiettivo è il furto di credenziali.
Terzo scenario è quello della frode economica, che si attua chiedendo al candidato di pagare una quota per formazione o altro. C’è poi un ulteriore scenario indiretto: le infezioni malware, perché link e allegati presentati come moduli da compilare o brochure aziendali possono contenere codice malevolo che attua la compromissione del dispositivo mediante l’installazione di trojan, infostealer o altri payload in grado di sottrarre a loro volta credenziali e dati sensibili.
Bitdefender rileva che queste campagne hanno una portata internazionale, con messaggi inviati in più lingue, tra cui inglese, italiano, francese e spagnolo, spesso adattati al Paese della potenziale vittima. I principali bersagli risiedono negli Stati Uniti, Regno Unito, Francia, Italia e Spagna e le email presentano formati diversi: alcune riproducono lo stile sobrio delle comunicazioni ufficiali delle Risorse Umane, altre puntano su grafiche accattivanti, banner e pulsanti colorati che richiamano le interfacce dei portali di hiring delle grandi aziende.
Le best practice per una difesa efficace sono sempre le stesse. Diffidare di contatti non richiesti, nel caso specifico privi di una candidatura pregressa, sospettare di una candidatura immediata e senza colloquio. L’elemento della fretta indotta è poi il classico campanello di allarme di tutte le truffe. È importante anche prestare sempre attenzione all’indirizzo del mittente: spesso nelle email di truffa sono generici o chiaramente differenti al dominio ufficiale dell’azienda. Una buona pratica, nel caso delle paventate offerte di lavoro, è confrontare l’offerta ricevuta via email con le posizioni aperte sulle pagine ufficiali dei brand coinvolti.
In caso persitano i casi dubbi, Bitdefender esorta a fare uso di strumenti gratuiti come Scamio, che analizza email, messaggi o link sospetti per valutarne le caratteristiche e spiegare se rientrano in uno schema di truffa conosciuto.