Dziennikarka zdemaskowała perfidny plan. Uważajcie na takie maile!

• Dziennikarka portalu wyborcza.biz opisała przykład zaawansowanego phishingu, w którym oszuści podszywają się pod rekruterów oferujących atrakcyjną pracę w Warszawie.
• Głównym celem ataku jest nakłonienie ofiary do pobrania i otwarcia złośliwego pliku .zip, co może prowadzić do kradzieży danych lub zainfekowania komputera.
• Sygnały ostrzegawcze, które pozwoliły zdemaskować oszustwo, to m.in. nienaturalny język (kalki z angielskiego), wysyłanie maili w dni wolne od pracy oraz fałszywe dane firmy (wirtualne biuro, nieistniejący oddział).

Dziennikarka dostała maila z "ofertą pracy". To nowe oszustwo

Historia ta to ostrzeżenie dla wszystkich, którzy szukają zatrudnienia lub po prostu otwierają podejrzane maile. Pewnego ranka w skrzynce mailowej dziennikarki portalu wyborcza.biz Joanny Sosnowskiej pojawiła się wiadomość, która mogłaby zmylić każdego. Nadawca, podszywający się pod rekrutera, oferował stanowisko Senior Editor w „niemieckiej firmie” planującej otwarcie oddziału w Warszawie i zatrudnienie ponad 400 osób. Wiadomość była napisana poprawną polszczyzną, a adres e-mail i stopka wyglądały na całkowicie autentyczne, zawierając nawet adres biura w Warszawie i numer telefonu. Całość sprawiała wrażenie profesjonalnej i wiarygodnej.

- Wspieramy niemiecką firmę, która w tym roku rozwija swoją działalność w Polsce i otwiera oddział w Warszawie z zespołem ponad 400 osób. Biorąc pod uwagę Pani doświadczenie z Wyborcza oraz rekomendacje, które otrzymaliśmy, nasz klient chciałby rozważyć Panią na stanowisko Senior Editor. Jest gotowy przejść do formalnej oferty (wstępny projekt jest już przygotowany), jeśli ta propozycja odpowiada Pani zainteresowaniom. Proponuję umówić się na poufną, niezobowiązującą 15-minutową rozmowę w tym tygodniu, aby omówić stanowisko i pakiet. Proszę dać znać, który termin byłby dla Pani wygodny. Chętnie kontynuujemy również mailowo, jeśli tak będzie łatwiej – tak brzmiała treść wiadomości.

Choć na pierwszy rzut oka język wiadomości wydawał się bezbłędny, dokładniejsza analiza ujawniła subtelne, ale znaczące sygnały ostrzegawcze. Okazało się, że wiadomość ta, choć stylistycznie poprawna, nie została napisana przez osobę, dla której polski jest językiem ojczystym.

Oszustów zdradził język. Polegli na odmianie przez przypadki

Pierwszym sygnałem alarmowym była tak zwana „mianownikoza”, czyli dosłowne tłumaczenie konstrukcji angielskich na polski, bez uwzględnienia odmiany rzeczowników. Przykładem jest fraza „Biorąc pod uwagę Pani doświadczenie z Wyborcza” zamiast poprawnego „z »Wyborczej«”. Podobnie „Klient chciałby rozważyć panią na stanowisko” to kalka z angielskiego „consider you for the role”, a „Klient jest gotowy przejść do formalnej oferty” z „ready to move to a formal offer”. Te językowe niuanse, choć drobne, świadczą o tym, że tekst został prawdopodobnie wygenerowany przez translator lub napisany przez osobę, która nie posługuje się biegle językiem polskim. To pierwszy, ale bardzo ważny znak, że mamy do czynienia z oszustwem na „niemiecką firmę”.

Dziennikarka, podejrzewając pułapkę, postanowiła kontynuować korespondencję, aby zdemaskować mechanizm działania oszustów. Wyraziła zainteresowanie ofertą i rozmową, a odpowiedź nadeszła błyskawicznie. - Tu Katarzyna, asystentka Klaudii. Cieszę się, że się odezwałaś i że oferta Cię zainteresowała. Proponuję krótką rozmowę w środę o 18:00. Możemy połączyć się przez Zoom lub Teams, jak będzie Ci wygodniej. Jeśli wolisz, zapraszamy też do naszego biura na spotkanie osobiste, jak Ci będzie najwygodniej. Czy ten termin Ci odpowiada? W załączniku prześlę projekty oferty oraz umowy o poufności NDA. Nie trzeba niczego podpisywać na tym etapie, to tylko do wglądu przed rozmową – brzmiała kolejna wiadomość. Kluczowy był tu link opisany jako „Oferta”, który miał rzekomo prowadzić do szczegółów propozycji.

Nie klikaj w podejrzane linki!

Oczywiście, dziennikarka, świadoma zagrożeń, nie kliknęła w link. Zamiast tego odpisała, że ma problemy z otwarciem załącznika i poprosiła o streszczenie oferty, jednocześnie proponując zmianę godziny spotkania. Odpowiedź oszustów była przewidywalna i ujawniła ich prawdziwe intencje. - Niestety musimy przestrzegać standardów ochrony poufności danych, dlatego system czasem blokuje dostęp z niektórych urządzeń mobilnych. Niestety nie możemy tego od razu zmienić po naszej stronie. Mogę przekazać to do naszego działu IT, aby sprawdzili sytuację i dali znać, co sugerują. Alternatywnie możesz spróbować otworzyć dokument z komputera, co zazwyczaj działa bez problemów – napisali.

To klasyczna taktyka: zachęcanie do otwarcia podejrzanego pliku z komputera, który jest znacznie bardziej podatny na infekcje złośliwym oprogramowaniem niż smartfon. Stwierdzenia o „standardach ochrony poufności danych” miały uwiarygodnić prośbę, choć plik był przechowywany na legalnej platformie Heroku. Oszuści liczyli na to, że ofiara, chcąc zapoznać się z ofertą, zignoruje sygnały ostrzegawcze i otworzy plik na komputerze, co mogłoby skutkować zainfekowaniem systemu. Warto pamiętać, że telefony są zazwyczaj bardziej odporne na złośliwe oprogramowanie, a komputer, zwłaszcza z systemem Windows, jest łatwiejszym celem dla cyberprzestępców.

Oszustwo na „niemiecką firmę” to przykład phishingu, czyli wyłudzania informacji. Oszuści wykorzystują prawdziwe dane o potencjalnej ofierze – w tym przypadku miejsce pracy dziennikarki, które znalazły na jej profilu w serwisie LinkedIn. Adres e-mail mógł wyciec z bazy danych lub zostać odgadnięty na podstawie schematu imię[email protected]. Link prowadził do platformy Heroku, która, choć legalna, bywa wykorzystywana do hostowania stron phishingowych i złośliwego oprogramowania. Warto zaznaczyć, że pod koniec sierpnia izraelska firma Check Point wykryła podobną kampanię, w której atakujący nawiązywali kontakt przez publiczne formularze, a po długiej korespondencji wysyłali plik .zip zawierający złośliwe oprogramowanie MixShell, umożliwiające zdalny dostęp do komputera i kradzież danych.

Dziennikarka, podejrzewając najgorsze, nie zaryzykowała otwarcia pliku. Słusznie założyła, że intencje oszustów są maksymalnie wrogie – od wyłudzenia danych osobowych po zainfekowanie komputera. Okazało się, że agencja rekrutacyjna Approach People, na którą powoływali się oszuści, rzeczywiście istnieje, ale nie ma biura w Warszawie, a jej przedstawiciele potwierdzili, że dwie „rekruterki” nie są z nią w żaden sposób powiązane.