מחקר של חברת אבטחת המידע Proofpoint Inc גילה לאחרונה שאתר CareerBuilder נוצל על ידי תוקפים כדי לעשות "פישינג" למעסיקים ולנסות להגיע למידע פרטי וחסוי שלהם. התוקף הלא ידוע הגיב למודעות דרושים על ידי שליחת מסמכי קורות חיים מזויפים שהיו עמוסים בתוכניות זדוניות (Malware) המזיקות למחשב בצורה של וירוסים, איסוף מידע רגיש ועוד. בהמשך CareerBuilder שלחה למעסיקים הודעת דוא"ל שכללה את קורות החיים ביחד עם התוכנות הזדוניות.
מי שאי פעם פרסם משרה ב- CareerBuilder יודע בדיוק איך נראות הודעות הדוא"ל הללו ועד כמה תקיפה כזו יכולה להיות אפקטיבית. אחרי הכול, הדוא"ל מגיע ממקור אמין, CareerBuilder, כך שלא חושבים פעמיים לפני שפותחים אותו ואת מסמך קורות החיים המצורף. יתרה מזאת, חלק ממקבלי הודעות מסוג זה מאתרי קריירה אינם חושבים פעמיים לפני שהם מעבירים אותן הלאה יחד עם קורות החיים לקולגות ובכך, ללא ידיעתם, הם מכפילים את הנזק.
למרות כל זאת נראה שהיקף הנזק קטן למדי, כיוון שחברת Proofpoint אמרה שהיא איתרה פחות מ-10 הודעות דוא"ל שנשלחו עם ה-Malware והיא הודיעה על כך מיד ל-CareerBuilder, שפעלה מיד לטיפול בעניין.
המסמכים המזיקים המצורפים היו מסוג Microsoft Word ונקראו resume.doc או cv.doc. על פי אתר משאבי אנוש HR Morning, חברת Proofpoint רמזה שהסיבה לכך שהתקיפה הייתה כה קטנה קשורה כנראה לכך שהתוקף היה צריך ליצור פרופיל מזויף ולפנות למודעות הדרושים כדי לשחרר את קבצים המזיקים – פעולות הגוזלות זמן רב.
אל תעבירו את זה הלאה
החלק המטריד הוא השאלה עד כמה תקיפות כאלה יכולות להיות אפקטיביות. בתקיפת דוא"ל פישינג טיפוסית רק 23% מהנמענים יפתחו את ההודעה. מתוכם רק 11% יקליקו על הקישורים המזיקים שבגוף ההודעה. אבל מספרים אלה אינם תקפים לתקיפה מהסוג שמוזכר כאן, שבו המסר המזיק נשלח ממקור אמין. בתקיפה מסוג זה שיעורי הפתיחה והזיהום יהיו גבוהים ביותר. מומחי אבטחת מידע משערים שהתקיפה שבוצעה דרך אתר CareerBuilder הייתה ניסיון בלבד שהתוקפים השתמשו בו כדי ללמוד כיצד ניתן להשתמש באתרי קריירה דומים לפישינג.
אז מה אתם צריכים לעשות? לפחות חלק מאתרי הקריירה נערכים לבלום מתקפות מסוג זה. המלצות שקיבלו אתרי הקריירה הן לסרוק את המסמכים שמועלים אליהם, לייצא את תוכן המסמכים לפורטל ברשת ולשלוח קישורים בטוחים לארגונים. המעסיקים הם המטרה העיקרית של התקיפה ולכן מומלץ לדבר עם מחלקות ה-IT ולהתייעץ עמן. אתם לא רוצים להקפיא חיפושי מועסקים ולהפסיד כוכבים בגלל שפחדתם לפתוח קורות חיים של מישהו.
