Gli analisti di sicurezza hanno identificato una campagna di phishing che prende di mira chi cerca occupazione, utilizzando i marchi di aziende molto conosciute per abbassare la soglia di sospetto. Anche se i report segnalano una maggiore incidenza negli Stati Uniti, le tecniche adottate dai criminali informatici sono efficaci ovunque: l’obiettivo è il furto di credenziali e l’accesso agli account personali o aziendali, in particolare quelli legati a Google e Facebook. Capire il funzionamento dell’attacco è il primo passo per ridurre il rischio e proteggere i propri profili digitali.
Le campagne sfruttano due scenari distinti ma simili nella strategia: una falsa procedura di prenotazione colloquio che coinvolge servizi di scheduling e una pagina che imita le offerte di lavoro di una casa automobilistica di lusso.
In entrambi i casi la vittima viene invitata a fornire dati personali e ad effettuare un accesso con servizi di terze parti. Gli operatori malevoli puntano sul fatto che la ricerca di lavoro rende le persone più propense a seguire istruzioni e cliccare link apparentemente legittimi, con conseguenze che vanno dall’esposizione dei dati sensibili alla compromissione dell’account.
Meccaniche dell’attacco
Le tecniche usate combinano ingegneria sociale e semplici espedienti tecnici per indurre all’errore. Il meccanismo frequente è il cosiddetto credential harvesting, ovvero la raccolta intenzionale di username, password e codici di verifica. I criminali ricreano interfacce familiari, integrano pulsanti come “Continua con Google” o “Accedi con Facebook” e mostrano finestre che assomigliano a popup di login. In alcuni casi l’elemento che sembra un URL è in realtà un’immagine non selezionabile, mentre il popup rimane “bloccato” nella pagina e non può essere spostato: segnali utili per riconoscere un falso.
Falsi colloqui via Calendly e login Google
Un vettore documentato prevede l’invio di un link a una pagina che sembra usare Calendly per fissare un colloquio. Alla compilazione dei dati anagrafici e alla scelta dell’orario la procedura richiede di proseguire con il pulsante “Continua con Google“. Invece del consueto popup di autenticazione viene mostrata una finestra simile a quella del browser che invita a inserire email, password e codice di verifica. Se l’utente obbedisce, le credenziali vengono catturate e possono essere impiegate per accedere a account aziendali o personali, con il rischio di furto di documenti e contatti.
Pagina lavoro fasulla e accesso con Facebook
Un altro schema riprodotto su larga scala consiste nella creazione di una pagina che replica la sezione “lavora con noi” di un brand noto, proponendo offerte nel ramo marketing o simili.
Il candidato è indotto a presentare la candidatura tramite un popup che chiede l’accesso con Facebook. Questo flusso porta alla cattura delle credenziali di accesso: una volta compromesso l’account, gli aggressori possono raccogliere informazioni personali, inviare messaggi fraudolenti agli amici e sfruttare la rete di contatti per amplificare la truffa.
Come riconoscere i falsi
Alcuni segnali aiutano a individuare una comunicazione fraudolenta: email o messaggi non richiesti che promettono colloqui, link che vogliono portare velocemente alla fase di login, finestre popup impossibili da spostare o una URL che non si può selezionare perché è un’immagine. È importante sospettare se non si è mai inviato un curriculum o se l’annuncio arriva da indirizzi che non appartengono al dominio ufficiale dell’azienda.
Verificare autonomamente la pagina “lavora con noi” sul sito ufficiale del brand e confrontare mittente e link è una difesa semplice ma spesso efficace.
Buone pratiche e consigli operativi
Per limitare i danni: evitare di cliccare link non sollecitati, aprire manualmente il sito dell’azienda digitandone l’indirizzo, non inserire mai credenziali in popup sospetti e attivare sempre il doppio fattore di autenticazione. L’uso di un password manager può impedire l’inserimento involontario di password su pagine contraffatte perché non suggerirà le credenziali fuori dal dominio noto. In caso di dubbio è consigliabile cambiare le password, verificare le sessioni attive e segnalare l’attacco al servizio interessato e alle autorità competenti.
