Аналитики сервиса Smart Business Alert (SBA), входящего в группу компаний «Кросс технолоджис», сообщили о масштабной мошеннической кампании, нацеленной на ИТ-специалистов, ищущих работу. Злоумышленники массово регистрируют домены с ключевым словом OFFER (например, bank-offer[.]ru, offer-bank[.]ru) и рассылают с них фишинговые письма с «заманчивыми» предложениями трудоустройства.
По данным SBA, мошенники активно собирают контакты специалистов, оставленные на сайтах по поиску работы, и рассылают им целевые письма с вредоносными ссылками. Такие письма часто имитируют коммуникации от банков или рекрутинговых платформ.
«Рассылки идут в рабочее время — вероятно, чтобы повысить шанс, что человек откроет письмо с рабочего устройства или под корпоративным VPN», — рассказал Сергей Трухачев, руководитель сервиса SBA.
Основные цели мошенников — кража персональных данных и учетных записей, включая доступы к криптокошелькам, а также проникновение в корпоративную инфраструктуру через устройства специалистов.
После первичной компрометации злоумышленники могут закрепиться в сети компании, использовать зараженные устройства при переходе сотрудника на новое место работы или даже атаковать партнеров и клиентов через доверенные каналы.
По словам экспертов, ИТ-специалисты обычно хорошо знакомы с техникой фишинга, однако злоумышленники делают ставку на психологический эффект.
«Когда человек активно ищет работу, письмо с оффером вызывает скорее интерес, чем настороженность. Особенно если он ежедневно получает реальные предложения. Этот эмоциональный контраст — ожидание и спешка в ответе — и делает атаки эффективными», — пояснила Анна Головко, HR-директор «Кросс технолоджис».
Эксперты советуют компаниям усиливать не только техническую защиту, но и проводить обучение персонала: проверять домены-отправители, внимательно относиться к письмам с «офферами» и соблюдать базовые меры цифровой гигиены при откликах на вакансии.
