Proofpoint heeft eind mei 2023 een campagne ontdekt waarbij een reeks e-mails met vacatures als thema werden gebruikt om universiteitsstudenten op te lichten. De valse berichten waren voornamelijk afkomstig van biowetenschappelijke, zorg- en biotechnologische organisaties, maar ook van enkele niet-gerelateerde organisaties. De campagne liep door tot juni 2023.
In de mails werd de ontvanger gevraagd om op sollicitatiegesprek te komen voor een remote functie zoals data entry medewerker. De e-mails bevatten meestal een pdf als bijlage met daarin zogenaamd informatie over de organisatie, de vacature, het salaris en de specificaties van de benodigde apparatuur.
De afzender nodigde de ontvanger vervolgens uit voor een video- of chatgesprek om meer informatie te krijgen en om het slachtoffer voor te bereiden op de functie. Proofpoint kan de vragen die tijdens een dergelijk videogesprek werden gesteld niet bevestigen. Onderzoekers vermoeden, op basis van vergelijkbare campagnes, dat de aanvaller waarschijnlijk vroeg om een voorschot voor de apparatuur te betalen voordat deze werd geleverd.
Uit data van Proofpoint en andere bronnen kwamen meerdere gerelateerde en vergelijkbare campagnes naar voren die dezelfde thema's gebruikten. Ook deze campagnes leidden uiteindelijk tot advance fee fraud (AFF). De eerste activiteit werd in maart 2023 waargenomen.
Universiteiten zijn vaak het doelwit van vacaturefraude. Studenten zijn waarschijnlijk eerder bereid om flexibel en op afstand te werken. Daarnaast herkennen internationale studenten de signalen van frauduleuze e-mails wellicht minder goed dan mensen die de moedertaal spreken. Bovendien hebben de stijgende inflatie en onderwijskosten een grote impact op de financiën van studenten, waardoor de belofte van snel geld aantrekkelijker wordt.
"Vacaturefraude is gericht op mensen die werk zoeken. Meestal wordt een baan aangeboden, terwijl er tegelijkertijd wordt gevraagd om betaling voor zaken als apparatuur of andere zaken die nodig zijn voor de functie. Deze oplichters maken gebruik van social engineering en profiteren van iemands enthousiasme of verlangen naar een nieuwe baan, om vervolgens hun geld te stelen", aldus Selena Larson, Senior Threat Intelligence Analyst bij Proofpoint
Proofpoint heeft eerder al
informatie gepubliceerd over vacaturefraude gericht op universiteiten. Maar deze nieuwe campagne, waarbij werkgevers in de wetenschappelijke en technologische wereld worden gespooft, is uniek.
Voorbeelden van campagnes
Afbeelding 1: Uitnodiging voor een sollicitatiegesprek waarbij een biowetenschappelijk bedrijf wordt gespooft.
De aanvaller creëerde nepdomeinen die van legitieme bedrijven leken te zijn en voegde meestal "carrières" toe aan de domeinnaam. De e-mailadressen waren zogenaamd afkomstig van mensen die daadwerkelijk werken bij de bedrijven die de aanvaller probeerde te imiteren.
De berichten bevatten een pdf als bijlage met details over het bedrijf en de functie. De pdf's bevatten over het algemeen steeds dezelfde tekst, waarbij enkele details werden gewijzigd, zoals het logo, de bedrijfsnaam, de website en de locatie. Deze variabelen waren altijd dikgedrukt. Dit suggereert dat de aanvaller met behulp van automatisering massaal pdf's creëerde met verschillende bedrijfsnamen om de documenten te 'personaliseren'.
Afbeelding 2: Voorbeelden van pdf's waarin wetenschappelijke bedrijven worden nagebootst met dezelfde beschrijvingen, maar met verschillende bedrijfsnamen, locaties en websites. Elke pdf bevatte een pagina met hardware- en softwarevereisten, waarvan de totale kosten opliepen tot 7.000 dollar.
Afbeelding 3: Voorbeeld van een hardware- en softwarelijst die is toegevoegd aan een nepvacature.
De cybercrimineel nodigt de ontvanger uit voor een virtueel gesprek om de functie verder te bespreken. Hoewel Proofpoint verdere acties niet kan bevestigen, is het waarschijnlijk dat:
- De ontvanger werd gevraagd om vooraf te betalen voor de computer en andere benodigdheden, en dat de kosten zullen worden terugbetaald bij het eerste salaris.
- Er werd een valse cheque verstrekt die de ontvanger moest gebruiken om een computer en producten te kopen bij hun "leverancier", die vervolgens werd geweigerd.
Dit is typisch gedrag voor cybercriminelen die vacaturefraude plegen. In sommige gevallen kan de aanvaller ook vragen om de 'verzendkosten' van de artikelen die ze zouden moeten kopen in cryptocurrency te betalen.
Conclusie
Op basis van de geobserveerde payloads, slachtoffers en het volume van de berichten, is Proofpoint ervan overtuigd dat dit een financieel gemotiveerde groep cybercriminelen is. Deze activiteit is meestal gericht op universiteitsstudenten, vooral werkzoekende studenten.
Iedereen moet zich bewust zijn van dit type bedreiging, vooral mensen die momenteel op zoek zijn naar een baan en contact hebben met recruiters en HR-personeel. Legitieme werkgevers zullen nooit een loonstrookje sturen voor de eerste werkdag van een werknemer, en ze zullen werknemers nooit vragen geld te sturen om iets te kopen voordat ze met hun baan beginnen.