Fałszywi rekruterzy podszywają się pod Palo Alto Networks. Kandydaci tracą setki dolarów w nowym schemacie phishingowym - Security Bez Tabu

Fałszywi rekruterzy podszywają się pod Palo Alto Networks. Kandydaci tracą setki dolarów w nowym schemacie phishingowym

Cybersecurity news

Wprowadzenie do problemu / definicja

Podszywanie się pod rekruterów znanych firm to coraz częstsza odmiana phishingu ukierunkowanego, łącząca socjotechnikę, oszustwo finansowe i nadużycie zaufania do rozpoznawalnej marki. W opisywanym przypadku cyberprzestępcy imitowali proces rekrutacyjny Palo Alto Networks, aby przekonać kandydatów do opłacenia rzekomej usługi dopasowania CV do wymagań systemów ATS.

To istotny przykład współczesnych oszustw, w których atak nie musi zaczynać się od złośliwego załącznika ani linku. Wystarczy wiarygodna narracja, dobrze przygotowana komunikacja i wykorzystanie presji towarzyszącej procesowi rekrutacji.

W skrócie

  • Atakujący podszywali się pod rekruterów Palo Alto Networks i kontaktowali się z kandydatami do pracy.
  • Kampania wykorzystywała publicznie dostępne dane zawodowe do personalizacji wiadomości.
  • Ofiary były informowane, że ich CV wymaga płatnej korekty pod kątem systemów ATS.
  • Oferowane pakiety kosztowały od 400 do 800 dolarów.
  • Celem było bezpośrednie wyłudzenie pieniędzy oraz potencjalne pozyskanie cennych danych osobowych i zawodowych.

Kontekst / historia

Oszustwa rekrutacyjne od lat pozostają aktywnym elementem krajobrazu zagrożeń, jednak ich obecna forma jest znacznie bardziej dopracowana niż klasyczne kampanie phishingowe. Cyberprzestępcy coraz lepiej rozumieją sposób działania działów HR, znaczenie systemów ATS oraz zachowania kandydatów ubiegających się o stanowiska specjalistyczne i menedżerskie.

W tym przypadku szczególnie skuteczne okazało się połączenie kilku czynników: rozpoznawalnej marki technologicznej, profesjonalnie brzmiącej komunikacji, wykorzystania szczegółów z kariery zawodowej ofiary oraz stworzenia pozornego problemu proceduralnego. Taki model działania wpisuje się w szerszy trend nadużywania procesów zatrudnienia jako wektora ataku.

Na tle innych kampanii rekrutacyjnych ten schemat wyróżnia się naciskiem na bezpośredni komponent finansowy. Zamiast klasycznego dostarczania malware lub kradzieży poświadczeń na pierwszym etapie, atakujący skupili się na przekonaniu ofiary do dobrowolnej płatności.

Analiza techniczna

Łańcuch ataku miał charakter socjotechniczny, ale był zaprojektowany w sposób metodyczny i wieloetapowy. Pierwszym krokiem było nawiązanie kontaktu przez osobę podszywającą się pod przedstawiciela zespołu rekrutacyjnego. Wiadomości sprawiały wrażenie autentycznych, ponieważ zawierały profesjonalny język, odniesienia do doświadczenia zawodowego kandydata oraz elementy budujące wiarygodność marki.

Następnie następowała personalizacja przekazu. Atakujący wykorzystywali dane z publicznych profili zawodowych, aby odwoływać się do konkretnych stanowisk, osiągnięć i etapów kariery. Taka technika skutecznie ogranicza sygnały ostrzegawcze typowe dla masowego phishingu i zwiększa prawdopodobieństwo zaufania do nadawcy.

Kolejny etap polegał na stworzeniu sztucznej przeszkody proceduralnej. Ofiara otrzymywała informację, że jej CV nie spełnia wymagań systemu Applicant Tracking System. Motyw ATS jest szczególnie przekonujący, ponieważ odpowiada realiom współczesnej rekrutacji i brzmi wiarygodnie dla kandydatów.

W dalszej fazie pojawiał się kolejny rzekomy specjalista, który oferował płatne poprawienie dokumentów. Proponowane usługi obejmowały różne poziomy wsparcia, od podstawowego dopasowania do ATS po pełne przepisanie CV i pozycjonowanie kandydata pod role liderskie. Jednocześnie wzmacniano presję czasu, sugerując, że decyzje rekrutacyjne zapadną w krótkim terminie.

Z perspektywy bezpieczeństwa mamy tu do czynienia z dojrzałym oszustwem procesowym zbliżonym do modelu Business Email Compromise w wariancie HR fraud. Kluczowym elementem nie jest złośliwy kod, lecz zmanipulowanie decyzji użytkownika i skłonienie go do wykonania płatności lub przekazania kolejnych danych.

Konsekwencje / ryzyko

Najbardziej bezpośrednią konsekwencją dla ofiary jest strata finansowa. Jednak rzeczywiste ryzyko jest znacznie szersze. Kandydaci mogą przekazać oszustom rozbudowane informacje osobowe i zawodowe, w tym historię zatrudnienia, dane kontaktowe, informacje o obecnym pracodawcy oraz szczegóły dotyczące obowiązków i struktury organizacyjnej.

Tego rodzaju dane mają dużą wartość wywiadowczą. Mogą zostać wykorzystane do kolejnych kampanii phishingowych, prób przejęcia kont, ataków ukierunkowanych na pracodawcę ofiary albo sprzedaży w przestępczym obiegu informacji.

Ryzyko dotyczy także firmy, pod którą podszywają się napastnicy. Takie incydenty osłabiają zaufanie do marki pracodawcy, obciążają działy HR i bezpieczeństwa dodatkowymi zgłoszeniami oraz mogą prowadzić do szkód reputacyjnych. W praktyce atak uderza równocześnie w kandydatów i w wiarygodność całego procesu rekrutacyjnego.

Rekomendacje

Kandydaci powinni traktować jako poważny sygnał ostrzegawczy każdą sytuację, w której rekruter żąda opłaty za udział w procesie, sugeruje skorzystanie z płatnej usługi zewnętrznej lub wywiera presję związaną z krótkim terminem poprawienia aplikacji. Legalne procesy rekrutacyjne nie wymagają od kandydatów opłacania korekty CV w celu przejścia do kolejnego etapu.

Warto stosować wielokanałową weryfikację tożsamości rekrutera. Najlepiej sprawdzić, czy oferta istnieje na oficjalnej stronie kariery, czy osoba kontaktująca się z kandydatem rzeczywiście jest powiązana z organizacją oraz czy domena nadawcy i dane kontaktowe są spójne z publicznie dostępnymi informacjami.

  • Nie dokonuj żadnych płatności związanych z rekrutacją bez niezależnego potwierdzenia autentyczności procesu.
  • Sprawdzaj domenę nadawcy, adres odpowiedzi i spójność podpisu w korespondencji.
  • Weryfikuj ofertę pracy na oficjalnej stronie firmy oraz w jej kanałach komunikacyjnych.
  • Nie przekazuj nadmiarowych danych osobowych ani dokumentów bez upewnienia się, że kontakt jest legalny.
  • Stosuj unikalne hasła, menedżer haseł i MFA dla poczty oraz kont zawodowych.

Z perspektywy organizacji kluczowe jest publikowanie jasnych zasad procesu rekrutacji, informowanie, że firma nie pobiera opłat od kandydatów, monitorowanie nadużyć marki oraz zapewnienie łatwego kanału zgłaszania fałszywych kontaktów. Istotne są również szkolenia dla HR i zespołów employer branding w zakresie impersonacji i fraudów rekrutacyjnych.

Podsumowanie

Kampania wykorzystująca markę Palo Alto Networks pokazuje, że nowoczesny phishing coraz częściej odchodzi od prostych, masowych przynęt na rzecz starannie przygotowanych oszustw osadzonych w realnych procesach biznesowych. Personalizacja, autorytet znanej firmy, wiarygodny motyw ATS i presja czasu tworzą skuteczny model wyłudzenia.

Dla rynku cyberbezpieczeństwa to wyraźny sygnał, że ochrona użytkowników musi obejmować nie tylko wykrywanie złośliwego oprogramowania, ale także identyfikację manipulacji procesowej i nadużyć zaufania. Rekrutacja staje się pełnoprawną powierzchnią ataku, a kandydaci do pracy są dziś celem działań prowadzonych z dużą precyzją.

Źródła

  1. Dark Reading — https://www.darkreading.com/cyberattacks-data-breaches/phishers-pose-palo-alto-networks-recruiters-job-scam
  2. Palo Alto Networks Unit 42 — 2025 Unit 42 Global Incident Response Report: Social Engineering Edition — https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/
  3. Palo Alto Networks Unit 42 — Contagious Interview: DPRK Threat Actors Lure Tech Industry Job Seekers — https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/