Kampania phishingowa podszywa się pod rozmowy rekrutacyjne znanych marek i kradnie konta Google - Security Bez Tabu

Kampania phishingowa podszywa się pod rozmowy rekrutacyjne znanych marek i kradnie konta Google

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy prowadzą nową kampanię phishingową, w której wykorzystują motyw rekrutacji do wyłudzania danych logowania do kont Google. Atak jest wymierzony głównie w specjalistów marketingu i osoby aktywne zawodowo, a jego siła wynika z połączenia wiarygodnej socjotechniki, podszywania się pod rozpoznawalne marki oraz bardzo przekonującej imitacji procesu logowania.

Scenariusz jest pozornie prosty: ofiara otrzymuje wiadomość dotyczącą atrakcyjnej oferty pracy, zostaje zaproszona do umówienia rozmowy kwalifikacyjnej, a następnie trafia na stronę, która zachęca do zalogowania się przez Google. W rzeczywistości formularz logowania nie należy do Google, lecz do atakujących, którzy przechwytują wpisane poświadczenia.

W skrócie

  • Atakujący podszywają się pod ponad 30 znanych firm z różnych branż.
  • Kampania wykorzystuje fałszywe zaproszenia na rozmowy rekrutacyjne na stanowiska marketingowe.
  • Ofiary są kierowane przez łańcuch przekierowań oparty częściowo na legalnych usługach chmurowych.
  • Kluczowym elementem oszustwa jest podrobione okno logowania Google osadzone wewnątrz strony phishingowej.
  • Celem kampanii jest przejęcie kont Google i uzyskanie dostępu do powiązanych zasobów firmowych.

Kontekst / historia

Wykorzystanie ofert pracy jako przynęty nie jest nowością, ale opisana kampania pokazuje, jak skutecznie cyberprzestępcy rozwijają klasyczne techniki socjotechniczne. Zamiast stosować alarmistyczne komunikaty, bazują na pozytywnym bodźcu: obietnicy nowej kariery, rozmowy z rekruterem i współpracy z rozpoznawalną marką. Taki pretekst zwiększa zaangażowanie ofiary i zmniejsza poziom podejrzliwości.

Dodatkowym elementem zwiększającym wiarygodność jest wykorzystywanie nazw dużych firm oraz wizerunków lub nazwisk rzeczywistych rekruterów. Według analizy badaczy kampania funkcjonuje od co najmniej kilku miesięcy i ewoluowała wraz z rozbudową infrastruktury przekierowań. Wcześniejsze warianty miały opierać się na wiadomościach sugerujących bezpośredni związek z impersonowaną marką, natomiast obecna odsłona szerzej nadużywa legalnych komponentów SaaS, co utrudnia blokowanie i analizę incydentu.

Analiza techniczna

Od strony technicznej kampania wyróżnia się wieloetapowym łańcuchem przekierowań. Wiadomość e-mail może sprawiać wrażenie wysłanej przez znaną platformę HR, jednak osadzone w niej linki prowadzą przez domeny powiązane z legalnymi usługami marketing automation i innymi zaufanymi komponentami chmurowymi. Dopiero końcowy etap kieruje ofiarę na stronę kontrolowaną przez napastników.

Taki model działania przynosi atakującym kilka korzyści. Po pierwsze, część infrastruktury pośredniczącej może być uznawana przez systemy zabezpieczające za wiarygodną. Po drugie, użytkownik widzi znajome elementy i mniej chętnie kwestionuje autentyczność procesu. Po trzecie, analiza kampanii przez zespoły bezpieczeństwa staje się bardziej złożona, ponieważ blokowanie pojedynczego adresu URL nie zawsze zatrzymuje całą operację.

Najważniejszym elementem kradzieży poświadczeń jest zastosowanie techniki browser-in-the-browser. Po kliknięciu przycisku logowania przez Google użytkownik nie widzi prawdziwego okna uwierzytelniania, lecz jego bardzo dokładną imitację stworzoną w HTML i CSS. Takie fałszywe okno może zachowywać się podobnie do legalnego mechanizmu, przez co nawet ostrożny użytkownik może uznać je za autentyczne.

W praktyce cały łańcuch wygląda wiarygodnie: zaproszenie od rekrutera, strona do planowania spotkania, a następnie przycisk „Continue with Google”. W rzeczywistości dane logowania są wpisywane bezpośrednio do formularza kontrolowanego przez cyberprzestępców. Co istotne, atak nie wymaga przejęcia legalnych usług pośredniczących — wystarczy ich nadużycie poprzez utworzenie kont, skonfigurowanie przekierowań lub wykorzystanie wcześniej skompromitowanych danych dostępowych.

Konsekwencje / ryzyko

Najbardziej oczywistym skutkiem udanego ataku jest przejęcie konta Google ofiary. W środowisku firmowym oznacza to potencjalny dostęp do poczty elektronicznej, dokumentów, kalendarzy, kontaktów oraz innych usług chmurowych zintegrowanych z tożsamością użytkownika.

W przypadku specjalistów marketingu skala zagrożenia może być jeszcze większa. Osoby te często posiadają dostęp do kont reklamowych, narzędzi analitycznych, systemów CRM, platform społecznościowych i materiałów strategicznych. Przejęcie jednego konta może więc prowadzić do dalszych nadużyć, takich jak ataki BEC, przejmowanie kampanii reklamowych, kradzież danych klientów czy przemieszczanie się napastnika do innych systemów organizacji.

Na ryzyko wpływa również sam charakter socjotechniki. Ofiary nie są straszone pilnym incydentem ani blokadą konta, lecz zachęcane do udziału w atrakcyjnym procesie rekrutacyjnym. Taki pozytywny kontekst sprzyja szybkiemu działaniu i obniża czujność, zwłaszcza gdy wiadomość wygląda profesjonalnie i odwołuje się do realnych osób lub znanych marek.

Rekomendacje

Skuteczna obrona przed tego rodzaju kampaniami wymaga połączenia działań po stronie użytkowników i zespołów bezpieczeństwa. Kluczowe jest nie tylko filtrowanie wiadomości e-mail, ale również wzmacnianie ochrony tożsamości oraz szkolenie pracowników w rozpoznawaniu nowoczesnych technik phishingowych.

  • Weryfikować, czy okno logowania Google jest prawdziwym oknem przeglądarki, a nie elementem osadzonym na stronie.
  • Zachować ostrożność wobec ofert pracy wymagających natychmiastowego logowania do konta w celu umówienia rozmowy.
  • Samodzielnie odwiedzać oficjalne strony kariery firmy zamiast korzystać z linków przesłanych w wiadomości.
  • Włączyć silne MFA odporne na phishing, najlepiej oparte na passkeys lub kluczach sprzętowych.
  • Po podejrzeniu kompromitacji natychmiast zmienić hasło, unieważnić aktywne sesje i sprawdzić historię logowań.
  • Monitorować nietypowe łańcuchy przekierowań oraz nadużycia legalnych platform SaaS w kampaniach e-mailowych.
  • Rozszerzyć ochronę poczty o analizę behawioralną i sandboxing adresów URL.
  • Szkolić pracowników w zakresie rozpoznawania technik browser-in-the-browser i fałszywych procesów logowania.
  • Egzekwować stosowanie MFA odpornego na phishing dla kont uprzywilejowanych i użytkowników wysokiego ryzyka.
  • Przygotować procedury reagowania na przejęcie tożsamości w usługach chmurowych, obejmujące reset poświadczeń, analizę skrzynki pocztowej, przegląd reguł oraz weryfikację integracji OAuth i tokenów sesyjnych.

Podsumowanie

Opisana kampania phishingowa pokazuje, że współczesne operacje kradzieży poświadczeń coraz częściej łączą wiarygodną socjotechnikę, nadużycie legalnej infrastruktury i zaawansowaną imitację interfejsów logowania. Podszywanie się pod proces rekrutacyjny znanych marek zwiększa skuteczność ataku, a technika browser-in-the-browser utrudnia ofiarom rozpoznanie oszustwa.

Dla organizacji to wyraźny sygnał, że tradycyjne filtrowanie poczty nie wystarcza. Konieczne staje się podejście wielowarstwowe, obejmujące ochronę tożsamości, monitoring nadużyć usług chmurowych, phishing-resistant MFA oraz regularne szkolenia użytkowników w zakresie nowych metod przejmowania kont.

Źródła