-
09/04/2020
-
122
-
1.385 bài viết
Hú hồn bẫy tuyển dụng từ xa: Khi “nhà tuyển dụng giả” âm thầm chiếm quyền máy tính
Một nhóm chuyên gia an ninh mạng từ BCA LTD, NorthScan và ANY.RUN vừa vạch trần một chiêu lừa tinh vi đang manh nha trong thời đại làm việc từ xa. Kẻ tấn công không đóng giả người xin việc như nhiều người tưởng mà lại tự dựng lên hình ảnh một “nhà tuyển dụng” hoặc “dịch vụ môi giới việc làm”, tiếp cận ứng viên để mượn danh tính và tìm cách chiếm quyền truy cập máy tính của họ. Đồng phạm của nhóm này sẽ dùng chính chiếc máy đó để thao tác và thâm nhập vào các công ty khác.
Ảnh: Bloomberg
Để tìm hiểu cách thức hoạt động, nhóm NorthScan đóng vai một lập trình viên đang tìm việc và chủ động trao đổi với “nhà tuyển dụng” khả nghi. Chỉ sau vài cuộc trò chuyện, ý đồ thật sự đã lộ ra: họ không hề quan tâm đến kỹ năng hay kinh nghiệm lập trình, thứ họ cần chỉ là danh tính của ứng viên, các tài khoản online và quyền truy cập hoàn toàn vào laptop của người đó. Ứng viên chỉ đóng vai “người đứng tên”, còn người trực tiếp thao tác lại là kỹ thuật viên ẩn danh của nhóm tấn công. Cách làm này giúp chúng dùng thiết bị của nạn nhân như một lớp vỏ hợp pháp để tiếp cận doanh nghiệp, tìm dữ liệu hoặc chuẩn bị cho những cuộc xâm nhập sâu hơn.
Ảnh chụp màn hình tin nhắn của một nhà tuyển dụng giả mạo mời chào cơ hội việc nhưng thực ra là cái
Trong quá trình trao đổi, “nhà tuyển dụng giả” tiếp tục đưa ra nhiều yêu cầu đáng ngờ như đòi giấy tờ tùy thân, muốn truy cập điều khiển từ xa để “hỗ trợ công việc” và thậm chí muốn quản lý laptop của ứng viên 24/7. Khi nhận thấy mức độ rủi ro, nhóm điều tra quyết định giăng bẫy để quan sát toàn bộ hành vi của đối tượng.
Hình ảnh cắt ra từ clip phỏng vấn tuyển dụng từ xa
Thay vì cung cấp máy thật, nhóm NorthScan tạo ra hàng loạt máy ảo trên hệ thống ANY.RUN trông giống laptop sử dụng hàng ngày, có lịch sử thao tác, công cụ lập trình và kết nối mạng hợp pháp. Không hề nghi ngờ, kẻ tấn công bắt đầu làm việc trên những máy ảo này. Nhóm nghiên cứu theo dõi được mọi thao tác, đôi lúc còn cố ý tạo lỗi để xem phản ứng, đồng thời ghi nhận toàn bộ công cụ mà kẻ tấn công sử dụng.
Qua các phiên làm việc, họ phát hiện đối tượng sử dụng các phần mềm AI để tự động nộp hồ sơ và trả lời phỏng vấn, công cụ tạo mã xác thực để chiếm tài khoản, Google Remote Desktop cấu hình sẵn mã PIN để duy trì quyền kiểm soát cùng nhiều lệnh kiểm tra hệ thống để chắc chắn rằng thiết bị là thật. Đường truyền của chúng thường được che giấu bằng VPN. Ở một số thời điểm, chúng còn để lại tin nhắn yêu cầu cung cấp thông tin cá nhân và thông tin ngân hàng.
Kiểu tấn công dựa trên tuyển dụng từ xa đang trở thành cánh cửa xâm nhập mới mà nhiều doanh nghiệp chưa kịp cảnh giác. Chỉ cần một nhân viên bị lừa cung cấp quyền truy cập máy tính, toàn bộ hệ thống nội bộ có thể gặp rủi ro. Doanh nghiệp cần có quy trình kiểm chứng ứng viên cẩn thận khi tuyển dụng, đào tạo nhân viên cách nhận biết dấu hiệu bất thường và xây dựng kênh báo cáo an toàn để ngăn chặn nguy cơ từ sớm.
Ảnh: Bloomberg
Ảnh chụp màn hình tin nhắn của một nhà tuyển dụng giả mạo mời chào cơ hội việc nhưng thực ra là cái
Trong quá trình trao đổi, “nhà tuyển dụng giả” tiếp tục đưa ra nhiều yêu cầu đáng ngờ như đòi giấy tờ tùy thân, muốn truy cập điều khiển từ xa để “hỗ trợ công việc” và thậm chí muốn quản lý laptop của ứng viên 24/7. Khi nhận thấy mức độ rủi ro, nhóm điều tra quyết định giăng bẫy để quan sát toàn bộ hành vi của đối tượng.
Hình ảnh cắt ra từ clip phỏng vấn tuyển dụng từ xa
Thay vì cung cấp máy thật, nhóm NorthScan tạo ra hàng loạt máy ảo trên hệ thống ANY.RUN trông giống laptop sử dụng hàng ngày, có lịch sử thao tác, công cụ lập trình và kết nối mạng hợp pháp. Không hề nghi ngờ, kẻ tấn công bắt đầu làm việc trên những máy ảo này. Nhóm nghiên cứu theo dõi được mọi thao tác, đôi lúc còn cố ý tạo lỗi để xem phản ứng, đồng thời ghi nhận toàn bộ công cụ mà kẻ tấn công sử dụng.
Qua các phiên làm việc, họ phát hiện đối tượng sử dụng các phần mềm AI để tự động nộp hồ sơ và trả lời phỏng vấn, công cụ tạo mã xác thực để chiếm tài khoản, Google Remote Desktop cấu hình sẵn mã PIN để duy trì quyền kiểm soát cùng nhiều lệnh kiểm tra hệ thống để chắc chắn rằng thiết bị là thật. Đường truyền của chúng thường được che giấu bằng VPN. Ở một số thời điểm, chúng còn để lại tin nhắn yêu cầu cung cấp thông tin cá nhân và thông tin ngân hàng.
Kiểu tấn công dựa trên tuyển dụng từ xa đang trở thành cánh cửa xâm nhập mới mà nhiều doanh nghiệp chưa kịp cảnh giác. Chỉ cần một nhân viên bị lừa cung cấp quyền truy cập máy tính, toàn bộ hệ thống nội bộ có thể gặp rủi ro. Doanh nghiệp cần có quy trình kiểm chứng ứng viên cẩn thận khi tuyển dụng, đào tạo nhân viên cách nhận biết dấu hiệu bất thường và xây dựng kênh báo cáo an toàn để ngăn chặn nguy cơ từ sớm.
Theo The Hacker News
Chỉnh sửa lần cuối: