Falsi recruiter su LinkedIn propongono attività illecite di penetration testing ai danni di società ignare

Falsi recruiter su LinkedIn propongono attività illecite di penetration testing ai danni di società ignare

Negli ultimi due mesi ho notato diversi messaggi sospetti recapitati su LinkedIn.

Arrivato alla probabile conclusione che si potessero trattare di vere e proprie azioni criminali, ho pensato fosse utile che documentassi questa esperienza.

Mi ha contattato una (o uno) dei recruiter con un messaggio privato che, senza mezzi termini, offriva un contratto di lavoro a lungo termine, part-time e con pagamento in bitcoin.

Si specifica fin da subito il profilo illegale dell’attività da svolgere dalla frase “you may understand what i mean”, ossia “puoi ben capire a cosa io mi riferisca”, facendo ovviamente riferimento all’acquisizione illecita di dati di aziende/utenti non menzionati.

In seguito il messaggio ricevuto su LinkedIn:

Hi (OMESSO), As mentioned earlier, this opportunity is a long-term contract job which will not interfere with your current work. It can be done remotely. Our clients have huge and different needs for information security. And some of them need you to do irregular pentests and get some data they want. You may understand what I mean. Besides, the pay is relatively competitive and decent. So please let me know if you would be interested in this part-time job. Look forward to your early reply. Kind Regards, (OMESSO)

Spinto dalla curiosità, ho fornito una email di test dove sono stati scambiati messaggi cifrati con PGP.

Rimanendo vaghi sulle informazioni dei “potenziali clienti”, mi è stato spiegato che le attività sarebbero state puntate a “società che sarebbero state chiarite in seguito”.

Nella terza email mi è stato addirittura proposto un viaggio in Cina per un incontro di persona.
Viaggio che, come si può ben immaginare, non ho organizzato, cestinando la mail e osservando i dati acquisiti fin’ora.

Gli oggetti delle mail inviati (nel mio caso: “From Vicky/[OMESSO] projects”) sono stati sempre molto vaghi, come era prevedibile.

Presumo che il mittente sia di origini cinesi dal campo presente nell’header della email, il quale riporta la compatibilità con cinese semplificato ed inglese:

Accept-Language: zh-Hans, en

L’indirizzo IP da cui è stata inviata l’email, invece, risulta essere associato ad un fornitore telco coreano: 27.102.134.172 .

Mostra i Commenti