Una campaña de ciberdelincuencia ha estado dirigida a estudiantes que buscan trabajo desde marzo, informó el miércoles una compañía de ciberseguridad.
Los estafadores, que se hacen pasar por empresas de biociencias y salud, están incitando a los estudiantes a asistir a una videollamada sobre un trabajo con la intención de que paguen tarifas falsas como condición de empleo, según punto de prueba investigadores Timothy Kromphardt y Selena Larson.
“Proofpoint ha observado previamente a los actores de amenazas que se dirigen a los usuarios de colegios y universidades con trabajos fraudulentos, pero este fue interesante porque las empresas que el atacante estaba falsificando parecen estar relacionadas, con el mismo tipo de señuelos y descripciones de trabajo utilizadas, y todas estaban en biociencia. , investigación científica o atención médica”, dijo Larson a TechNewsWorld.
Los investigadores explicaron en un blog de la empresa que los objetivos recibieron mensajes de correo electrónico invitándolos a una entrevista por video o chat para trabajos de ingreso de datos remotos.
Tarifa inicial falsa
“Si bien Proofpoint no pudo confirmar las solicitudes realizadas en una entrevista en video, los investigadores evalúan con mucha confianza en función de la actividad anterior relacionada que el actor probablemente le dijo al destinatario que tendría que pagar una tarifa por adelantado por el equipo antes de recibirlo, lo que amenaza el actor coleccionaría”, escribieron los investigadores.
En sus hallazgos, Kromphardt y Larson notaron que cada mensaje enviado a un objetivo incluía un archivo adjunto en PDF que contenía los requisitos de hardware y software para el puesto ofrecido, que totalizaban hasta $7,000.
Si bien los investigadores no pudieron confirmar lo que sucedió durante las entrevistas con los objetivos, escribieron que los estafadores probablemente les pidieron a los estudiantes que pagaran por el equipo para cumplir con los requisitos del trabajo por adelantado, con el entendimiento de que el estudiante sería reembolsado con su primer cheque de pago. .
Alternativamente, los estudiantes pueden haber recibido un cheque para depositarlo en sus cuentas bancarias y usarlo para comprar equipos de un proveedor falso, que sacaría el dinero de las cuentas de los estudiantes, dejando que los estudiantes paguen la cuenta cuando el cheque rebota.
“Estos son comportamientos típicos de los actores de amenazas que perpetran fraudes laborales”, escribieron los investigadores. «En algunos casos, el actor también puede solicitar pagos en criptomonedas para cubrir los ‘gastos de envío’ de los artículos que se supone que debe comprar».
objetivos maduros
Según un artículo que apareció el martes en Inside Higher Ed, las estafas estudiantiles han cobrado impulso nuevamente después de una breve pausa al final de la pandemia de Covid-19. En la Universidad Estatal de California, Long Beach, señaló el artículo, cada correo electrónico enviado entre estudiantes contiene un cartel que advierte a los destinatarios que tengan cuidado con los mensajes de ofertas de trabajo y solicitudes de restablecimiento de contraseña.
El artículo por Johanna Alonso señaló que los estafadores comúnmente ofrecen trabajos a los estudiantes, a menudo con mejores salarios y más flexibilidad de la que podrían encontrar en el campus. Después de asignarle a un estudiante algunas tareas domésticas, continuó, los estafadores generalmente envían a sus víctimas cheques de pago fraudulentos antes de afirmar que les han pagado en exceso y exigir que se les devuelva el dinero.
Los estudiantes pueden ser objetivos maduros para los actores de amenazas, según los expertos en seguridad cibernética.
“Muchos estudiantes no tienen experiencia con estafas, phishing y phishing selectivo, lo que los convierte en un objetivo excelente para los delincuentes”, observó Dror Liwer, cofundador de corouna empresa de ciberseguridad basada en la nube con sede en Tel Aviv, Israel
“Es más fácil comunicar autoridad con un estudiante sin experiencia y convencerlo de que tome medidas como proporcionar información o enviar un pago”, dijo a TechNewsWorld.
“Los estudiantes a menudo enfrentan desafíos financieros, como tasas de matrícula, préstamos estudiantiles y gastos de manutención que pueden hacerlos vulnerables a reclamos que ofrecen la oportunidad de aliviar algunas de sus cargas financieras”, agregó George Jones, director de seguridad de la información de Comienzo crítico, empresa nacional de servicios de ciberseguridad. “La naturaleza confiada de los estudiantes puede hacer que estén más dispuestos a creer las promesas hechas por malos actores, especialmente cuando parecen provenir de fuentes confiables u ofrecen beneficios atractivos”, dijo a TechNewsWorld.
Lazos de red
“Los estudiantes podrían estar más dispuestos a hacer clic en enlaces que prometen regalos y grandes descuentos”, dijo Paul Bischoff, un defensor de la privacidad en comparatechun sitio web de reseñas, consejos e información sobre productos de seguridad para el consumidor.
“También están vinculados a su red universitaria”, dijo a TechNewsWorld. “Si los piratas informáticos pueden usar la cuenta de un estudiante para ingresar a la red de una universidad, ese podría ser el punto de apoyo necesario para escalar los privilegios y lanzar ataques más devastadores en toda la red, como el ransomware”.
Esas redes contienen información muy apreciada por los piratas informáticos, explicó Darren Guccione, director general de Seguridad del guardiánuna empresa de gestión de contraseñas y almacenamiento en línea de Chicago.
“Las escuelas almacenan datos confidenciales sobre empleados y estudiantes que van desde información de identificación personal hasta registros psicológicos que pueden hacer que los ciberdelincuentes ganen bastante dinero en la web oscura”, dijo a TechNewsWorld.
Sean McNee, vicepresidente de investigación y datos de DominioHerramientasuna empresa de inteligencia de Internet en Seattle, sostuvo que las universidades han visto un aumento de los ataques de los malos actores debido a su naturaleza porosa y sesgo para compartir información, junto con preocupaciones presupuestarias continuas y recursos limitados.
“Es triste, pero no sorprendente, ver a los malos actores ahora pasar de los colegios y universidades a los estudiantes que asisten a esas instituciones”, dijo a TechNewsWorld.
Cómo los estudiantes pueden evitar las estafas
Para evitar los tipos de estafas identificadas por Proofpoint e Inside Higher Ed, Jones aconseja a los estudiantes que verifiquen la legitimidad de las ofertas de trabajo y las oportunidades de empleo antes de postularse o compartir cualquier información.
También recomienda investigar a un empleador potencial. “Revise la información de contacto”, dijo, “y busque reseñas e informes de actividades fraudulentas, además de consultar sitios de reseñas conocidos como LinkedIn o Glassdoor para obtener información de la empresa”.
Busque orientación, agregó, consultando asesores de confianza, como consejeros profesionales, profesores o mentores, al evaluar ofertas de trabajo u oportunidades financieras. “Pueden brindar valiosos consejos y un segundo par de ojos puede ayudar a identificar posibles estafas”, dijo.
Proofpoint recordó a los estudiantes que buscan trabajo que los empleadores legítimos nunca enviarán cheques de pago antes del primer día de trabajo de un empleado, ni les pedirán a los empleados que envíen dinero para comprar artículos antes de que comience a trabajar.
Algunos componentes clave de las ofertas de trabajo fraudulentas identificadas por Proofpoint incluyen:
- Una oferta de trabajo inesperada recibida de una cuenta de correo gratuito como Gmail o Hotmail falsificando una organización legítima;
- Una oferta de trabajo de una dirección de correo electrónico que utiliza un dominio diferente al sitio web oficial de la empresa;
- Preguntas de entrevista inexistentes o demasiado simplistas con poca o ninguna información sobre las funciones del trabajo;
- PDF u otra documentación que incluya errores gramaticales y ortográficos e incluya contenido genérico sobre organizaciones y roles; y
- Recibir un «cheque de pago» casi inmediatamente después de comenzar una conversación con un remitente.
Al mantenerse informados y adoptar estos enfoques cautelosos y de sentido común, los estudiantes pueden ayudar a protegerse de ofertas de trabajo fraudulentas y otras estafas en línea.