Stjeler ID-en til jobbsøkere

Trojaner har lurt flere hundre tusen ved å utgi seg for å være en potensiell arbeidsgiver.

Sikkerhetsselskapene Symantec og SecureWorks melder hver for seg om en trojaner som herjer på den internasjonale jobbtjenesten Monster.com.

En variant av denne trojaneren, døpt Infostealer.Monstres, skal også være i ferd med å angripe andre formidlings- og rekrutteringstjenester.

Kreftene bak trojaneren har greid å kapre loginn-akkreditivene til et antall arbeidsgivere registrert i Monster.com.

Trojaneren bruker disse akkreditivene til å logge seg på rekrutteringstjenesten, og søke etter kandidater som svarer til bestemte kriterier, for eksempel kompetanse og hvilket land de bor i. Den fanger opp personopplysningene til de arbeidssøkende – navn, fornavn, telefonnumre, e-postadresse, hjemadresse og så videre – og sender dem til en ekstern server.

Symantec skriver at den eksterne serveren de oppdaget at trojaneren sendte data til, inneholdt personopplysninger til mange hundre tusen arbeidssøkere på Monster.com, hovedsakelig i USA.

Trojaneren kan følge opp fangsten av personopplysninger ved å spamme e-postadressene til de arbeidssøkende den har kapret ID-ene til.

En annen trussel er imidlertid mer alvorlig.

Jobbsøkende har mottatt e-postmeldinger som ser ut som de kommer fra Monster.com, og inneholder personopplysninger tilsvarende dem de har registrert på arbeidstjenesten. Disse meldingene ber den jobbsøkende laste ned en «Monster Job Seeker Tool» som skulle gjøre det lettere å søke jobber på Monster.com.

Det jobbsøkerne får når de klikker på lenken i e-postmeldingen, er ikke et søkeverktøy, men en annen trojaner, Gpcoder.E. Denne krypterer filer på offerets PC, og legger igjen en melding om hvordan offeret skal betale for å få nøkkelen som dekrypterer disse filene. Koden til de to trojanerne har visse felles trekk, slik at Symantec antar at de har samme opphav.

SecureWorks har også undersøkt Infostealer.Monstres. De sier de har funnet over et dusin servere der det lagres personopplysninger kapret fra Monster.com. Til sammen inneholder disse lagrene rundt 100.000 ID-er.

Monster.com samarbeider med sikkerhetsselskapene. Blant annet er de misbrukte arbeidsgiverakkreditivene sperret. Det advares igjen at man ikke skal klikke på lenker i e-post uten å forsikre seg at lenkene er det de gir seg ut for å være, og at man bør være varsom med hva slags informasjon man legger ut i profiler på Monster.com. Blant annet bør man holde sitt personnummer for seg selv.

Til toppen