Cybercriminelen richten zich door middel van e-mails met nep-vacatures op universiteitsstudenten. De valse berichten komen voornamelijk van biowetenschappelijke, zorg- en biotechnologische organisaties. Maar ook van enkele niet-gerelateerde organisaties. De campagne liep door tot juni 2023. Dit blijkt uit onderzoek van Proofpoint.
Sollicitatiegesprek
In de mails vroegen criminelen de ontvanger om op sollicitatiegesprek te komen voor een remote functie. Denk daarbij aan data entry medewerker. De e-mails bevatten meestal een pdf als bijlage met daarin zogenaamd informatie over de organisatie, de vacature en het salaris. Dit, naast de specificaties van de benodigde apparatuur.
Voorschot betalen
De afzender nodigde de ontvanger vervolgens uit voor een video- of chatgesprek om meer informatie te krijgen. En om het slachtoffer voor te bereiden op de functie. Proofpoint kan de vragen die tijdens een dergelijk videogesprek werden gesteld niet bevestigen. Onderzoekers vermoeden, op basis van vergelijkbare campagnes, dat de aanvaller waarschijnlijk vroeg om een voorschot voor de apparatuur te betalen voordat men die zou leveren.
Vergelijkbare campagnes
Uit data uit verschillende onderzoeksbronnen kwamen meerdere gerelateerde en vergelijkbare campagnes naar voren die dezelfde thema’s gebruikten. Ook deze campagnes leidden uiteindelijk tot advance fee fraud (AFF). De eerste namen onderzoekers waar in maart 2023
Universiteiten zijn vaak het doelwit van vacaturefraude. Studenten zijn waarschijnlijk eerder bereid om flexibel en op afstand te werken. Daarnaast herkennen internationale studenten de signalen van frauduleuze e-mails wellicht minder goed dan mensen die de moedertaal spreken. Bovendien hebben de stijgende inflatie en onderwijskosten een grote impact op de financiën van studenten. Dit maakt de belofte van snel geld aantrekkelijker.
Nepdomeinen
Proofpoint heeft eerder al informatie gepubliceerd over vacaturefraude gericht op universiteiten. Maar deze nieuwe campagne, waarbij men werkgevers in de wetenschappelijke en technologische wereld spooft is uniek.
De aanvaller creëerde nepdomeinen die van legitieme bedrijven leken te zijn en voegde meestal “carrières” toe aan de domeinnaam. De e-mailadressen waren zogenaamd afkomstig van mensen die daadwerkelijk werken bij de bedrijven die de aanvaller probeerde te imiteren.
De berichten bevatten een pdf als bijlage met details over het bedrijf en de functie. De pdf’s bevatten over het algemeen steeds dezelfde tekst, waarbij enkele details werden gewijzigd, zoals het logo, de bedrijfsnaam, de website en de locatie. Deze variabelen waren altijd dikgedrukt. Dit suggereert dat de aanvaller met behulp van automatisering massaal pdf’s creëerde. Steeds met verschillende bedrijfsnamen om de documenten te ‘personaliseren’.
Valse cheque
De cybercrimineel nodigt de ontvanger uit voor een virtueel gesprek om de functie verder te bespreken. Hoewel Proofpoint verdere acties niet kan bevestigen, is het waarschijnlijk dat:
– Men de ontvanger vroeg om vooraf te betalen voor de computer en andere benodigdheden, en dat men die kosten zou terugbetalen bij het eerste salaris.
– De criminelen verstrekten een valse cheque die de ontvanger moest gebruiken om een computer en producten te kopen bij hun “leverancier”. Die weigerde vervolgens vervolgens de cheque.
– Dit is typisch gedrag voor cybercriminelen die vacaturefraude plegen. In sommige gevallen kan de aanvaller ook vragen om de ‘verzendkosten’ van de artikelen die ze zouden moeten kopen in cryptocurrency te betalen.
Conclusie
Op basis van de geobserveerde payloads, slachtoffers en het volume van de berichten, is Proofpoint ervan overtuigd dat dit een financieel gemotiveerde groep cybercriminelen is. Deze activiteit is meestal gericht op universiteitsstudenten, vooral werkzoekende studenten.
Iedereen moet zich bewust zijn van dit type bedreiging, vooral mensen die momenteel op zoek zijn naar een baan en contact hebben met recruiters en HR-personeel. Legitieme werkgevers zullen nooit een loonstrookje sturen voor de eerste werkdag van een werknemer. En ze zullen werknemers nooit vragen geld te sturen om iets te kopen voordat ze met hun baan beginnen.
