Falska jobbanonser ökar kraftigt online

Bedragare utnyttjar arbetssökandes förtroende

Ett meddelande från en av dina drömarbetsgivare – det låter som något som är för bra för att vara sant. Och det är det ofta också. Cisco Talos har kartlagt en pågående kampanj där nordkoreanska hackare lockar med arbetstillfällen inom kryptovaluta.

Under sommaren kartlades en serie kampanjer från den Nordkorea-kopplade hackergruppen Famous Chollima som använde falska jobbannonser från olika välkända kryptoföretag som Coinbase, Archblock och Uniswap. Nu visar en fortsatt granskning att attackerna fortsätter, och utvecklas på nya sätt.

Tillvägagångssättet kallas ”Contagious Interviews” och börjar i allmänhet med att gruppen kontaktar en person som visat starkt engagemang och intresse för kryptovalutor på sociala medier.

De erbjuder en attraktiv jobbmöjlighet, hänvisar till en falsk rekryteringsportal, och försöker sedan förmå måltavlan att lämna personlig information. I slutet av ”rekryteringsprocessen” har måltavlan också uppmanats att ladda upp en video på sig själv. Det är i samband med detta som ett ”tekniskt problem” uppstår som personen uppmanas att lösa genom att ladda ner en fil, som sedan ger angriparna tillgång till datorns innehåll och system.

Vid ett av bedrägerierna infekterade en anställd sin arbetsgivares datorer vilket gjorde det möjligt att ta fram mer detaljerad information om bedragarnas metod.

Famous Chollima använder sig av två brottsverktyg, program som kallas BeaverTail och OtterCookie och som innehåller en bred uppsättning funktioner för att manipulera en dator de installeras på. Exempelvis en keylogger för att fånga vad som matas in via tangentbordet, och ett verktyg för att fånga skärmbilder; denna information laddas sedan löpande upp till en server som kontolleras av hackergruppen. Det finns också en remote access-modul som ger möjlighet att fjärrstyra datorn på distans.

Attackerna äger rum över hela världen och på många språk. När kryptovaluta blir en allt mer utbredd och vardaglig företeelse förväntas attackerna fortsätta och intensifieras.

Dessutom finns det flera exempel på att den stulna identiteten används även åt motsatt håll – den information man får från måltavlan kan i sin tur skickas till verkliga företag i syfte att få välbetalda jobb, med tillgång till känslig information, under falsk identitet.

"Ju mer vi vet om vilka knappar cyberkriminella väljer att trycka på desto bättre förberedda är vi att hantera det. Var naturligt vaksam i alla lägen, kolla webbadressen noga och ladda aldrig ner program från okända källor, särskilt om det är ett erbjudande som kommer oväntat och verkar för bra för att vara sant. Och om du aldrig kan träffa en representant från arbetsgivaren, varken fysiskt eller digitalt, är det ett extra påtagligt tecken på att något lurt är på gång”, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige.

2025-10-24 - Industritorget