Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/02/2014
Phishing massiu amb falses ofertes d'ocupació
S’ha detectat una nova campanya de phising, en este cas simulant tractar-se d’una oferta d’ocupació a fi d’enganyar els usuaris perquè envien el currículum amb les seues respectives dades personals.
Últimament hem informat sobre diverses campanyes de phishing que suplanten la identitat de diferents bancs i caixes (BBVA, Banco Santander, Mastercard) a fi d’obtindre dades bancàries dels usuaris afectats. En esta ocasió, s’ha utilitzat una falsa oferta d’ocupació, propagada per correu electrònic, per a recopilar dades personals probablement a fi d’utilitzar-los per a posteriors atacs APT (amenaces persistents avançades) o ser venuda en el mercat il·legal d’Internet, més conegut com la infranet.
S’han rebut més de 6.000 correus electrònics amb diferents assumptes a fi de dificultar la seua detecció. Els assumptes utilitzats per a propagar-se són els següents:
- Busca personal d’una firma internacional ID: XXXXXX
- Busca personal d’una gran empresa ID: XXXXXX
- Departament de control - buscar empleats ID: XXXXXX
- La contractació en el nou departament ID: XXXXXX
- La firma internacionals - ocupacions ID: XXXXXX
- Les posicions obertes ID: XXXXXX
- Les vacants en una firma internacional ID: XXXXXX
- Les vacants en una gran empresa ID: XXXXXX
- Ofertes disponibles - gran empresa ID: XXXXXX
- Treballar en un equip professionals - ocupacions ID: XXXXXX
- Treballar en una empresa internacional ID: XXXXXX
- Un nou departament - ocupacions ID: XXXXXX
Les XXXXXX corresponen a un número aleatori de 6 dígits.
Si l’usuari confia en l’adreça electrònica i facilita el seu currículum amb les dades personals, estes acabaran emmagatzemades en servidors controlats per ciberdelinqüents.
Si has rebut un correu d’estes característiques i has respost a l’oferta d’ocupació:
- Vigila regularment quina informació teua circula per Internet: "Si alguna cosa no està en Internet, no existix", potser és una afirmació excessiva però la veritat és que és més que probable que hi haja informació en Internet referida a la teua persona. L’egosurfing o busca del nostre propi nom en Internet et permetrà controlar quina informació sobre tu hi ha en la xarxa. Ferramentes com Google Alerts i Google "Me on the web" et poden ajudar a fer-ho.
- Si després d’haver realitzat una busca del teu nom en la web utilitzant expressament el motor de busca Google trobes quelcom que no t’agrada o s’està oferint indegudament informació sobre tu, tens a la teua disposició els drets d’accés, rectificació, cancel·lació o oposició (ARC) al tractament de les teues dades personals. L’Agència Espanyola de Protecció de Dades et proporciona les pautes perquè les pugues exercir.
- Denuncia la situació davant de l’ Agència Espanyola de Protecció de Dades i/o davant de les forces i cossos de seguretat de l’Estat (FCSE).
Evita ser víctima de fraus de tipus phishing seguint les nostres recomanacions:
- No òbrigues correus d’usuaris desconeguts o que no hages sol·licitat, elimina’ls directament.
- No contestes en cap cas a estos correus.
- Precaució al seguir enllaços en correus encara que siguen de contactes coneguts.
- Precaució al descarregar fitxers adjunts de correus encara que siguen de contactes coneguts.