2.9.07

Jobsøgendes data på jobportaler i højrisikozone

Nettets jobportaler - sprængfyldte med persondata - er for kriminelle som honning for bjørne. Så er du en af de mange, der har lagt dine data på en eller flere jobportaler i håb om at finde ønskejobbet og/eller ønskelønnen, så læs videre. Især hvis du er en af de mange, der har dine data på Monster.dk (det tidligere Jobline.dk) eller på Monster.com.

Dette blogindlæg handler om USA's måske allerstørste jobportal Monster. Det er lykkedes kriminelle at tappe portalen for i hvert fald omkring 1,6 millioner poster, som omhandler flere hundredetusinder jobsøgende. Det var it-sikkerhedsfirmaet Symantec, der kom på sporet af, at noget var galt, og som straks - den 17. august - adviserede Monster, der selv først fandt det betimeligt at orientere de jobsøgende fem dage senere.

For blot et par dage siden stod det også klart, at USAJobs - en jobportal, som folk, der søger stilling i de offentlige (federal) placerer deres CV på - er blevet plyndret for data om 146.000 jobsøgende ud af i alt 2 millioner. Sammenhængen: Det er Monster, som har fået opgaven med at køre den offentlige jobportal. Monster kører i øvrigt flere andre portaler. Computerworld US har en god gennemgang af denne sag her.

Monster kan endnu ikke sige, hvor mange på Monsters egne jobsites, der har fået stjålet deres data. Ej heller, om det kun er aktuelle jobsøgende, det er gået ud over, eller også tidligere poster. Monster har p.t. CV'er liggende for omkring 1,3 millioner jobsøgende (jeg er lidt usikker om tallene. Intet at se hos Monster selv).

Men mange ved, at de er blevet ramt, for det har nemlig modtaget phishing-mails, der rummer ret så konkrete data om dem fra Monster, og som udgiver sig for at komme fra Monster. De jobsøgende fortælles, at de kan søge job endnu mere effektivt, ved at downloade "Monster Job Seeker", men klikker de på det link, der er i mailen, får de i stedet installeret software, der krypterer deres data, og de afkræves løsesum for at få data dekrypteret, så de kan bruges igen.

Andre har fået mails fra "rekrutteringsfirmaer" (igen mails forsynet med Monster data), hvor de anmodes om lige at aflevere deres Social Security Number (det nærmeste på et CPR-nummer, som amerikanerne har) og deres bankinformationer. De skal bare klikke på en link og udfylde de manglende felter....Her lægges op til at få lænset netbanker med videre.

Andre igen har ved at klikke på en link i en tredje slags mail fået inficeret deres pc'er med kode, der holder særlig øje med, når nogen klikker sig ind på banken. Så "aflyttes" brugernavn og pinkode.

Og andre igen har fået tilbud om at bliver et firmas "Transfer Managers". Her gælder det en helt anden ting, nemlig at fungere som mellemmand i et tyveri. De kriminelle overfører de stjålne penge fra netbankerne til mellemmanden (Money Mule), der får 10 procent af beløbet blot for at sende beløbet videre til "firmaet" via Western Union. (I øvrigt samme metode, som danske penge-muldyr er fældet på. Western Union er altid genganger).
"What we offer you is something more than just a job -- it's the opportunity to earn really big money without having to work much,"

"This job is not a full-time one -- you can work from 9 to 5 at some other place and use our service as a source of extra cash -- a lot of extra cash we should say"


Sådan lyder det fristende jobtilbud. Eneste krav er, at de opretter en konto i en given bank. Nemlig den bank, som de påtænkte ofre er kunde i. Sådanne interne overførsler vækker ikke så stor opmærksomhed, som når penge fra en netbank sendes ud af systemet.

Starten på hele indbrudsbølgen gik ved, at en person blandt dem, der tilbyder jobs (rekrutteringsfirmaer/personaleafdelinger) sandsynligvis har fået stålet sit brugernavn og pinkode. En, der altså har haft ret til at kigge på alle de jobsøgende. Og de stjålne brugerdata bruges så til at kopiere mængder af info fra Monsterbasen.

På Monster.dk og de øvrige Monster-sites verden over er der nu lagt vejledning i, hvorledes man skal kunne genkende phishing-forsøg med videre. Her den danske vejledning, hvor man også fortæller, at det ikke er første gang, at Monsters data er stjålet. Og så er der desuden en lang sang fra de varme lande om, hvor meget Monster gør for at sikre, at noget sådant ikke sker.

Symantec fik sporet de stjålne data over til to servere, hvis værter var hos internetudbydere i Ukraine. Phishingmails er sendt fra diverse pc'er, der tidligere er shanghajet - noget, jeg fortalte om for få dage siden, da jeg beskrev et angreb mod Blogger og CSIS.

Det var en lang, lang historie, baseret på mange, mange kilder, og jeg kan have misforstået noget hist og pist. Men hele scenariet. Det er skræmmende.

Så her er et VIGTIGT budskab. Lægger du dit CV på en jobportal, så brug en engangs-mailadresse (f.eks. Hotmail, Yahoo eller Gmail), ikke den du normalt bruger privat. Er det en jobportal med styr på tingene vil du jo umiddelbart blive advaret, og så skal du ikke længere åbne nogle af de mails, der kommer der, eller i hvert fald være meget varsom. Adviseres du ikke, men bliver du pludselig den mest attraktive jobsøgende i verden ud fra mængden af mails du får, så adviser jobportalen, og gør den ikke noget, så gå til politiet/pressen. Og læg så ikke flere data på jobportalen end du kan tåle at få stjålet. Fortæl i stedet, at du gerne udleverer flere data pr. mail.

Her er nogle links til nyhedssteder, jeg har trukket på, med væsentlig information om forholdsregler og indbruds-metoder.
Computerworld US: Monster Hit With Theft of Client Data.
Comon.dk: Monsterhit større end antaget.
Blog hos it-sikkerhedsfirmaet Symantec: Monster Trojan.
The Register.com: Monster Torpedoes Rogue Server

PS: Pas også på annoncer på jobportaler. Kriminelle bruger også typisk en appetitlig annonce for at få folk til at klikke sig ind - og dermed få deres pc inficeret.

11 kommentarer:

Anonym sagde ...

Er du klar over, at arbejdsløse bliver tvunget til at lægge navn,adresse og telefonnummer frit tilgængeligt i AF's jobbase?

Ellers tager de understøttelsen.

Gitte, Roskilde

Dorte Toft sagde ...

Der er jo en balancegang i sådanne sager mellem hensynet til, at den arbejdsløse bliver synlig og får større chancer for at komme i job og så hensynet til datasikkerheden.

I Danmark har vi et Datatilsyn, der skal give en accept af, hvilke persondata, der må lagres, og Datatilsynet er restriktivt. Vi har også en tradition for ret så sikre offentlige dataregistre.

Navn, adresse og telefonnummer findes jo i øvrigt også i telefonbølger inclusive på nettet og hos Krak.

Når vi ser på hackerne, så er de især ude efter email-adresser, så de kan lokke folk på forskellig vis til at aflevere mere fortrolige data. Derfor kan det anbefales at oprette en særlig email-adresse til hvert sted, man er repræsenteret. Og det er jo gratis, hvis man f.eks. bruger hotmail, Yahoos mail eller Googles Gmail. Så har man bare balladen mellem at huske brugernavn og pinkoder til alle de forskellige mailkonti:-)

Hackerne er selvfølgelig også ude efter bankkontooplysninger. Men hvor disse foreligger, for eksempel i netbanken og hos Skat, er de beskyttet ekstra. Det er derfor, at hackerne går omvejen med selv - via en email der udgiver sig for at komme fra en troværdig afsender - at lokke folk til at klikke sig ind på en webside og aflevere deres fortrolige bankoplysninger.

Rasmus Luckow sagde ...

Hej Dorte
Jeg forstår ikke argumentet for at skulle oprette temporære email adresser til jobdatabaser?
Hvorfor er det mere sikkert?
Man bliver jo stadig nødt til at tjekke den adresse, idet man jo som oftest bliver kontaktet af jobportalen igennem emailen. Og hvis der så kommer en phishing mail, så er jeg vel lige så sårbar på en hotmail konto som på en "normal" privat-email?

Det er selvfølgelig nemmere at droppe den temporære email adresse, men sikkerheden bliver ikke større af den grund - men måske kan man bedre styre mængden af spam.
Dog tror jeg at et effektivt spam-filter vil være at foretrække i stedet...

mvh
Rasmus

Anonym sagde ...

Man er som Gitte skriver, tvunget til at lægge sit CV på jobnet.dk, når man er arbejdsløs. Men det der kan irritere meget mere er, at man ingen mulighed har for at se hvem, der går ind og læser i ens CV. Man kan kun se at det der har været så og så mange "antal arbejdsgivere", der har været logget ind.
Jeg følte det som om nogen kom hjem til mig og rodede i mine
papirer
Man kan ikke engang begrænse de oplysninger man lægger på jobnet.dk
fordi såvel a-kasse som jobcenter nærmest udsætter en for 3.die grads forhør og presser en til at lægge alle oplysninger. I modsat fald mister man sine dagpenge.

Dorte Toft sagde ...

@ Rasmus. Min anbefaling hænger sammen med - som du selv antyder - at det er lettere at begrænse skaderne. Det er rart at kunne beholde sin faste emailadresse i stedet for at melde ud til alverden, at nu må man skifte. (men jeg er dårlig til selv at bruge engangs-mailadresser, hvor det ville være på sin plads).

Og ja, selvfølgelig er et godt spamfilter helt afgørende. Jeg er selv meget tilfreds med det, som min Gmail har. Det er meget, meget lidt, der går igennem til indboksen. Og meget lærerigt at se på mønstret i afsendere og overskrifter på mails, der ender i spamfiltret (og nej. Selvfølgelig åbner jeg ikke disse mails). Andre gratistjenester som hotmail og yahoo filtrerer også spam fra. Og De store danske internetudbydere, som TDC og Cybercity, som jo også tilbyder mailadresser, har også spamfiltre.

@anonym. Jeg har engang haft indbrud i en lejlighed og efterfølgende var genen ved at vide, at nogle havde rodet i mit hjem større end tabet ved, hvad jeg mistede. Så på sin vis forstår jeg dig.

Jeg har - så vidt jeg erindrer - kun én gang for mange, mange år siden haft en profil på en jobportal. Lidt som et udslag af, at jeg var sur på min arbejdsplads. Jeg aner ikke, hvor mange der så på de oplysninger, og tror ikke, det ville røre mig så meget. Grundlæggende set tror jeg, at netværk og personlige henvendelser til arbejdsgivere giver mere end en portal. Men jeg kan forestille mig, at en person, der er arbejdsløs, kan føle sig lidt mere udstillet med sine data.

Jeg ved jo ikke helt, hvad det er, som kræves af data fra en arbejdsløs. Du må meget gerne fortælle mig direkte pr. mail (dorte.toft1 snabela gmail.com) hvad du egentlig måtte aflevere. I al fortrolighed.

Trine-Maria sagde ...

Hej Dorte - interessant historie, men også meget typisk at det præcis er den her vinkel der ender i medierne - fordi det handler om alt det der kan gå galt og går galt på nettet. Kan du ikke snart skrive en historie om et eller andet der faktisk har gjort livet nemmere, bedre, sjovere eller fjernet noget besvær?

Det er selvfølgelig tyndt, når virksomheder ikke passer bedre på vores data - ingen tvivl om det.

Men tyveknægte og andre tarvelige personer behøver altså ikke støve ret mange jobdatabaser igennem for at finde mailadresser, hvis de vil lave phishing. Der ligger tonsvis af deltagerlister og findes masser af andre steder, hvor mail-adresser ligger og flyder på nettet - sammen med adresser, telefonnumre og alt muligt andet...

For mig at se handler den her historie derfor ligeså meget om, at folk skal lære at forstå, at banker og andre der omgås penge IKKE bruger e-mail til kommunikation. De foretrækker sikker kommunikation - for eksempel via e-post eller over internetbanken - og hvis de skal bruge vigtige oplysninger sender de stadig et brev og beder dig underskrive det!

Anonym sagde ...

Hvorfor er lige præcis Jobportaler farlige?

Der må være noget jeg har overset her. Jeg kan ikke få øje på hvorfor det lige skal være jobportaler der er i "højrisikozone"??

Vil det sige at dating sider, auktioner, nyhedsbreve på sider som Business.dk m.fl. pr. definition er sikrere end jobportaler??

Dette forekommer mig en smule latterligt... Som om man blot havde brug for en fed overskrift.

Der findes utallige lignende tilfælde, også i danmark, hvor der har været tale om andre typer af portaler og endda også netudbydere. Og det er første gang jeg hører om at det er sket for en jobportal. Så hvorfor de skulle være i "højrisikozone", så jeg gerne en forklaring på?

Dorte Toft sagde ...

@ Trine-Maria. Jeg har faktisk netop skrevet en klumme, hvor jeg fortæller hvorledes nettets prisportaler stiller forbrugere langt bedre end tidligere:-) Klummen er her
http://korturl.dk/2fUwy

Da jeg faktisk jævnligt rammes af teknologibegejstring ryger der da også lidt glæde over nettet ud i spalter og blogs.

Og ja, der er så mange andre steder at finde navne og emails, men det er nu en gang lettest at søge på jobportaler, og voila - så er der serveret.

At budskaberne så bliver for magre - ja, det er et problem, men det skyldes sommetider blot pladsmangel til alle nuancerne. Det kan selvfølgelig også skyldes forudfattede holdninger. Men det ægrer mig ligegodt, at da jeg var i radioavisen i går vedr. jobportalerne, så blev der klippet så skarpt, at indslaget vist var halvdelen af, hvad journalisten oprindeligt havde fået tilsagn om. I forvejen havde jeg måttet udtrykke mig kortere under interviewet (der røg for eksempel rådgivningen til hr. og fru jensen om bankbreve med videre) som jeg havde givet i første "take", og selv i kort-kort optagelsen røg min forklaring om, at der er set ekstremt få tilfælde, hvor kriminelle har fået snablen ned i danske databaser.

Public Service.....kontra "den gode historie".

@ anonym. Dating-sites! Jo her vil mailadresser da kunne nuppes til brug for spam, men INGEN vil hoppe på, hvis en mail med et dating-site som afsender fortæller om, at grundet en øget sikkerhedssatsning skal du lige klikke dig ind på "vores" website og inddateret dine bankkonto informationer igen, hvis din konto skal fortsætte:-)
Heller ikke business-nyhedsbrevet som afsender ville kunne bruges til phishing, ej heller af den art, der får folk til at downloade et stykke kode.

Den falske Monster-mail anbefalede folk at downloade applikationen Monster Joob Seeker for øge deres chancer, og en sådan... jo, den kan folk vel falde for. En ny, bedre funktion, jovist.

Auktionssites er i øvrigt blevet misbrugt som falsk afsender til phishing. F.eks. har eBay måttet se sit navn misbrugt gang på gang, men om mailadresser er høstet på eBay, eller om der blot skydes med spredehagl i håb om at ramme også rigtige brugere (ligesom med de oprindelige Nordea-phishing forsøg i Sverige) ved jeg ikke.

Anonym sagde ...

Så brugerne på Jobportaler er i højrisikozonen, fordi andre portaler er utroværdige?

Der findes eksempelvis masser af dating portaler, hvor man opfordres til at downloade software, for at lette om søgningen efter den eneste ene, og for at få adgang til ekstra features m.m.

Og en nyhedsportal kunne forholdsvis nemt lokke brugerne at installere "software til at læse nyheder", og derved få hele artikler til spot-pris, blot ved at oplyse kreditkort oplysninger.

Jeg kan stadigvæk ikke se hvorfor lige præcis brugerne på jobportaler skulle være i højrisikozone.

Der har eksisteret gennem de seneste 10-12 år eksisteret jobportaler i Danmark, og de er nogle af de aller mest besøgte og anvendte portaler. Alligevel er ikke én eneste jobportal misbrugt til phishing.

Så dette skræmmebillede fremstår stadigvæk meget tyndt. Der mangler ganske enkelt argumentation for at brugerne af jobportaler er i højrisikozone for phishing angreb, som jo er hele grundlaget for artiklen.

Dorte Toft sagde ...

Undskyld min uvidenhed om dating-sites. Jeg tager dine erfaringer til efterretning.

Ja, Danmark har været forskånet generelt set for de store indbrud i databaser, og det har jeg også præciseret her i kommentarfeltet. Men må jeg så også lige minde om, at vi i nogle år var forskånet for angreb på netbanker. Det er vi ikke længere.

Kriminaliteten flytter sig efterhånden som værnene i de store lande og store virksomheder kommer på plads.

Vedr. jobportaler og forskellige former for kriminalitet, hermed et par henvisninger:
first2007.itproportal.com/?p=79
http://korturl.dk/30Hv3
http://korturl.dk/i6mOH
http://korturl.dk/ZsRBh
Fra sidstnævnte blogindlæg her et uddrag:

"In 2005, a privacy watchdog warned that employment details were increasingly being used by identity thieves to open accounts in other people's names. Moreover, work details can help turn massive spam campaigns into far more effective targeted attacks. Earlier this year, a Trojan horse that posed as a complaint from the Better Business Bureau claimed thousands of victims after it was targeted at executive management at small and medium firms." citat slut.

Anonym sagde ...

Så du baserer det på en generel forventet udvikling på det kriminelle marked, som har været undervejs i 2-3 år.

Er det ikke mere et spørgsmål om at vi efter alle disse år først nu ser det gå ud over en jobportal? På trods af at det er gået ud over stort set samtlige andre kategorier af net portaler.

Sådanne angreb har fundet sted i flere år, og du citerer selv en artikel fra 2005 angående jobportaler. Ikke ligefrem nogen stor nyhed, eller noget at basere en påstand om højrisikozone.


@Dating: Som IT Blog skribent, der udtaler sig selvsikkert om at brugere af jobportaler er i højrisikozone og at brugerne af dating portalerne ikke er det i samme grad, antog jeg at du i det mindste havde en basal viden om begge slags portaler. Jeg beklager min forkerte antagelse.

dorte toft sagde...
Jo her vil mailadresser da kunne nuppes til brug for spam, men INGEN vil hoppe på, hvis en mail med et dating-site som afsender fortæller om, at grundet en øget sikkerhedssatsning skal du lige klikke dig ind på "vores" website og inddateret dine bankkonto informationer igen, hvis din konto skal fortsætte:-)citat slut

Mig bekendt er det meget normalt at folk trækker kreditkortet frem, for at betale for tjenester på dating portaler. Denne brance høster alene i Danmark millioner hvert år op af lommerne på almindelige internet brugere. Og jeg er endnu aldrig stødt på en seriøs jobportal, hvor de jobsøgende, underforstået det overvældende store flertal af brugerne, skulle hive kreditkortet frem.


Så jeg forstår ikke hvordan du kan konkludere, at INGEN ville hoppe på sådanne opfordringer fra dating portaler, imens jobsøgende tilsyneladende er i højrisikozone for at hoppe på latterlige opfordringer om at indtaste kreditkort oplysninger i forbindelse med CV, eller at downloade programmer til bedre jobs.

Endvidere indholder jobportaler som regel ingen personfølsomme oplysninger, modsat netbanker, dating portaler, div. borger portaler, netudbydere m.fl.

Jeg beklager, men jeg kan stadigvæk ikke se nogen seriøs argumentation for at jobportaler skulle være i højrisikozone.

Alene det at vi lader os registrere med navn og e-mail adresse, uanset hvilket indhold portalen repræsenterer, må vel siges at være i samme "højrisikozone". Om end de fleste sådanne angreb kan undgås med en smule opmærksomhed og kritisk sans hos brugerne.