Nettets jobportaler - sprængfyldte med persondata - er for kriminelle som honning for bjørne. Så er du en af de mange, der har lagt dine data på en eller flere jobportaler i håb om at finde ønskejobbet og/eller ønskelønnen, så læs videre. Især hvis du er en af de mange, der har dine data på Monster.dk (det tidligere Jobline.dk) eller på Monster.com.
Dette blogindlæg handler om USA's måske allerstørste jobportal Monster. Det er lykkedes kriminelle at tappe portalen for i hvert fald omkring 1,6 millioner poster, som omhandler flere hundredetusinder jobsøgende. Det var it-sikkerhedsfirmaet Symantec, der kom på sporet af, at noget var galt, og som straks - den 17. august - adviserede Monster, der selv først fandt det betimeligt at orientere de jobsøgende fem dage senere.
For blot et par dage siden stod det også klart, at USAJobs - en jobportal, som folk, der søger stilling i de offentlige (federal) placerer deres CV på - er blevet plyndret for data om 146.000 jobsøgende ud af i alt 2 millioner. Sammenhængen: Det er Monster, som har fået opgaven med at køre den offentlige jobportal. Monster kører i øvrigt flere andre portaler. Computerworld US har en god gennemgang af denne sag
her.
Monster kan endnu ikke sige, hvor mange på Monsters egne jobsites, der har fået stjålet deres data. Ej heller, om det kun er aktuelle jobsøgende, det er gået ud over, eller også tidligere poster. Monster har p.t. CV'er liggende for omkring 1,3 millioner jobsøgende (jeg er lidt usikker om tallene. Intet at se hos Monster selv).
Men mange ved, at de er blevet ramt, for det har nemlig modtaget phishing-mails, der rummer ret så konkrete data om dem fra Monster, og som udgiver sig for at komme fra Monster. De jobsøgende fortælles, at de kan søge job endnu mere effektivt, ved at downloade "Monster Job Seeker", men klikker de på det link, der er i mailen, får de i stedet installeret software, der krypterer deres data, og de afkræves løsesum for at få data dekrypteret, så de kan bruges igen.
Andre har fået mails fra "rekrutteringsfirmaer" (igen mails forsynet med Monster data), hvor de anmodes om lige at aflevere deres Social Security Number (det nærmeste på et CPR-nummer, som amerikanerne har) og deres bankinformationer. De skal bare klikke på en link og udfylde de manglende felter....Her lægges op til at få lænset netbanker med videre.
Andre igen har ved at klikke på en link i en tredje slags mail fået inficeret deres pc'er med kode, der holder særlig øje med, når nogen klikker sig ind på banken. Så "aflyttes" brugernavn og pinkode.
Og andre igen har fået tilbud om at bliver et firmas "Transfer Managers". Her gælder det en helt anden ting, nemlig at fungere som mellemmand i et tyveri. De kriminelle overfører de stjålne penge fra netbankerne til mellemmanden (Money Mule), der får 10 procent af beløbet blot for at sende beløbet videre til "firmaet" via Western Union. (I øvrigt samme metode, som danske penge-muldyr er fældet på. Western Union er altid genganger).
"What we offer you is something more than just a job -- it's the opportunity to earn really big money without having to work much,"
"This job is not a full-time one -- you can work from 9 to 5 at some other place and use our service as a source of extra cash -- a lot of extra cash we should say"
Sådan lyder det fristende jobtilbud. Eneste krav er, at de opretter en konto i en given bank. Nemlig den bank, som de påtænkte ofre er kunde i. Sådanne interne overførsler vækker ikke så stor opmærksomhed, som når penge fra en netbank sendes ud af systemet.
Starten på hele indbrudsbølgen gik ved, at en person blandt dem, der tilbyder jobs (rekrutteringsfirmaer/personaleafdelinger) sandsynligvis har fået stålet sit brugernavn og pinkode. En, der altså har haft ret til at kigge på alle de jobsøgende. Og de stjålne brugerdata bruges så til at kopiere mængder af info fra Monsterbasen.
På Monster.dk og de øvrige Monster-sites verden over er der nu lagt vejledning i, hvorledes man skal kunne genkende phishing-forsøg med videre.
Her den danske vejledning, hvor man også fortæller, at det ikke er første gang, at Monsters data er stjålet. Og så er der desuden en lang sang fra de varme lande om, hvor meget Monster gør for at sikre, at noget sådant ikke sker.
Symantec fik sporet de stjålne data over til to servere, hvis værter var hos internetudbydere i Ukraine. Phishingmails er sendt fra diverse pc'er, der tidligere er shanghajet - noget, jeg fortalte om for få dage siden, da jeg beskrev et
angreb mod Blogger og CSIS.Det var en lang, lang historie, baseret på mange, mange kilder, og jeg kan have misforstået noget hist og pist. Men hele scenariet. Det er skræmmende.
Så her er et VIGTIGT budskab. Lægger du dit CV på en jobportal, så brug en engangs-mailadresse (f.eks. Hotmail, Yahoo eller Gmail), ikke den du normalt bruger privat. Er det en jobportal med styr på tingene vil du jo umiddelbart blive advaret, og så skal du ikke længere åbne nogle af de mails, der kommer der, eller i hvert fald være meget varsom. Adviseres du ikke, men bliver du pludselig den mest attraktive jobsøgende i verden ud fra mængden af mails du får, så adviser jobportalen, og gør den ikke noget, så gå til politiet/pressen. Og læg så ikke flere data på jobportalen end du kan tåle at få stjålet. Fortæl i stedet, at du gerne udleverer flere data pr. mail.
Her er nogle links til nyhedssteder, jeg har trukket på, med væsentlig information om forholdsregler og indbruds-metoder.
Computerworld US:
Monster Hit With Theft of Client Data.Comon.dk:
Monsterhit større end antaget.Blog hos it-sikkerhedsfirmaet Symantec:
Monster Trojan.The Register.com:
Monster Torpedoes Rogue ServerPS: Pas også på annoncer på jobportaler. Kriminelle bruger også typisk en appetitlig annonce for at få folk til at klikke sig ind - og dermed få deres pc inficeret.
