CV infetti e annunci trappola guida sicurezza 2025
Indice dei contenuti [Nascondi]
Minaccia reale nel recruiting 2025
I processi di selezione sono oggi bersaglio privilegiato per chi vuole rubare dati aziendali o compromettere dispositivi. Curriculum inviati come allegati che veicolano malware. Annunci di lavoro falsi che portano a furti di identità e a installazioni di software malevoli. Non sono eccezioni rare ma un fronte di attacco stabile e redditizio per i criminali.
I dati lo confermano. Il rapporto DBIR di Verizon ha mostrato come la componente umana resti decisiva negli incidenti e le tecniche di social engineering centrano spesso i flussi HR, perché fiducia e rapidità sono percepite come essenziali in selezione fonte. ENISA rileva che documenti malevoli e allegati a tema lavoro continuano a essere uno dei veicoli preferiti per avviare compromissioni iniziali fonte. E le autorità avvertono della presenza di operatori che si propongono come candidati o recruiter per infiltrarsi nelle aziende, in particolare reti di lavoratori IT legati alla Corea del Nord con identità e CV falsi fonte.
Perché i CV infetti funzionano ancora
Gli allegati a tema lavoro hanno tassi di apertura molto superiori ad altre esche. La pressione sui team HR per rispondere in fretta e la legittimità di ricevere documenti da sconosciuti aumentano la probabilità di clic su file non analizzati.
Tattiche ricorrenti osservate
- Documenti Office con macro o link esterni. Anche se Microsoft blocca di default le macro provenienti da Internet fonte, gli attaccanti aggirano usando archivi compressi e inviti a sbloccare contenuti.
- PDF con collegamenti invisibili. La visualizzazione è innocua ma un clic su Campioni o Portfolio porta a download di eseguibili o script.
- Scorciatoie e container. File LNK o immagini ISO e VHD con dentro loader. Vengono presentati come pacchetti di lavoro o prove tecniche.
- Portali di candidatura clonati. Pagine copia di siti aziendali che raccolgono credenziali e poi servono file dannosi durante finte prove attitudinali. ENISA segnala l uso di infrastrutture legittime compromesse per dare credibilità a questi flussi fonte.
Le campagne possono essere molto mirate. Ricercatori hanno documentato l uso di offerte ingannevoli per assumere sviluppatori e poi distribuire malware come in Operation DreamJob che ha colpito anche macOS con tool di sviluppo trojanizzati fonte.
Difese pragmatiche per HR e responsabili recruiting
Non servono strumenti esoterici. Serve disciplina tecnica e di processo. Queste misure sono implementabili in ogni organizzazione e riducono realmente il rischio.
Prima linea tecnica
- Bloccare a monte i formati ad alto rischio. Nel portale di candidatura accettare solo PDF e testi, rifiutare predefiniti come docm, zip, rar, iso, lnk. Accompagnare la policy con un messaggio chiaro al candidato.
- Isolamento sicuro in lettura. Aprire ogni CV in un viewer isolato nel browser o in una macchina virtuale non connessa alle risorse aziendali. Valutare tecnologia di disarmo e ricostruzione dei contenuti per PDF e Office.
- Scanner multilivello. Passare ogni allegato in antivirus con più motori e in sandbox automatica. Se la sandbox rileva network beaconing o process injection, scartare e segnalare.
- Controllo dei link. Riscrivere e analizzare in tempo reale tutti gli URL nei messaggi di candidatura con protezione reputazionale e detonation ritardata.
- Postazioni HR non amministrative. Disabilitare macro e script per i profili HR. Nessun diritto locale elevato. Aggiornamenti di sistema e di reader sempre attivi.
Processi che chiudono le falle
- Canale unico. Invitare i candidati a usare solo il portale aziendale. Rifiutare candidature inviate via email a caselle personali dello staff.
- Verifica in due tempi dei contatti. Se un recruiter esterno invia massivamente CV, confermare al telefono attraverso numeri pubblici ufficiali prima di aprire archivi allegati.
- Separazione dei compiti. Lo screening iniziale viene fatto su copie ricostruite in PDF. Solo dopo pre screening positivo viene contattato il candidato. Nessun download di prove tecniche da link non verificati.
- Formazione con simulazioni. Esecuzione trimestrale di esercizi su CV sospetti e annunci clonati. Il DBIR evidenzia che l esposizione ripetuta a scenari realistici riduce il tasso di clic fonte.
- Registro incidenti HR. Ogni anomalia viene tracciata con allegati, header, URL e esito delle analisi. Condivisione con il team sicurezza per eventuali blocchi a livello di gateway.
Indicatori di allarme su CV e messaggi
- Richieste di abilitare contenuti o macro per vedere il documento.
- CV che rimandano a portfolio su domini appena registrati o non associati a piattaforme note.
- Archivi protetti da password comunicata nel corpo email.
- Messaggi che sollecitano urgenza o confidenzialità atipica.
- Portfolio caricati su servizi di file sharing sconosciuti invece che su siti professionali.
Annunci trappola e finte selezioni come difendersi da candidati
Le frodi non colpiscono solo le aziende. I candidati sono spesso attratti da proposte allettanti che mascherano furti di dati e installazioni di malware. L Internet Organised Crime Threat Assessment di Europol segnala l uso di annunci fasulli per reclutare money mule o per sottrarre credenziali fonte. Il rapporto IC3 dell FBI include regolarmente le truffe di impiego tra le tipologie con molte segnalazioni da parte delle vittime fonte.
Segnali concreti di annuncio rischioso
- Dominio email non aziendale. Evitare interlocuzioni su webmail generiche. Verificare che il dominio esista da tempo e che punti a un sito coerente con l azienda.
- Prove tecniche da scaricare. Diffidare di eseguibili e archivi ricevuti come assessment. Chiedere di svolgere il test in un browser o su piattaforme note.
- Richieste di denaro o di spese anticipate. Qualunque richiesta di rimborso spese prima di un contratto è un campanello d allarme.
- Contratti incoerenti. Offerte con compensi fuori mercato o con clausole vaghe spesso nascondono altro.
- Pressione a usare account personali. Se vi viene chiesto di condividere documenti di identità via chat non cifrate o di installare software di gestione remota, interrompere e segnalare.
Protocollo personale del candidato
- Confermare sempre la posizione sul sito ufficiale dell azienda prima di inviare dati sensibili.
- Aprire file di recruiter solo in cloud viewer o su dispositivo secondario non collegato agli account principali.
- Non consegnare mai credenziali di accesso a strumenti aziendali durante la selezione.
- Usare un indirizzo email dedicato alla ricerca lavoro con autenticazione a più fattori.
- In caso di sospetto, consultare i canali di segnalazione disponibili sul sito dell azienda e inviare gli header del messaggio per verifica.
Playbook pronto all uso per i prossimi novanta giorni
Primi trenta giorni
- Aggiornare il career site per accettare solo PDF e testi. Inserire avviso di sicurezza per i candidati.
- Abilitare blocco delle macro e isolamento dei documenti sui PC HR.
- Attivare scansione con sandbox sugli allegati in arrivo alle caselle recruiting.
Da trenta a sessanta giorni
- Configurare un percorso di apertura dei CV in macchina virtuale o viewer isolato.
- Creare una checklist di red flag e formare tutti i recruiter in sessioni pratiche con esempi reali.
- Stabilire il flusso di verifica dei partner esterni con richiamo a canali ufficiali.
Da sessanta a novanta giorni
- Introdurre simulazioni trimestrali e misurare il tasso di clic su allegati sospetti.
- Integrare il registro incidenti HR con il sistema di ticketing e con il team sicurezza.
- Pubblicare una pagina aziendale con consigli ai candidati e canali per segnalare annunci fraudolenti che usano il vostro brand.
Risorsa essenziale Conservate un elenco di fonti aggiornate. Per il quadro delle minacce fare riferimento a ENISA link. Per le truffe legate al lavoro consultare IC3 dell FBI link. Per avvisi su identità e CV falsi legati a operatori esteri vedere l advisory del Dipartimento di Stato USA link. Per l evoluzione delle tecniche basate su finte offerte rivolte a profili tecnici leggere le analisi di ESET su Operation DreamJob link.