חשבה שהתקבלה לחברת אימות זהויות – וגילתה שנפלה לעוקץ מתוחכם

תמונה: נוצרה באמצעות ChatGPT

קוראינו הנאמנים כבר מכירים את התופעה הרחבה של האקרים שמזוהים עם צפון קוריאה מנסים להתקבל לחברות IT בארצות הברית ובאירופה, במטרה לגנוב כספים שיועברו לשלטון המרכזי בפיונגיאנג. כעת, דיווח חדש באתר Axios חשף כי ההונאה יכולה לעבוד לשני הצדדים – גם כשהחברות מחפשות עובדים איכותיים, וגם כשאתם כעובדים מחפשים מקום חדש לעבור אליו.

על פי הדיווח, האקרים התחזו לחברת אימות הזהויות Socure (כן, אנחנו מודעים לאירוניה), והפילו בפח את סאלי (שם בדוי), שחשבה שסוף סוף מצאה את משרתה החדשה לאחר חודשים של חיפושים, אך נפלה קורבן להונאה ואיבדה אלפי דולרים. אבל סאלי לא לבד – על פי נציבות הסחר הפדרלית של ארה"ב (FTC), בשנת 2023 דווחו כ-105,000 מקרים של הונאות עבודה והתחזות לסוכנויות השמה, כמעט פי שלושה ממספר הדיווחים ב-2020. ההפסדים המשותפים של הקורבנות ב-2024 הסתכמו ב-501 מיליון דולר, לעומת 90 מיליון בלבד ב-2020.

כיצד פעלה ההונאה?

המשרה המזויפת פורסמה באתר דרושים אמיתי, ובמקרה הנוכחי Socure באמת חיפשה לאייש את המשרה שאליה סאלי ניסתה להתקבל (עוזרת אישית למנהלים). הנוכלים העתיקו את המודעה המקורית ופרסמו גרסה משלהם עם פרטי קשר מזויפים. לאחר הגשת המועמדות, הנוכלים פנו לקורבן באמצעות Microsoft Teams והציגו את עצמם כעובד במחלקת ה-HR בחברה, תחת שימוש באימייל לכאורה לגיטימי, וקיימו ראיון וידאו אך לא הדליקו את מצלמת הרשת שלהם. בסיומו סאלי, הקורבן התורן, "התקבלה למשרה".

עם תחילת "העבודה", סאלי התבקשה לרכוש עבור הנוכלים גיפט קארדס של Apple, לכאורה כחלק מהאחריות שתוטל עליה בתפקידה החדש. עבור הרכישה הנוכלים העבירו צ'ק מזויף, מה ששכנע אותה ללכת לחנות ולרכוש את הכרטיסים. למחרת שלחו הנוכלים צ'ק נוסף, אך הפעם המוכר העירני זיהה את סאלי והתריע בפניה שהיא ככל הנראה קורבן להונאה. כעבור זמן לא רב הבנק הודיע לה ששני הצ'קים שהפקידה חזרו, אז פנתה סאלי ישירות למחלקת ה-HR של Socure, ובמקביל דיווחה גם ל-FBI, ל-FTC ולגופים נוספים.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

רבקה גוורץ ליטל, בכירה ב-Socure, אמרה לאחר פרסום המקרה כי "כשאנשים נואשים לעבודה או מותשים מהחיפוש המתמשך, ההונאות האלו הרבה יותר קלות. הקורבנות האידיאליים הם בוגרי אוניברסיטאות טריים או אנשים שמנסים לחזור לשוק העבודה לאחר כמה שנים בבית. גם אנשים חכמים נופלים בזה".

לאורך הדרך הופיעו סימנים מקדימים, כמו העובדה שהמראיין המזויף לא הפעיל מצלמה במהלך הראיון או שנשאלו שאלות שאינן קשורות למשרה בכלל, אך אלה לא הדליקו נורות אזהרה אצל המועמדת. בנוסף, נראה שגם מצד אתרי הדרושים לא נעשה מאמץ לאמת את זהות המפרסמים: במהלך חקירת המקרה, בדקה ליטל כמה לוחות דרושים גדולים וגילתה שהיא יכולה לפרסם בהם משרות מזויפות, כמעט בלי אימות זהות.

גם החברות נפגעות

התחזות למותג לא פוגעת רק במועמדים – היא פוגעת גם באמון כלפי הארגון. צוותי IT חייבים לקחת אחריות על הזהות הדיגיטלית של החברה ולוודא שכתובות הדוא"ל מוגנות, לזהות דומיינים מתחזים ולנטר פרסומים חיצוניים שמזכירים את הארגון. תרחישים כאלה כבר אינם בגדר תיאוריה, מדובר באיום תדמיתי ואבטחתי ממשי שדורש תגובה מערכתית.

בנוסף, חשוב להכיר ולשים לב לא רק לתקיפות פנימיות, אלא גם להונאות שמתחילות עוד בשלב גיוס העובדים. פרסום משרות באתרים שאינם מאמתים זהות, היעדר מדיניות גיוס שקופה באתר החברה או תהליך קל מדי להקמת תיבות מייל חדשות – כל אלו פותחים דלתות לנוכלים שרק מחפשים איך להיכנס פנימה. האחריות להגן על המועמדים לא פחותה מההגנה על העובדים, וב‑2025 חוסן ארגוני נמדד גם ביכולת לזהות הונאות לפני שהן פוגעות בשם החברה או באנשים שסומכים עליה.