المخاطر السيبرانية عندما يصبح الباحثون عن عمل مطاردين
لقد تحول البحث عن الوظائف إلى حد كبير إلى المجال الرقمي. يبحث الأشخاص عن إعلانات الوظائف عبر الإنترنت ويقدمون سيرتهم الذاتية. يتعرف أصحاب العمل والقائمون بالتوظيف على المرشحين عبر الإنترنت ويطلبون معلوماتهم عبر منصات مختلفة. لا يمكن إنكار سهولة هذه العملية في العالم المهني، ولكن مثل العديد من الوظائف المشروعة الأخرى عبر الإنترنت، أصبحت منصات البحث عن الوظائف عبر الإنترنت أيضًا هدفًا وأداة للجهات الفاعلة الخبيثة.
تعد منصات البحث عن الوظائف واكتساب المواهب بمثابة مستودعات ضخمة للبيانات، وهي مورد جذاب دائمًا للجهات الفاعلة التي تهدد التهديد. ويمكن للجهات التهديدية أن تتنكر في هيئة المستخدمين الشرعيين لاستغلال الباحثين عن العمل وأصحاب العمل على حد سواء. يتم استهداف المواقع الشهيرة مثل LinkedIn وIndeed، بالإضافة إلى بوابات التوظيف التي تستخدمها الشركات داخليًا، من قبل مجرمي الإنترنت.
ما هي المخاطر المرتبطة باستخدام هذه المنصات، وماذا يمكن للأفراد والشركات القيام به لحماية أنفسهم؟
نقاط الضعف في المنصة
منصات البحث عن الوظائف، مثل أي تطبيق آخر، معرضة للاستغلال عبر الويب. يمكن أن تسعى الجهات التهديدية إلى إدخال تعليمات برمجية عبر روابط ضارة، مما يسمح لها بسرقة البيانات أو الوصول إلى حسابات المسؤولين والتحرك أفقيًا عبر النظام. يمكن للجهات الفاعلة في مجال التهديد أيضًا استهداف هذه المنصات من خلال هجمات تجريف الويب.
غالبًا ما تكون بوابات البحث عن الوظائف وتتبع التطبيقات عبارة عن أنظمة قائمة على السحابة مع العديد من تبعيات الطرف الثالث. “الكثير من هذه الأنظمة عبارة عن تطبيقات قائمة على SaaS. “وهناك مجموعة كاملة من المخاطر المرتبطة بـ SaaS والتي يمكن بالتأكيد التخفيف منها، ولكنك تريد حقًا التأكد من أن تلك المنظمات، وتلك الأطراف الثالثة وحتى الأطراف الأخرى، تفعل الأشياء الصحيحة عندما يتعلق الأمر بتأمين بياناتك،” ستيفن بويس، مدير مجموعة التحقيق الرقمي Magnet في شركة حلول التحقيق الرقمي الطب الشرعي المغناطيس“، يقول InformationWeek.
عندما تستخدم شركة ما منصة لاكتساب المواهب، على سبيل المثال، يستضيفها بائع خارجي، فإن التكوينات الخاطئة المحتملة تفتح الباب أمام نقاط الضعف التي يمكن استغلالها.
يشير بويس أيضًا إلى مسألة تشفير البيانات على هذه المنصات. “ما رأيته هو أنه بمجرد وصوله إلى نظام التتبع النشط، فإنه يكون خليطًا من حيث التشفير الذي يقومون به عندما يتعلق الأمر بـ… البيانات أثناء النقل، وكذلك [at] “الراحة”، يشارك.
بيانات قيمة
تقوم منصات البحث عن الوظائف واكتساب المواهب بجمع كميات هائلة من البيانات عن الباحثين عن عمل. إن الكثير من هذه البيانات متاحة للعامة، فلماذا تعتبر ذات قيمة؟
شون والدمان، الرئيس التنفيذي ومؤسس شركة الأمن السيبراني تأمين الدفاع السيبراني، يعطي LinkedIn كمثال. يقول: “كل شيء على LinkedIn هو معرفة عامة، ولكن الشيء الوحيد في LinkedIn هو أن الأشخاص يريدون اسم المستخدم وكلمات المرور التي استخدمتها لأنهم يريدون معرفة ما إذا كنت قد أعدت استخدامها أم لا”.
يمكن لبيانات الاعتماد المخترقة هذه أن تمنح الجهات التي تشكل التهديد إمكانية الوصول إلى حسابات أخرى تحتوي على معلومات حساسة، مثل التفاصيل المصرفية. يمكن للجهات التهديدية أيضًا استخراج البيانات المخزنة بواسطة هذه المنصات لإنشاء حملات تصيد أكثر استهدافًا.
يمكن أن تكون صناعات وشركات محددة محور نشاط الجهات التهديدية في منصات البحث عن الوظائف واكتساب المواهب. يقول شون لوفلاند، المدير التنفيذي للعمليات في شركة الأمن السيبراني: “لديك، في بعض الحالات، إعلانات وظائف حيث يحاولون جذب الأشخاص في وظائف حساسة للتقدم إليها”. إعادة الأمن. “لذا، أطلق عليه تجسس الدولة أو التجسس الصناعي.”
خداع ممثل التهديد
إحدى نقاط الضعف الأكثر شيوعًا في هذه الأنواع من الأنظمة الأساسية هي ثقة المستخدم. يمكن لمجرمي الإنترنت أن يتنكروا كمستخدمين شرعيين على بوابات البحث عن الوظائف، ويتظاهرون بأنهم شركات توظيف. قد يستولون على حسابات شرعية أو ببساطة ينشئون حسابات احتيالية.
في عام 2021، أصدر مكتب التحقيقات الفيدرالي تحذيرًا تفاصيل عمليات الاحتيال في الوظائف والتوظيف المزيفة التي تستخدمها جهات التهديد لخداع الباحثين عن عمل لمشاركة معلوماتهم الشخصية وإرسال الأموال. في عام 2023، أصدرت شركة الأمن السيبراني Palo Alto Networks تفاصيل حملتين تستهدفان الباحثين عن عمل. الحملات، “مقابلة معدية” و”Wagemole”، مرتبطة بجهات تهديد ترعاها الدولة من جمهورية كوريا الشعبية الديمقراطية (DPRK). وتشير بالو ألتو نتوركس إلى أن الدوافع قد تكون مالية وفي خدمة التجسس.
حملات Golden Chickens للبرامج الضارة كخدمة، التي تم استغلالها في المقام الأول لسرقة المعلومات المالية، استخدمت أيضًا عروض العمل المزيفة والسير الذاتية المزيفة، وفقًا لشركة eSentire، وهي شركة للكشف والاستجابة المُدارة (MDR).
هناك مخطط شائع آخر يتضمن التظاهر بأنه مسؤول التوظيف أو مدير التوظيف والوعد بإرسال معدات باهظة الثمن للباحث عن عمل لوظيفة جديدة. كل ما عليك فعله هو دفع بضع مئات من الدولارات مقابل الشحن. وبطبيعة الحال، لم تتحقق المهمة والمعدات أبدًا، لكن الأموال المرسلة للشحن نفدت.
الوظائف المزيفة ليست الأداة الوحيدة في ترسانة الجهات الفاعلة التهديدية. “هم [can] يقول جو ستيوارت، الباحث الأمني الرئيسي في شركة: “اقلبها و… تظاهر بأنك باحث عن عمل، ثم حاول إقناع مدير التوظيف بالنقر على سيرته الذاتية وتنزيل بعض البرامج الضارة وإصابته بهذه الطريقة”. eSentire. قد يؤدي النقر على رابط ضار إلى تعريض شركات التوظيف لبرامج الفدية.
يمكن أيضًا أن ينتشر الخداع على منصات البحث عن الوظائف إلى العالم المادي. “بوابات البحث عن عمل [are] يوضح لوفلاند: “يتم استخدامها كجزء من سلسلة توريد الاتجار بالبشر”. يمكن للمجرمين نشر قوائم الوظائف المزيفة في بلدان مختلفة، ويعدونهم بنقل موظفين جدد. ولكن بمجرد وصول الضحايا، سيتم أخذ جوازات سفرهم وإجبارهم على الانضمام إلى عصابات الاتجار بالبشر.
ومهما كان الهدف النهائي الذي تأمل الجهات الفاعلة في التهديد تحقيقه، فإن الذكاء الاصطناعي سيساعد وسائلها على أن تصبح أكثر تطوراً. “نطلب من المستخدمين البحث عن أشياء مثل الأخطاء الإملائية الشائعة والقواعد النحوية السيئة وعلامات الترقيم السيئة وأشياء من هذا القبيل. يقول والدمان: “لقد وصل الذكاء الاصطناعي إلى النقطة التي لا يمكنك حتى أن تقول فيها … أنها مكتوبة بواسطة الذكاء الاصطناعي”.
الحد من المخاطر
إن استخدام أي خدمة عبر الإنترنت، خاصة تلك التي تخزن بياناتك، يأتي مع مستوى معين من المخاطر. “ليس هناك الكثير من ذلك [job seekers] يمكن القيام به حيال نقاط الضعف [in] يقول ستيوارت: “البوابات نفسها”.
ما يمكنهم فعله هو إدراك أن هناك خطرًا وبذل قصارى جهدهم للتصرف وفقًا لذلك. “نحن بحاجة إلى تسويق أنفسنا كمتقدمين، ولكن على نفس المنوال، أعتقد… يجب على المتقدمين أن يفهموا أن هناك احتمالًا، وإمكانات عالية جدًا، بأن المعلومات التي يقدمونها إلى هذه المنظمات سوف تتعرض للخطر أو يقول بويس: “لقد أسيء التعامل معها في مرحلة ما”.
يجب على الأفراد المتقدمين للوظائف عبر الإنترنت أن يأخذوا في الاعتبار المعلومات التي يحتاجون بالفعل إلى مشاركتها. هل تحتاج السيرة الذاتية إلى تضمين عنوان منزلك ورقم هاتفك الشخصي؟
“سيرغبون في إعداد عنوان بريد إلكتروني ورقم هاتف خصيصًا للبحث عن وظيفة لأن المجرمين سيتجهون نحو ذلك مقابل رقم هاتفهم العادي وعنوان بريدهم الإلكتروني العادي،” يوصي لوفلاند.
إن قضاء بعض الوقت في التفكير في كيفية تفاعل الأشخاص عادةً على هذه الأنظمة الأساسية يمكن أن يساعد المستخدمين في التعرف على العلامات الحمراء. “أقول للناس إن الشيء الأول هو التباطؤ… لأن الكثير من الأشياء تأتي بسرعة كبيرة، والناس مشغولون للغاية ويريدون القيام بذلك مرتين أو ثلاث مرات [the] يقول والدمان: “يعملون ويقومون بمهام متعددة، ويفتقدون الكثير من الإشارات”.
هل من المحتمل أن يعرض عليك شخص ما وظيفة أحلامك دون إجراء مقابلة صارمة؟ أم أنه من المعتاد أن يطلب منك صاحب العمل أن ترسل له الأموال؟
“يأتي إليك شخص ما ويطلب منك الاستثمار في شركته أو يأتي إليك ويطلب منك بعض الطلبات غير العادية، ومن المحتمل أن ترفض ذلك شخصيًا، ولا يختلف الأمر حقًا عبر الإنترنت،” جيف بولينجر، مدير الاستجابة للحوادث والكشف عن التهديدات في ينكدين“، يقول InformationWeek.
إن التباطؤ في النظر في العلامات الحمراء، إلى جانب الخطوات الأساسية مثل تمكين المصادقة متعددة العوامل واستخدام كلمات مرور فريدة، يمكن أن يقطع شوطًا طويلاً في تقليل المخاطر التي يتعرض لها المستخدم الفردي.
يمكن لشركات التوظيف والقائمين بالتوظيف أيضًا تقليل مخاطر استخدام الجهات الفاعلة التهديدية لهذه المنصات لشن حملات ضارة. إنهم بحاجة إلى إدراك قيمة البيانات التي يجمعونها وحمايتها وفقًا لذلك. هل يعرف القائمون على التوظيف كيفية التعرف على إغراءات التصيد الاحتيالي، على سبيل المثال، ويفهمون كيف يمكن أن يؤثر النقر على الرابط الخاطئ على البيانات والأنظمة الداخلية؟
يؤكد والدمان على أهمية التدريب على الأمن السيبراني. “لقد بدأنا كشركة في زيادة الكثير من التدريبات الخاصة بتوعية المستخدمين لعملائنا من خلال التدريب الشخصي”. “لذا، أعتقد أننا حقًا [as] تحتاج الشركات والأفراد إلى العودة إلى الجذور والتعمق في التدريب.”
تحتاج فرق المؤسسات التي تستخدم منصات التوظيف أيضًا إلى التعرف على مخاطر الطرف الثالث التي ينطوي عليها الأمر. “سواء كان فريقًا داخليًا أو خارجيًا، تشاور معهم حقًا بشأن النظر في جميع أسطح الهجوم المختلفة، وفهم ما إذا كان البائع يقوم بأشياء مثل فحص التوقيع والسلوك على جميع الملفات التي تم تحميلها”، يوصي بويس.
وتتحمل منصات البحث عن الوظائف واكتساب المواهب نفسها أيضًا مسؤولية حماية مستخدميها. على سبيل المثال، تتبع LinkedIn نهجًا متعدد الطبقات لاكتشاف وإيقاف نشاط الجهات التهديدية، وفقًا لبولينجر.
“نحن نأخذ مجموعات بيانات متعددة أو نقاط بيانات وميزات من النشاط الذي يحدث على النظام الأساسي. ومن خلال هذه الميزات، يمكننا معرفة ما إذا كان يبدو نشاطًا مشروعًا أم لا، أو ما إذا كان غير حقيقي، أو قد يكون مهاجمًا فعليًا على المنصة.
تساعد نماذج الذكاء الاصطناعي والتعلم الآلي الفرق في LinkedIn على التعرف على الجهات الفاعلة السيئة، لكن النظام الأساسي يضم أيضًا فريقًا من الأشخاص الذين يقومون بمراجعة المحتوى ودعم الأعضاء. إنهم يعملون على اكتشاف نشاط ممثل التهديد والتصرف بناءً على التقارير المتعلقة بالملفات الشخصية المزيفة أو الضارة من المستخدمين. أطلقت LinkedIn أيضًا ملفًا ميزة التحقق، والذي يسمح للمستخدمين بإظهار هويتهم لبعضهم البعض كما يقولون.
كما هو الحال مع أي سيناريو مهاجم مقابل مدافع، فإن السباق مستمر على المنصات لمواكبة التهديدات السيبرانية. مع قيام GenAI بتعزيز النصوص والصور المقنعة بشكل متزايد، أصبح اكتشاف النوايا الخبيثة أكثر صعوبة لكل من المستخدمين والمنصات، وهو تحدٍ لم يضيع على LinkedIn. يعد تعليم المستخدم وطرق الكشف الأكثر تطوراً عناصر مهمة للتعرف على التهديدات، مثل التهديدات مزيفة عميقة.
في حين أن التهديدات أصبحت أكثر تعقيدًا، إلا أن الباحثين عن عمل، وكذلك الأشخاص الذين يتطلعون إلى التوظيف، لا يزال بإمكانهم تقليل مخاطرهم من خلال التدقيق في تفاعلاتهم على هذه المنصات. “استخدم غرائزك… حاول حقًا التحقق من صحتها [who] يقول بولينجر: “أنت تتحدث إلى”. “فقط كن واقعيًا بشأن ما يمكنك توقع مواجهته على المنصة.”