Перевод https://intel471.com/blog/uncovering-a-fake-recruiter-scam
переведено прозвон сервисом Call.US
***
Эта статья покажет Вам как можно использовать различные сервисы для OSINT (Open-source intelligence: Поиск информации из открытых источников). Вы будете понимать как лучше скрывать свои следы.
РАСКРЫВАЕМ СХЕМУ ФЕЙК РЕКРУТЕРОВ
История началась с электронного письма, полученного на мою личную почту от Сары Тэйлор, старшего рекрутера в компании по поиску персонала. В этом письме было несколько интересных моментов:
• Письмо было отослано на электронную почту, которую я использую для рабочих целей и не использую при регистрациях на сайтах;
• Письмо пришло с [email protected], домен, который зарегистрирован и настроен должным образом в записях DNS, что способствует максимально возможной доставке до получателя;
• Содержимое в письме написано грамотно, намеренно расплывчато, подходит под любой контекст (для охвата бОльшей аудитории), но не имеет никаких ссылок, которые обычно присутствуют в скам письмах.
Вот оригинал письма:
Они нашли меня на Linkedin, и заинтересованы во мне. Ждут ответного письма, если мне тоже интересно это.
На этом моменте мы имеем несколько целей:
1. Понять, за что можно зацепиться, какие следы могли оставить злоумышленники за этой электронной почтой. Это позволит провести более широкий анализ и получить больше информации.
2. Выяснить, является ли эта компания легитимной.
3. Понять конечную цель отправителя. Чего он хочет добиться?
ПЕРВОНАЧАЛЬНАЯ РАЗВЕДКА
Начнём с доменного имени электронной почты (@mhspartners.com).
Сайт mhspartners.com выглядит хорошо собранным, с большим количеством информации
Несмотря на это, дальнейшее исследование сайта выявляет некоторые аномальные моменты:
• Нет телефона в "contact us" (странно для hr компании);
• Поиск их адреса в Гугле не дал результат;
• Нет политики конфиденциальности/пользовательского соглашения на сайте;
• На сайте написано copyright 2020 (устаревшая дата);
• Логотип обобщённый (с Shutterstock).
Вот логотип используемый на сайте:
Обычный обратный поиск по картинкам выдал результат с Shutterstock:
Проводя сканирование по домену в SpiderFoot мы получили полную картину инфраструктуры домена. Мы видим присутствие Cloudflare как главного DNS сервиса и обратного прокси сервера (Обратный прокси (реверс-прокси) — это сервер, который находится перед веб-серверами и пересылает запросы от клиента (например, от браузера) на эти веб-серверы). Таким образом мы не знаем адреса настоящих серверов, на которых этот домен размещён. В этом нет ничего плохого и это довольно стандартная практика, но она ограничивает то что мы можем собрать и из-за этого придется проводить более глубокий анализ.
ДВИГАЕМСЯ ГЛУБЖЕ
Домен имеет 15-ти летнюю историю и имел 3 главных периода активности (2007-2010, 2014-2018, август 2022 по настоящее время (прим. статья написана 5 октября 2022). Я исследовал полную активность домена DNS используя CompleteDns(https://completedns.com/)
Все попытки деанонимизировать сайт стоящий за Cloudflare не привели к успеху: проверка SSL сертификатов, значка вебсайта (тот, что появляется у вас в браузере во вкладке. Про это (favicon icon) рано или поздно сделаем перевод одной интересной статьи, если будет много желающих), поиск поддоменов за периметром Cloudflare (для этого можно использовать Censys(https://censys.io/) и Shodan(https://www.shodan.io/)).
Используя свой почтовый клиент я извлек оригинальные заголовки из письма, которые я получил и вставил их в Mxtoolbox(https://mxtoolbox.com/EmailHeaders.aspx), чтобы определить ip адрес отправителя. Этот способ очень полезен, когда домен не от бесплатного email провайдера (gmail, yahoo и так далее), а от частного домена. Анализ заголовков SMTP выдал ip адрес 54.240.8.16 и SMTP сервер размещён на AWS (источник: Mxtoolbox)
Также видно, что для отправки письма использовался SES Амазона (Simple Email Service), но MX записи домена указывают на то, что злоумышленник использовал инфраструктуру гугла для получения писем (SpiderFoot HX, через DNS модуль). Письмо, полученное с этого домена датируется 2 сентября, день после изменений DNS на Cloudflare.
Информация из DNS TXT приходит на помощь нам здесь, особенно SPF Records, связанные с доменом mhspartners.com
Запись здесь показывает, что два ip и один домен (размещён на Namecheap) авторизованы на отправку почты от домена mhspartners.com, но есть одна странность, никаких указаний в записях SPF о том какой был ip AWS. Обычно сервисы массовой рассылки сообщений присутствуют в DNS TXT записях
Даже анализ широкого диапазона адресов, которые проскакивают в SPF записях ниже, не выявила никакой связи с ip AWS
Проверка SPF не привела к mhspartners.com, но привела к ****@amazonses.com. Самой очевидной причиной этого было использовать одну выделенную инфраструктуру для отправки писем и другую для получения. При проверке ip 198.54.120.99, который был в SPF записях, мы находим только один активный домен (источник: SpiderFoot HX’s DNS module):
Анализируя записи DNS gogoso.us мы видим, что один из главных китайских почтовых сервисов qq.com авторизован для отсылки писем (источник: SpiderFoot HX’s DNS module)
Записи MX также подтверждают использование китайского провайдера (источник: dnslytics.com)
Анализируя два ip адреса, которые связаны с SPF записями домена и анализируя их сервисом по проверке объёмов писем на ip от talosintelligence.com мы видим, что активность обоих ip сконцентрирована в период получения сообщений и есть резкие скачки отправки в определенные моменты и резкое снижение в другие.
История объема писем для ip 198.54.120.224
История объема писем для ip 198.54.120.99
НАХОДИМ БОЛЬШЕ СЛЕДОВ
Давайте подумаем что мы нашли: управляющий доменным именем и создатель сайта запустили кампанию по отправки писем, предположительно злонамеренную (или хотя бы очень подозрительную), в течение нескольких часов после перезапуска в онлайн с обфусцированной (obfuscate — делать неочевидным, запутанным, сбивать с толку) серой инфраструктурой предположительно чтобы сохранять анонимность.
Вдобавок, мы поняли что у домена история активности более чем 15 лет и мы посмотрели всю информацию по активности, чтобы попытаться отделить прошлую (вероятно законную) активность/данные домена от настоящей (вероятно нелегальную).
После я использовал невероятные способности SpiderFoot HX к поиску email адресов, которые были связаны с доменом mhpartners.com. Я раздобыл имя и фамилию, связанную с почтой, благодаря SEON API в SpiderFoot.
Этот email может быть виден во многих утечках данных последних лет (источник: SpiderFoot HX, модуль SEON):
Через поиск по Гуглу ("zoominfo.com", "Mohamadou Hayatou", "mhs partners") и zoominfo.com (глобальная база для рекрутеров, доступ стоит в районе $5к) мы находим результат, который включает в себя имя, фамилию и email:
Мы видим полезную информацию касательно Mhs Partners LLC, связанную с профилем, подтверждая существование компании.
Уровень подозрения после последней улики возрос: "Mohamadou Hayatou" нигде не упоминается на сайте. Скорее всего Mohamadou Hayatou был владельцем домена ранее и стал жертвой нескольких утечек данных. Вероятнее всего его домен прекратил работу и кто-то завладел доменом, чтобы воспользоваться этим как быстрым способом набора доверия.
Время вернуться к сайту, чтобы поискать другие странные моменты. В этот раз в разделе "Meet the Team". Как вы можете помнить, со мной связалась старший рекрутер Сара Тэйлор. Мне интересно больше узнать об этой личности
SpiderFoot HX находит в метаданных фотографий 4 человек следы фотошопа
Теперь мы используем Google Lens для обратного поиска по фото "Сары Тэйлор". Мы находим результат на другом сайте с другим именем
Тоже самое применяем к фото её коллеги "Aaron Paul" и фото находится на другом сайте в финансовой сфере, опять же с другим именем
Идя на сайт с фото "Sarah Taylor" worldtalenthiring.com схема становится очевидной; другой домен, частично отличающиеся названия и заголовки, но суть одинаковая:
Мы также выявили что ip адрес, который хостит этот новый домен имеет репорты с различных источников о том что он распространяет Malware и C2 (источник: SpiderFoot HX через интеграцию с VirusTotal, Maltiverse, MetaDefender)
Потом SSL сертификат дает нам указание о периоде активности этого домена (источник: crt.sh), грубо говоря с июля 2021:
Мы нашли два сайта, предположительно принадлежащих одному и тому же лицу/группе - может сайтов больше? Гугля фрагмент стартовой страницы: "building a professional team that comes from all industries and practice areas in order to ensure that we offer personalized solutions to every challenge" мы находим еще один домен: mmwglobalinc.com
Тут мы опять находим сайт связанный с рекрутинговой индустрией.
Используя модуль SpiderFoot HX по экстракции email адреса в интеграции с Host.io, почта связанная с новым доменом найдена: такая информация может быть очень полезна в долгих расследованиях
ОПРЕДЕЛЯЕМ ЦЕЛЬ МОШЕННИКОВ
Сейчас, когда мы имеем уверенное представление о том что эти фродовые сайты и возможные причины были установлены (воровство персональной информации через социальную инженерию) нам остается лишь завлечь их отослав фейковое резюме, чтобы посмотреть на их реакцию. Что не заняло много времени, ответ последовал быстро:
Заявляет что резюме не соответствует "какой-то" системе "Applicant-Tracking-System" (ATS. Система отслеживания кандидатов), но не стоит беспокоиться, наш друг Аарон уже предлагает для нас решение, просто загрузите резюме в платный веб-сервис, который построен так, чтобы вынудить еще больше информации от аппликанта, а также вытянуть немного денег
Также считаю важно заметить, что телефон в записях Whois для mhspartners.com и smartresumeexperts.com одинаковы: 19854014545, и если вы загуглите этот номер, вы получите немного интересностей (источник: telguarder.com)
ЗАКЛЮЧЕНИЕ
Подводя итоги, давайте поймем какие были намерения мошенников и какие моменты можно выделить, чтобы определять такие схемы и не попасться.
1. Мошенники хотят завладеть как можно большим количеством информации.
Обычно один из финальных шагов во взаимодействии между мошенником и жертвой является отправка скана документов, чтобы закончить процесс рекрутинга.
Вполне возможно, что мошенники не делают бизнес в даркнете, а перепродают информацию специализированным брокерам. Завлекав жертву в запутанную схему найма, мошенники не только будут иметь полную картину нашего профессионального профиля (из резюме), но также могут запросить любой другой документ. Это особенно опасно, если целью является компания на которую мы работаем, потому что у мошенников есть понимание твоей должности в компании.
2. Перевод нас на сторонние сайты для того чтобы мы обработали документы и они соответствовали их требованиям - является той частью схемы, где они получают мгновенный выхлоп с жертвы. Некоторые кейсы перейдут в полномасштабную кражу данных с последующими злонамеренными действиями, но гораздо большее число будет тех, кто купит несуществующую подписку в сервисе.
3. Представляют себя как реальное рекрутинговое агентство, которое сотрудничает с крупными клиентами (о ком они, конечно же, не могут говорить), мошенники используют тот же образ действий, что и реальные фирмы. Они выигрывают время, отвечая на сомнения жертв политикой конфиденциальности. И из-за того, что они не используют брэндинг существующей компании, их сайты сложнее положить жалобами по фишингу или абьюзу. Обычно не закрывают сайт если нет 100% доказательств.
переведено прозвон сервисом Call.US
***
Эта статья покажет Вам как можно использовать различные сервисы для OSINT (Open-source intelligence: Поиск информации из открытых источников). Вы будете понимать как лучше скрывать свои следы.
РАСКРЫВАЕМ СХЕМУ ФЕЙК РЕКРУТЕРОВ
История началась с электронного письма, полученного на мою личную почту от Сары Тэйлор, старшего рекрутера в компании по поиску персонала. В этом письме было несколько интересных моментов:
• Письмо было отослано на электронную почту, которую я использую для рабочих целей и не использую при регистрациях на сайтах;
• Письмо пришло с [email protected], домен, который зарегистрирован и настроен должным образом в записях DNS, что способствует максимально возможной доставке до получателя;
• Содержимое в письме написано грамотно, намеренно расплывчато, подходит под любой контекст (для охвата бОльшей аудитории), но не имеет никаких ссылок, которые обычно присутствуют в скам письмах.
Вот оригинал письма:
Они нашли меня на Linkedin, и заинтересованы во мне. Ждут ответного письма, если мне тоже интересно это.
На этом моменте мы имеем несколько целей:
1. Понять, за что можно зацепиться, какие следы могли оставить злоумышленники за этой электронной почтой. Это позволит провести более широкий анализ и получить больше информации.
2. Выяснить, является ли эта компания легитимной.
3. Понять конечную цель отправителя. Чего он хочет добиться?
ПЕРВОНАЧАЛЬНАЯ РАЗВЕДКА
Начнём с доменного имени электронной почты (@mhspartners.com).
Сайт mhspartners.com выглядит хорошо собранным, с большим количеством информации
Несмотря на это, дальнейшее исследование сайта выявляет некоторые аномальные моменты:
• Нет телефона в "contact us" (странно для hr компании);
• Поиск их адреса в Гугле не дал результат;
• Нет политики конфиденциальности/пользовательского соглашения на сайте;
• На сайте написано copyright 2020 (устаревшая дата);
• Логотип обобщённый (с Shutterstock).
Вот логотип используемый на сайте:
Обычный обратный поиск по картинкам выдал результат с Shutterstock:
Проводя сканирование по домену в SpiderFoot мы получили полную картину инфраструктуры домена. Мы видим присутствие Cloudflare как главного DNS сервиса и обратного прокси сервера (Обратный прокси (реверс-прокси) — это сервер, который находится перед веб-серверами и пересылает запросы от клиента (например, от браузера) на эти веб-серверы). Таким образом мы не знаем адреса настоящих серверов, на которых этот домен размещён. В этом нет ничего плохого и это довольно стандартная практика, но она ограничивает то что мы можем собрать и из-за этого придется проводить более глубокий анализ.
ДВИГАЕМСЯ ГЛУБЖЕ
Домен имеет 15-ти летнюю историю и имел 3 главных периода активности (2007-2010, 2014-2018, август 2022 по настоящее время (прим. статья написана 5 октября 2022). Я исследовал полную активность домена DNS используя CompleteDns(https://completedns.com/)
Все попытки деанонимизировать сайт стоящий за Cloudflare не привели к успеху: проверка SSL сертификатов, значка вебсайта (тот, что появляется у вас в браузере во вкладке. Про это (favicon icon) рано или поздно сделаем перевод одной интересной статьи, если будет много желающих), поиск поддоменов за периметром Cloudflare (для этого можно использовать Censys(https://censys.io/) и Shodan(https://www.shodan.io/)).
Используя свой почтовый клиент я извлек оригинальные заголовки из письма, которые я получил и вставил их в Mxtoolbox(https://mxtoolbox.com/EmailHeaders.aspx), чтобы определить ip адрес отправителя. Этот способ очень полезен, когда домен не от бесплатного email провайдера (gmail, yahoo и так далее), а от частного домена. Анализ заголовков SMTP выдал ip адрес 54.240.8.16 и SMTP сервер размещён на AWS (источник: Mxtoolbox)
Также видно, что для отправки письма использовался SES Амазона (Simple Email Service), но MX записи домена указывают на то, что злоумышленник использовал инфраструктуру гугла для получения писем (SpiderFoot HX, через DNS модуль). Письмо, полученное с этого домена датируется 2 сентября, день после изменений DNS на Cloudflare.
Информация из DNS TXT приходит на помощь нам здесь, особенно SPF Records, связанные с доменом mhspartners.com
Запись здесь показывает, что два ip и один домен (размещён на Namecheap) авторизованы на отправку почты от домена mhspartners.com, но есть одна странность, никаких указаний в записях SPF о том какой был ip AWS. Обычно сервисы массовой рассылки сообщений присутствуют в DNS TXT записях
Даже анализ широкого диапазона адресов, которые проскакивают в SPF записях ниже, не выявила никакой связи с ip AWS
Проверка SPF не привела к mhspartners.com, но привела к ****@amazonses.com. Самой очевидной причиной этого было использовать одну выделенную инфраструктуру для отправки писем и другую для получения. При проверке ip 198.54.120.99, который был в SPF записях, мы находим только один активный домен (источник: SpiderFoot HX’s DNS module):
Анализируя записи DNS gogoso.us мы видим, что один из главных китайских почтовых сервисов qq.com авторизован для отсылки писем (источник: SpiderFoot HX’s DNS module)
Записи MX также подтверждают использование китайского провайдера (источник: dnslytics.com)
Анализируя два ip адреса, которые связаны с SPF записями домена и анализируя их сервисом по проверке объёмов писем на ip от talosintelligence.com мы видим, что активность обоих ip сконцентрирована в период получения сообщений и есть резкие скачки отправки в определенные моменты и резкое снижение в другие.
История объема писем для ip 198.54.120.224
История объема писем для ip 198.54.120.99
НАХОДИМ БОЛЬШЕ СЛЕДОВ
Давайте подумаем что мы нашли: управляющий доменным именем и создатель сайта запустили кампанию по отправки писем, предположительно злонамеренную (или хотя бы очень подозрительную), в течение нескольких часов после перезапуска в онлайн с обфусцированной (obfuscate — делать неочевидным, запутанным, сбивать с толку) серой инфраструктурой предположительно чтобы сохранять анонимность.
Вдобавок, мы поняли что у домена история активности более чем 15 лет и мы посмотрели всю информацию по активности, чтобы попытаться отделить прошлую (вероятно законную) активность/данные домена от настоящей (вероятно нелегальную).
После я использовал невероятные способности SpiderFoot HX к поиску email адресов, которые были связаны с доменом mhpartners.com. Я раздобыл имя и фамилию, связанную с почтой, благодаря SEON API в SpiderFoot.
Этот email может быть виден во многих утечках данных последних лет (источник: SpiderFoot HX, модуль SEON):
Через поиск по Гуглу ("zoominfo.com", "Mohamadou Hayatou", "mhs partners") и zoominfo.com (глобальная база для рекрутеров, доступ стоит в районе $5к) мы находим результат, который включает в себя имя, фамилию и email:
Мы видим полезную информацию касательно Mhs Partners LLC, связанную с профилем, подтверждая существование компании.
Уровень подозрения после последней улики возрос: "Mohamadou Hayatou" нигде не упоминается на сайте. Скорее всего Mohamadou Hayatou был владельцем домена ранее и стал жертвой нескольких утечек данных. Вероятнее всего его домен прекратил работу и кто-то завладел доменом, чтобы воспользоваться этим как быстрым способом набора доверия.
Время вернуться к сайту, чтобы поискать другие странные моменты. В этот раз в разделе "Meet the Team". Как вы можете помнить, со мной связалась старший рекрутер Сара Тэйлор. Мне интересно больше узнать об этой личности
SpiderFoot HX находит в метаданных фотографий 4 человек следы фотошопа
Теперь мы используем Google Lens для обратного поиска по фото "Сары Тэйлор". Мы находим результат на другом сайте с другим именем
Тоже самое применяем к фото её коллеги "Aaron Paul" и фото находится на другом сайте в финансовой сфере, опять же с другим именем
Идя на сайт с фото "Sarah Taylor" worldtalenthiring.com схема становится очевидной; другой домен, частично отличающиеся названия и заголовки, но суть одинаковая:
Мы также выявили что ip адрес, который хостит этот новый домен имеет репорты с различных источников о том что он распространяет Malware и C2 (источник: SpiderFoot HX через интеграцию с VirusTotal, Maltiverse, MetaDefender)
Потом SSL сертификат дает нам указание о периоде активности этого домена (источник: crt.sh), грубо говоря с июля 2021:
Мы нашли два сайта, предположительно принадлежащих одному и тому же лицу/группе - может сайтов больше? Гугля фрагмент стартовой страницы: "building a professional team that comes from all industries and practice areas in order to ensure that we offer personalized solutions to every challenge" мы находим еще один домен: mmwglobalinc.com
Тут мы опять находим сайт связанный с рекрутинговой индустрией.
Используя модуль SpiderFoot HX по экстракции email адреса в интеграции с Host.io, почта связанная с новым доменом найдена: такая информация может быть очень полезна в долгих расследованиях
ОПРЕДЕЛЯЕМ ЦЕЛЬ МОШЕННИКОВ
Сейчас, когда мы имеем уверенное представление о том что эти фродовые сайты и возможные причины были установлены (воровство персональной информации через социальную инженерию) нам остается лишь завлечь их отослав фейковое резюме, чтобы посмотреть на их реакцию. Что не заняло много времени, ответ последовал быстро:
Заявляет что резюме не соответствует "какой-то" системе "Applicant-Tracking-System" (ATS. Система отслеживания кандидатов), но не стоит беспокоиться, наш друг Аарон уже предлагает для нас решение, просто загрузите резюме в платный веб-сервис, который построен так, чтобы вынудить еще больше информации от аппликанта, а также вытянуть немного денег
Также считаю важно заметить, что телефон в записях Whois для mhspartners.com и smartresumeexperts.com одинаковы: 19854014545, и если вы загуглите этот номер, вы получите немного интересностей (источник: telguarder.com)
ЗАКЛЮЧЕНИЕ
Подводя итоги, давайте поймем какие были намерения мошенников и какие моменты можно выделить, чтобы определять такие схемы и не попасться.
1. Мошенники хотят завладеть как можно большим количеством информации.
Обычно один из финальных шагов во взаимодействии между мошенником и жертвой является отправка скана документов, чтобы закончить процесс рекрутинга.
Вполне возможно, что мошенники не делают бизнес в даркнете, а перепродают информацию специализированным брокерам. Завлекав жертву в запутанную схему найма, мошенники не только будут иметь полную картину нашего профессионального профиля (из резюме), но также могут запросить любой другой документ. Это особенно опасно, если целью является компания на которую мы работаем, потому что у мошенников есть понимание твоей должности в компании.
2. Перевод нас на сторонние сайты для того чтобы мы обработали документы и они соответствовали их требованиям - является той частью схемы, где они получают мгновенный выхлоп с жертвы. Некоторые кейсы перейдут в полномасштабную кражу данных с последующими злонамеренными действиями, но гораздо большее число будет тех, кто купит несуществующую подписку в сервисе.
3. Представляют себя как реальное рекрутинговое агентство, которое сотрудничает с крупными клиентами (о ком они, конечно же, не могут говорить), мошенники используют тот же образ действий, что и реальные фирмы. Они выигрывают время, отвечая на сомнения жертв политикой конфиденциальности. И из-за того, что они не используют брэндинг существующей компании, их сайты сложнее положить жалобами по фишингу или абьюзу. Обычно не закрывают сайт если нет 100% доказательств.
