Раскрываем тему с fake рекрутинговым агентством. Перевод статьи от прозвон сервиса Call.US

Brother

Professional
Messages
2,567
Reputation
3
Reaction score
327
Points
83
Перевод https://intel471.com/blog/uncovering-a-fake-recruiter-scam

переведено прозвон сервисом Call.US

***

Эта статья покажет Вам как можно использовать различные сервисы для OSINT (Open-source intelligence: Поиск информации из открытых источников). Вы будете понимать как лучше скрывать свои следы.

РАСКРЫВАЕМ СХЕМУ ФЕЙК РЕКРУТЕРОВ
История началась с электронного письма, полученного на мою личную почту от Сары Тэйлор, старшего рекрутера в компании по поиску персонала. В этом письме было несколько интересных моментов:

• Письмо было отослано на электронную почту, которую я использую для рабочих целей и не использую при регистрациях на сайтах;

• Письмо пришло с [email protected], домен, который зарегистрирован и настроен должным образом в записях DNS, что способствует максимально возможной доставке до получателя;

• Содержимое в письме написано грамотно, намеренно расплывчато, подходит под любой контекст (для охвата бОльшей аудитории), но не имеет никаких ссылок, которые обычно присутствуют в скам письмах.

Вот оригинал письма:

1 (1).png


Они нашли меня на Linkedin, и заинтересованы во мне. Ждут ответного письма, если мне тоже интересно это.

На этом моменте мы имеем несколько целей:

1. Понять, за что можно зацепиться, какие следы могли оставить злоумышленники за этой электронной почтой. Это позволит провести более широкий анализ и получить больше информации.

2. Выяснить, является ли эта компания легитимной.

3. Понять конечную цель отправителя. Чего он хочет добиться?

ПЕРВОНАЧАЛЬНАЯ РАЗВЕДКА
Начнём с доменного имени электронной почты (@mhspartners.com).

Сайт mhspartners.com выглядит хорошо собранным, с большим количеством информации

2 (1).png


4 (1).png


Несмотря на это, дальнейшее исследование сайта выявляет некоторые аномальные моменты:

• Нет телефона в "contact us" (странно для hr компании);

• Поиск их адреса в Гугле не дал результат;

• Нет политики конфиденциальности/пользовательского соглашения на сайте;

• На сайте написано copyright 2020 (устаревшая дата);

• Логотип обобщённый (с Shutterstock).

Вот логотип используемый на сайте:

3 (1).png


Обычный обратный поиск по картинкам выдал результат с Shutterstock:

5 (1).png


Проводя сканирование по домену в SpiderFoot мы получили полную картину инфраструктуры домена. Мы видим присутствие Cloudflare как главного DNS сервиса и обратного прокси сервера (Обратный прокси (реверс-прокси) — это сервер, который находится перед веб-серверами и пересылает запросы от клиента (например, от браузера) на эти веб-серверы). Таким образом мы не знаем адреса настоящих серверов, на которых этот домен размещён. В этом нет ничего плохого и это довольно стандартная практика, но она ограничивает то что мы можем собрать и из-за этого придется проводить более глубокий анализ.

CF8BB795-7711-46C3-8574-B7DC7B38A438.png


ДВИГАЕМСЯ ГЛУБЖЕ
Домен имеет 15-ти летнюю историю и имел 3 главных периода активности (2007-2010, 2014-2018, август 2022 по настоящее время (прим. статья написана 5 октября 2022). Я исследовал полную активность домена DNS используя CompleteDns(https://completedns.com/)

66532E98-3978-46E5-8253-EF40B81E5147.png


Все попытки деанонимизировать сайт стоящий за Cloudflare не привели к успеху: проверка SSL сертификатов, значка вебсайта (тот, что появляется у вас в браузере во вкладке. Про это (favicon icon) рано или поздно сделаем перевод одной интересной статьи, если будет много желающих), поиск поддоменов за периметром Cloudflare (для этого можно использовать Censys(https://censys.io/) и Shodan(https://www.shodan.io/)).

Используя свой почтовый клиент я извлек оригинальные заголовки из письма, которые я получил и вставил их в Mxtoolbox(https://mxtoolbox.com/EmailHeaders.aspx), чтобы определить ip адрес отправителя. Этот способ очень полезен, когда домен не от бесплатного email провайдера (gmail, yahoo и так далее), а от частного домена. Анализ заголовков SMTP выдал ip адрес 54.240.8.16 и SMTP сервер размещён на AWS (источник: Mxtoolbox)

E7426D3D-416E-4663-9A81-F5A318C7E1F3.png


Также видно, что для отправки письма использовался SES Амазона (Simple Email Service), но MX записи домена указывают на то, что злоумышленник использовал инфраструктуру гугла для получения писем (SpiderFoot HX, через DNS модуль). Письмо, полученное с этого домена датируется 2 сентября, день после изменений DNS на Cloudflare.

Информация из DNS TXT приходит на помощь нам здесь, особенно SPF Records, связанные с доменом mhspartners.com

Запись здесь показывает, что два ip и один домен (размещён на Namecheap) авторизованы на отправку почты от домена mhspartners.com, но есть одна странность, никаких указаний в записях SPF о том какой был ip AWS. Обычно сервисы массовой рассылки сообщений присутствуют в DNS TXT записях

6FE03BED-04F7-491F-9180-3EEA90D832E4.png


Даже анализ широкого диапазона адресов, которые проскакивают в SPF записях ниже, не выявила никакой связи с ip AWS

52BAEAD3-0F4E-4C89-9907-0FE4C15B086C.png


Проверка SPF не привела к mhspartners.com, но привела к ****@amazonses.com. Самой очевидной причиной этого было использовать одну выделенную инфраструктуру для отправки писем и другую для получения. При проверке ip 198.54.120.99, который был в SPF записях, мы находим только один активный домен (источник: SpiderFoot HX’s DNS module):

73497B57-6CC1-4527-9DC1-124D34BB63C3.png


Анализируя записи DNS gogoso.us мы видим, что один из главных китайских почтовых сервисов qq.com авторизован для отсылки писем (источник: SpiderFoot HX’s DNS module)

D9DDF6ED-E2A8-4470-8C9A-7346ECBD527D.png


Записи MX также подтверждают использование китайского провайдера (источник: dnslytics.com)

E178A7EF-283D-4B0A-B484-A4EE308216C1.png


Анализируя два ip адреса, которые связаны с SPF записями домена и анализируя их сервисом по проверке объёмов писем на ip от talosintelligence.com мы видим, что активность обоих ip сконцентрирована в период получения сообщений и есть резкие скачки отправки в определенные моменты и резкое снижение в другие.

История объема писем для ip 198.54.120.224

94863B44-65F6-4C71-AE2E-282FD4972784.png


История объема писем для ip 198.54.120.99

1D10E3CA-B885-4D4C-9292-FC14666B2D5F.png


НАХОДИМ БОЛЬШЕ СЛЕДОВ
Давайте подумаем что мы нашли: управляющий доменным именем и создатель сайта запустили кампанию по отправки писем, предположительно злонамеренную (или хотя бы очень подозрительную), в течение нескольких часов после перезапуска в онлайн с обфусцированной (obfuscate — делать неочевидным, запутанным, сбивать с толку) серой инфраструктурой предположительно чтобы сохранять анонимность.

Вдобавок, мы поняли что у домена история активности более чем 15 лет и мы посмотрели всю информацию по активности, чтобы попытаться отделить прошлую (вероятно законную) активность/данные домена от настоящей (вероятно нелегальную).

После я использовал невероятные способности SpiderFoot HX к поиску email адресов, которые были связаны с доменом mhpartners.com. Я раздобыл имя и фамилию, связанную с почтой, благодаря SEON API в SpiderFoot.

0CA11DB7-6E00-4939-938B-61648538764B.png


1956DF91-539B-4A6A-8C3D-26B5A7D8D1E9.png


Этот email может быть виден во многих утечках данных последних лет (источник: SpiderFoot HX, модуль SEON):

980C1851-2CA0-43D7-A755-61AB00D31779.png


Через поиск по Гуглу ("zoominfo.com", "Mohamadou Hayatou", "mhs partners") и zoominfo.com (глобальная база для рекрутеров, доступ стоит в районе $5к) мы находим результат, который включает в себя имя, фамилию и email:

097388DC-1C11-4D8A-BDE1-B00A33122349.png


Мы видим полезную информацию касательно Mhs Partners LLC, связанную с профилем, подтверждая существование компании.

F47B4FFB-3811-4DB9-9B74-A96E08AC85ED.png


FDFCE453-DE7C-47B2-B112-2583FAB0C5DF.png


Уровень подозрения после последней улики возрос: "Mohamadou Hayatou" нигде не упоминается на сайте. Скорее всего Mohamadou Hayatou был владельцем домена ранее и стал жертвой нескольких утечек данных. Вероятнее всего его домен прекратил работу и кто-то завладел доменом, чтобы воспользоваться этим как быстрым способом набора доверия.

Время вернуться к сайту, чтобы поискать другие странные моменты. В этот раз в разделе "Meet the Team". Как вы можете помнить, со мной связалась старший рекрутер Сара Тэйлор. Мне интересно больше узнать об этой личности

E71626BC-A655-4A8B-94B4-7263E60338AE.png


SpiderFoot HX находит в метаданных фотографий 4 человек следы фотошопа

B34D6C06-C1C7-4490-9FB3-8062FD788333.png


Теперь мы используем Google Lens для обратного поиска по фото "Сары Тэйлор". Мы находим результат на другом сайте с другим именем

973AAA32-2A2E-4A09-B5EF-7F4E859DC946.png


Тоже самое применяем к фото её коллеги "Aaron Paul" и фото находится на другом сайте в финансовой сфере, опять же с другим именем

E7E5D656-F3CE-46AD-A6BC-BBC285A6F51A.png


Идя на сайт с фото "Sarah Taylor" worldtalenthiring.com схема становится очевидной; другой домен, частично отличающиеся названия и заголовки, но суть одинаковая:

FAF09D2D-E4A1-4E2B-BA8F-44F446AA58C6.png


C6627857-7185-4C1A-BDAC-051AA4487855.png


Мы также выявили что ip адрес, который хостит этот новый домен имеет репорты с различных источников о том что он распространяет Malware и C2 (источник: SpiderFoot HX через интеграцию с VirusTotal, Maltiverse, MetaDefender)

3099B3F1-EF31-4477-BAF1-46446FEE2C9C.png


82f72da9aff556afcbe43.png


79C877F1-E66E-4486-AF0F-99E264B8328F.png


Потом SSL сертификат дает нам указание о периоде активности этого домена (источник: crt.sh), грубо говоря с июля 2021:

840748CC-665A-4932-96BB-EC15445CF23B.png


Мы нашли два сайта, предположительно принадлежащих одному и тому же лицу/группе - может сайтов больше? Гугля фрагмент стартовой страницы: "building a professional team that comes from all industries and practice areas in order to ensure that we offer personalized solutions to every challenge" мы находим еще один домен: mmwglobalinc.com

C7B5F4CF-26DF-492C-9CDC-42CFAC3712EC.png


Тут мы опять находим сайт связанный с рекрутинговой индустрией.

Используя модуль SpiderFoot HX по экстракции email адреса в интеграции с Host.io, почта связанная с новым доменом найдена: такая информация может быть очень полезна в долгих расследованиях

941B07DA-C658-4B49-A844-BB9B8D053BDF.png


00099806-B297-4161-BD9B-560A01DCC34C.png


ОПРЕДЕЛЯЕМ ЦЕЛЬ МОШЕННИКОВ

Сейчас, когда мы имеем уверенное представление о том что эти фродовые сайты и возможные причины были установлены (воровство персональной информации через социальную инженерию) нам остается лишь завлечь их отослав фейковое резюме, чтобы посмотреть на их реакцию. Что не заняло много времени, ответ последовал быстро:

E7D53622-6E06-43BD-9087-15FEBC7F94C3.png


Заявляет что резюме не соответствует "какой-то" системе "Applicant-Tracking-System" (ATS. Система отслеживания кандидатов), но не стоит беспокоиться, наш друг Аарон уже предлагает для нас решение, просто загрузите резюме в платный веб-сервис, который построен так, чтобы вынудить еще больше информации от аппликанта, а также вытянуть немного денег

7DA9F1A1-8838-4D7E-B0FD-229DE7743529.png


7EA6225E-4D96-45BB-9EB8-6D3286C925FE.png


Также считаю важно заметить, что телефон в записях Whois для mhspartners.com и smartresumeexperts.com одинаковы: 19854014545, и если вы загуглите этот номер, вы получите немного интересностей (источник: telguarder.com)

2FBF38A9-A257-4562-9409-1D6685CFCAF0.png


ЗАКЛЮЧЕНИЕ
Подводя итоги, давайте поймем какие были намерения мошенников и какие моменты можно выделить, чтобы определять такие схемы и не попасться.

1. Мошенники хотят завладеть как можно большим количеством информации.

Обычно один из финальных шагов во взаимодействии между мошенником и жертвой является отправка скана документов, чтобы закончить процесс рекрутинга.

Вполне возможно, что мошенники не делают бизнес в даркнете, а перепродают информацию специализированным брокерам. Завлекав жертву в запутанную схему найма, мошенники не только будут иметь полную картину нашего профессионального профиля (из резюме), но также могут запросить любой другой документ. Это особенно опасно, если целью является компания на которую мы работаем, потому что у мошенников есть понимание твоей должности в компании.

2. Перевод нас на сторонние сайты для того чтобы мы обработали документы и они соответствовали их требованиям - является той частью схемы, где они получают мгновенный выхлоп с жертвы. Некоторые кейсы перейдут в полномасштабную кражу данных с последующими злонамеренными действиями, но гораздо большее число будет тех, кто купит несуществующую подписку в сервисе.

3. Представляют себя как реальное рекрутинговое агентство, которое сотрудничает с крупными клиентами (о ком они, конечно же, не могут говорить), мошенники используют тот же образ действий, что и реальные фирмы. Они выигрывают время, отвечая на сомнения жертв политикой конфиденциальности. И из-за того, что они не используют брэндинг существующей компании, их сайты сложнее положить жалобами по фишингу или абьюзу. Обычно не закрывают сайт если нет 100% доказательств.
 
Top