A l'entorn digital actual, cada vegada és més comú que ciberdelinqüents utilitzin la recerca de feina com un vector d'atac per comprometre la seguretat dels professionals i les organitzacions. Les ofertes de feina falses s'han convertit en un mètode sofisticat per enganyar candidats desprevenuts i executar codi maliciós als seus dispositius, posant en risc informació valuosa i entorns corporatius.
Com funciona aquesta estafa pas a pas
El procés és sorprenentment convincent, dissenyat per generar confiança progressiva al llarg de setmanes:
- Et presentes per a una oferta de feina en una empresa amb bona reputació.
- T'inviten a la primera entrevista, busques l'entrevistador a LinkedIn, sembla una persona interessant, parles de la teva experiència, estudis, disponibilitat.
- Passes la primera entrevista. Assisteixes a la segona amb el cap de recursos humans, et parla dels valors de l'empresa.
- Passes la segona entrevista. Arriba la tercera: un alt directiu et mostra documents del projecte actual, les fases acabades, els passos següents.
- T'il·lusiona aquell salt a un nou lloc de feina on podràs desenvolupar-te i pujar el sou.
Fins que... arriba la 4a entrevista. Una entrevista tècnica.
El vector d'atac: la prova tècnica amb malware
L'aspirant rep una suposada prova tècnica o un arxiu amb instruccions: "Has de corregir els 3 errors que hi ha en aquest codi".
L'aspirant supera la prova. El codi està arreglat i funciona de meravella. "La setmana que ve et contactem per a la 5a i última entrevista."
Uns dies més tard, li desapareixen 120.000€ en criptoactius.
Tarda dies a caure en el record d'aquella prova tècnica. Les seves sospites eren certes: el codi contenia malware. En executar-lo, es va instal·lar programari maliciós que incloïa troians d'accés remot, portes del darrere i programes d'espionatge.
Aquesta tècnica no només afecta víctimes individuals. S'està usant activament per hackear empreses: es tria un objectiu dins l'organització, se li fa una bona oferta de feina com si vingués de la competència, i l'empleat executa codi maliciós al seu equip corporatiu.
L'impacte real en empreses
Aquest atac no només compromet l'equip del candidat. Obre una porta d'entrada per a:
- Atacar la xarxa corporativa completa
- Accedir a dades sensibles de clients i proveïdors
- Robar credencials financeres i informació estratègica
- Escalar privilegis dins l'entorn de producció
Aquests atacs fan servir tècniques avançades d'enginyeria social: generen confiança, aprofiten la pressió del temps i camuflen la infecció dins pràctiques habituals del procés de selecció, cosa que dificulta la seva detecció fins i tot a professionals experimentats.
Com protegir la teva empresa i el teu equip
A Delbion, ajudem les organitzacions a enfortir les seves defenses davant aquestes amenaces emergents:
- Consultoria en ciberseguretat per identificar i mitigar riscos en processos de reclutament i comunicació digital.
- Formació pràctica per a equips en detecció de fraus i atacs d'enginyeria social.
- Auditories i gestió de seguretat que inclouen controls específics per protegir xarxes i dispositius corporatius davant malware sofisticat.
No permetis que una recerca de feina es converteixi en la porta d'entrada per a un ciberatac.
Protegeix la teva organització
El teu equip està preparat per detectar enginyeria social?
Sol·licita una consultoria de ciberseguretat. Analitzem els vectors d'atac que afecten la teva organització, formem el teu equip i dissenyem controls per prevenir incidents d'enginyeria social avançada.
Parlar amb un expert →El teu equip necessita formacio en IA segura
L'EU AI Act exigeix alfabetitzacio IA per a tota la plantilla des d'agost 2026. Els nostres cursos cobreixen compliance, agents IA i governanca. FUNDAE pot subvencionar el 100% del cost.
