AAA SOC Analyst cercarsi: quando le offerte di lavoro sono poco chiare e trasparenti e bisogna prestare attenzione 

Autore: Nicola Tarlini, Cyber Security Engineer

Nicola, ci ha inviato una dettagliata segnalazione riguardante una comunicazione sospetta relativa a un’offerta di lavoro per la posizione di SOC Analyst e ha voluto condividere le sue osservazioni con un’analisi dei fatti. Premettiamo che, soprattutto nell’ambito della sicurezza informatica, bisogna prestare particolare attenzione alle offerte di lavoro poco chiare e trasparenti – anche se non rappresentano una truffa –  soprattutto perché la sicurezza informatica è un settore critico e le aziende del settore devono attrarre talenti altamente qualificati per fronteggiare minacce sempre più complesse e frequenti.

Nel primo caso – offerte di lavoro poco chiare o ambigue, con contatti non verificabili o informazioni contraddittorie – dovrebbero far alzare il livello dell’attenzione, come è stato per Nicola Tarlini. Spesso infatti questi annunci potrebbero nascondere infatti rischi di truffa, furto di dati personali o violazioni di sicurezza: Nicola infatti ha chiesto chiarezza per proteggere sia la propria integrità professionale e digitale e per evitare di cadere vittima di eventuali frodi.

Nel minore dei mali invece offerte poco trasparenti o superficiali possono indicare mancanza di professionalità, di attenzione o una gestione non ottimizzata dei processi di assunzione e nella preparazione del proprio personale, con il conseguente rischio di impiego in ambienti non sicuri o poco affidabili, che possono compromettere la carriera e la sicurezza personale. Anche in questo caso la segnalazione di Nicola vuole fare chiarezza. Nella sua analisi evidenzia vari segnali di allarme tra cui messaggi impersonali e generici, identità dei recruiter non verificabili, mancanza di informazioni chiare, contatti telefonici a cui nessuno risponde o non attivi, discrepanze tra l’annuncio di lavoro e i messaggi successivi di contatto ed infine una risposta ufficiale dell’azienda che ammette una comunicazione poco chiara ma che conferma l’attività dei contatti.

Qui sotto una tabella dove vengono riassunte le caratteristiche sospette di un’offerta di lavoro per la maggior parte coerenti con l’analisi di Nicola che segue.

L’analisi di Nicola Tarlini su un’offerta di lavoro come SOC Analyst generico

Qualche giorno fa, l’account di un utente di LinkedIn con ruolo “recruiter” mi ha contattato per una proposta di lavoro come “SOC Analyst”generico sia in 8×5 che in 24×7 su turni.

L’utente in questione, del quale nascondo l’identità per questioni di privacy, sopra citato mi ha contattato con il seguente messaggio:

In questo messaggio ho notato fin da subito dei segnali di allarme che vado ad elencare:

1. L’inizio del messaggio è un asettico e impersonale “Buongiorno!”. Questo fa pensare che si tratti di un messaggio automatico o preimpostato, non di un messaggio personale a seguito di un’attenta analisi del mio profilo.
2. L’utente si presenta con un’identità diversa da quella con cui scrive:“Piacere di conoscerti! Sono Anna, collega di [NOME CENSURATO].”. Questo porta a pensare due possibili ipotesi:
   • a. L’utenza è compromessa: quindi è stato commesso un reato informatico;
   • b. L’utenza è condivisa: quindi non viene rispettato alcuno standard di sicurezza riguardante le comunicazioni online, perciò una violazione delle regole di condotta di LinkedIn e procedure aziendali non conformi a leggi e standard nazionali e internazionali.
3. Nel messaggio del punto 2 non viene dichiarato il cognome di questa presunta recruiter di nome “Anna”. Questo porta a pensare che l’utente non voglia identificarsi e, quindi, che l’opzione 2.a sia quella più corretta.
4. L’utente dichiara “siamo [AZIENDA CENSURATA]” > non qualificandosi personalmente come Recruiter per conto della società, quindi una dipendente, i sospetti continuano ad essere presenti e l’allarme è costantemente attivo su chi sia “Anna”.
5. Il titolo del lavoro per cui risulta cercare l’utente nel messaggio segnalato è “SOC Analyst (H8 e H24, livello 1 e 2)”, però è diverso da quanto presentato sul profilo LinkedIn aziendale utilizzato per il contatto: Inoltre, sono 2 mesi di tempo che l’annuncio è presente. Queste informazioni fannocredere che l’utente in questione non riesca a trovare la persona giusta a distanza di tempo. Viene da pensare, anche, che l’annuncio non sia stato aggiornato a differenza del messaggio della chat.

6. Viene scritto “La posizione è a contratto con un tipo di workplace ibrido, con sede a Milano”. Non viene definita la tipologia di contratto: somministrazione, tempo determinato, tempo indeterminato, a chiamata o altro.

7. Nella firma non si parla di “Anna” ma viene scritto“per conto di”. Questo conferma ancora una volta i sospetti del punto 2.

Quindi, visto quanto sospetto il primo messaggio, ho deciso di chiedere qualche modalità per confermare l’identità:

L’esito della verifica di tali dati è stato molto deludente e ha alzato ulteriormente imiei sospetti:

1. Il numero di telefono fisso ha squillato a  vuoto e non ho ricevuto alcuna risposta, nonostante 4 tentativi tra le 3:48 p.m. e le 4:07 p.m. (ora italiana). 
2. Il numero del cellulare risulta invece non attivo;
3. L’indirizzo mail contiene un“cognome”che non corrisponde o non è verificabile con i dati forniti in precedenza nella chat di Linkedin.

Volendo approfondire ulteriormente, ho verificato che l’utente cercava di presentarsi con l’identità di “Anna [CENSURATO]”. Questa risulta essere una Junior Recruiter che lavora presso la società indicata nell’annuncio di lavoro e durante il contatto. Questa ragazza risulta aver concluso da pochi giorni un master con un Academy specifico per recruiter e risulta aver pubblicizzato, una settimana prima, la posizione di assunzione per cui sono stato contattato.

Questo porta a credere che la società in questione non faccia formazione in ambito di Security ai propri Recruiter e, quindi, di non rispettare le leggi nazionali e internazionali in ambito. È stato contattato l’indirizzo “privacv@[CENSURATO].it” per segnalare il tutto e chiedere ulteriore conferma di tali comportamenti sospetti e la risposta è stata la seguente:

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Olivia Terragni

Autore, ex giornalista, laureata in Lettere e Filosofia con indirizzo storico-economico e poi in Architettura, ha poi approfondito i suoi studi in Network Economy e in Informations Economics, conclusi con un Master in Cyber Security e Digital Forensics e un Master in Filosofia e Governance del Digitale. Appassionata di innovazione tecnologica e sistemi complessi e della loro gestione nell’ambito della sicurezza e della loro sostenibilità in contesti internazionali. Criminalista. Velista ottimista.

Aree di competenza: Geopolitica, Intelligence, Minacce Ibride, Divulgazione