Finti recruiter, avatar creati con l’intelligenza artificiale e offerte di lavoro impeccabili nascondono malware e furti di dati. Le nuove trappole digitali colpiscono candidati e aziende, con interviste on line sempre più credibili
Arriva un messaggio su LinkedIn. Il profilo del mittente sembra solido e credibile: anni di attività, connessioni in comune, una società con sito web curato, pagine sui principali canali social e persino una scheda su Crunchbase, il database internazionale dove le startup reali si registrano per farsi trovare da investitori e partner. L’offerta è allettante, lo stipendio ottimo, il ruolo perfettamente in linea con il proprio curriculum. Si fissa un primo colloquio in videochiamata.
Dall’altra parte dello schermo c’è un volto. Parla, sorride, risponde alle domande in modo convincente. Solo che non è una persona: è un avatar generato dall’intelligenza artificiale, con voce sintetizzata e movimenti facciali calibrati per sembrare umani. L’azienda non esiste. Il lavoro non esiste. Ma il malware che verrà installato sul computer della vittima, di lì a poco, esiste eccome.
Questo è lo scenario che si sta delineando nel mercato del lavoro digitale. Non si tratta di episodi isolati né di fantascienza: è una truffa documentata, in rapida evoluzione, che ha già causato danni per centinaia di milioni di dollari a livello globale.
Un meccanismo studiato
Il meccanismo è studiato nei minimi dettagli. I truffatori costruiscono profili falsi, ad esempio su LinkedIn, con account a pagamento verificati, storia pluriennale e referenze credibili. Contattano sviluppatori, professionisti IT e lavoratori da remoto con offerte di lavoro calibrate sul loro profilo. Il primo colloquio è spesso con un essere umano in carne e ossa, o con qualcosa che ci somiglia abbastanza da non insospettire.
Dopo il colloquio arriva il test tecnico: un repository GitHub – uno spazio di archiviazione del codice on line, usato dai professionisti del settore per condividere i propri progetti – con un progetto da completare. Il codice sembra pulito. La struttura è professionale. Ma da qualche parte, annidato in una dipendenza npm – un pacchetto di codice esterno che il programma scarica automaticamente per funzionare, come un ingrediente che non vedi ma che finisce comunque nel piatto – c’è il payload: il codice malevolo vero e proprio, il nucleo della truffa, quello che esegue il danno una volta che è dentro la macchina della vittima.
A quel punto il computer è compromesso. I truffatori possono sottrarre credenziali, dati bancari, file personali, accesso a sistemi aziendali. In molti casi documentati l’obiettivo finale è il mining di criptovalute: la macchina infetta lavora in silenzio per generare profitto per i criminali, mentre il proprietario non si accorge di niente.
Non solo chi cerca lavoro
Il fenomeno ha un secondo volto, altrettanto insidioso. Non sono solo i candidati a rischio: anche le aziende si ritrovano dall’altra parte della truffa. Operatori nordcoreani – come documentato dai ricercatori di Palo Alto Networks, che hanno battezzato la campagna ‘Contagious Interview’ e la attribuiscono con alta confidenza a gruppi legati al regime di Pyongyang – si presentano come candidati qualificati, superano i colloqui, vengono assunti da remoto e poi usano l’accesso ai sistemi interni per sottrarre dati o installare backdoor.
Il caso più emblematico è quello di KnowBe4, società americana specializzata proprio in formazione sulla sicurezza informatica. Ha assunto per errore un hacker nordcoreano che aveva superato ogni verifica: videochiamata, background check, referenze. L’inganno è stato scoperto solo quando il nuovo dipendente ha cominciato a installare malware sui sistemi aziendali. Se è successo a chi insegna agli altri a non farsi fregare, il messaggio è abbastanza chiaro.
I numeri del fenomeno
La Federal Trade Commission americana ha calcolato che le perdite da truffe legate a false offerte di lavoro sono esplose da 90 milioni di dollari nel 2020 a oltre 501 milioni nel 2024. Un aumento di oltre cinque volte in quattro anni. E il fenomeno non riguarda solo gli sviluppatori: con la diffusione del lavoro da remoto in tutti i settori, la platea dei potenziali bersagli si è allargata a qualsiasi lavoratore che gestisce colloqui e selezioni online.
Le grandi aziende hanno iniziato a correre ai ripari: Google e McKinsey hanno reintrodotto i colloqui in presenza proprio per difendersi dall’ondata di candidati-avatar. Ma il divario strutturale resta. Vale qui il cosiddetto Principio di Asimmetria di Brandolini, formulato dall’informatico italiano Alberto Brandolini nel 2013, secondo cui la quantità di energia necessaria per smontare una fesseria è sempre di un ordine di grandezza superiore a quella necessaria per produrla. Costruire una finta azienda con tanto di sito, storia e test tecnico infetto richiede poche ore. Smontarla, riconoscerla, difendersi richiede competenze, attenzione e strumenti che il mercato sta ancora cercando di mettere a punto. Le macchine aggiornano le macchine, ogni giorno, in un ciclo di accelerazione che non accenna a rallentare.
