Phishing rekrutacyjny kradnie loginy do Gmaila
2026-07-11
Fałszywy rekruter, prawdziwe platformy HR i podrobiona strona kariery prowadzą do okna logowania, które przejmuje dane konta Google.

TL;DR
Kampania opisana przez badacza BushidoUK podszywa się pod rekruterów znanych marek i kieruje kandydatów do fałszywych serwisów kariery. Wiadomości są personalizowane, a link może przechodzić przez kilka legalnych platform, zanim otworzy stronę przejmującą dane logowania do Google.
W analizowanym łańcuchu wykorzystano prawdziwą platformę HR PeopleForce, usługę Salesforce Marketing Cloud, narzędzie Wise Agent oraz stronę hostowaną w infrastrukturze Netlify. Końcowa witryna imitowała proces rekrutacyjny i wyświetlała podrobione okno Gmaila wykonane techniką Browser-in-the-Browser.
Najważniejszym sygnałem nie jest pojedynczy błąd językowy ani samo użycie znanej platformy. Jest nim brak biznesowego powodu, aby kandydat podawał hasło do konta Google podczas umawiania rozmowy. Firma powinna z kolei chronić nie tylko pracowników, ale również kandydatów: publikować jasne zasady kontaktu rekrutacyjnego, monitorować domeny podobne do własnej i mieć procedurę szybkiego zgłaszania fałszywych ofert.
Jak działa opisana kampania rekrutacyjna
Atak zaczyna się od wiadomości wyglądającej jak kontakt od rekrutera. Odbiorca jest zwracany po imieniu, a proponowane stanowisko pasuje do jego doświadczenia. Taka personalizacja może opierać się na publicznym profilu zawodowym, stronie firmowej, portfolio albo informacjach z mediów społecznościowych.
Wiadomość zachęca do umówienia spotkania. To wiarygodny etap normalnej rekrutacji, dlatego odbiorca nie spodziewa się prośby o pieniądze ani załącznika ze złośliwym oprogramowaniem. Ryzyko pojawia się dopiero po przejściu przez kilka kolejnych stron.
Według pierwotnego opisu wiadomość była wysłana przez PeopleForce, czyli legalny system zarządzania zasobami ludzkimi i rekrutacją. Następnie odnośnik prowadził przez domenę związaną z Salesforce Marketing Cloud, później przez usługę Wise Agent i dopiero na końcu do fałszywej strony kariery.
Taki łańcuch może utrudniać ocenę zarówno użytkownikowi, jak i filtrom pocztowym. Początkowe domeny mają dobrą reputację i rzeczywiście obsługują procesy biznesowe. Nie oznacza to jednak, że końcowa strona jest częścią legalnej rekrutacji.
Dlaczego legalne usługi zwiększają wiarygodność ataku
Użytkownik często sprawdza tylko pierwszy widoczny adres. Jeżeli link prowadzi do znanej platformy HR lub marketingowej, może uznać cały proces za bezpieczny. Tymczasem legalna usługa może pełnić wyłącznie rolę przekaźnika.
Przekierowania mają jeszcze jeden skutek: końcowa domena może nie być widoczna w treści wiadomości. System ochrony poczty ocenia link znany w chwili skanowania, ale później reguła przekierowania może zostać zmieniona albo uruchomiona tylko dla wybranych odbiorców. Atakujący może również wyświetlać neutralną treść analizatorom automatycznym, a właściwy formularz tylko użytkownikom spełniającym określone warunki.
Nie oznacza to, że każda wiadomość z platformy HR jest podejrzana. Oznacza natomiast, że reputacja dostawcy nie zastępuje oceny celu działania. Prawidłowe pytanie brzmi: dlaczego ten proces wymaga logowania i czy końcowa domena należy do firmy, z którą prowadzona jest rozmowa?
Fałszywa strona kariery i podrobione okno Gmaila
W jednym z opisanych wariantów strona podszywała się pod serwis rekrutacyjny McKinsey & Company. Podobne domeny miały nawiązywać do linii lotniczych, firm technologicznych, marek odzieżowych, hoteli, platform podróżniczych i organizacji sportowych.
Po wejściu na stronę kandydat widział proces umówienia rozmowy, a następnie okno logowania do Gmaila. Nie było to prawdziwe okno dostawcy tożsamości. Zostało narysowane wewnątrz strony tak, aby przypominało osobne okno przeglądarki, łącznie z paskiem adresu i elementami sterującymi.
Technika Browser-in-the-Browser wykorzystuje przyzwyczajenie do logowania przez Google. Użytkownik widzi znajomy interfejs i może założyć, że przeglądarka otworzyła bezpieczne okno uwierzytelniania. W rzeczywistości wpisywane dane trafiają do formularza kontrolowanego przez atakującego.

Schemat pokazuje, że wiarygodność jest budowana etapami: personalizacja i legalne usługi obniżają podejrzliwość, a kradzież hasła następuje dopiero w podrobionym oknie logowania.
Sygnały, które powinny zatrzymać kandydata
Pierwszym sygnałem jest oferta, której nie da się potwierdzić w oficjalnym serwisie firmy. Nazwa stanowiska, rekruter i etap procesu powinny być możliwe do zweryfikowania niezależnie od wiadomości. Najlepiej samodzielnie otworzyć stronę pracodawcy i sprawdzić sekcję karier.
Drugim jest presja na szybkie umówienie rozmowy bez wcześniejszego kontaktu, zwłaszcza gdy wiadomość odwołuje się do atrakcyjnej marki lub wyjątkowej szansy. Personalizacja nie jest dowodem autentyczności. Imię, stanowisko i historia zatrudnienia są często publiczne.
Trzecim jest logowanie do prywatnego konta na stronie innej firmy. Zaproszenie do kalendarza nie wymaga przekazania hasła rekruterowi ani serwisowi rekrutacyjnemu. Prawdziwe logowanie przez Google powinno odbywać się w domenie Google i być uruchomione z procesu, którego użytkownik się spodziewa.
Czwartym jest okno, którego nie da się normalnie obsłużyć jak elementu przeglądarki. Fałszywy pasek adresu może nie reagować na zaznaczanie tekstu, okno może pozostawać wewnątrz strony po próbie przeciągnięcia, a jego wygląd może różnić się od systemowego. Nie należy jednak opierać obrony wyłącznie na takich testach, ponieważ interfejs może być bardzo dopracowany.
Najskuteczniejsza zasada brzmi: nie loguj się z linku w nieoczekiwanej ofercie pracy. Otwórz oficjalny serwis firmy, znajdź ofertę i skontaktuj się z rekruterem przez kanał podany na stronie organizacji.
Podstawowe mechanizmy takich oszustw opisujemy szerzej w artykule co to jest phishing.
Co kampania oznacza dla działów HR
Fałszywa rekrutacja szkodzi nie tylko kandydatom. Oszuści wykorzystują markę pracodawcy, nazwiska rekruterów i prawdziwe opisy stanowisk. Skutkiem są zgłoszenia do HR, utrata zaufania oraz ryzyko, że kandydaci przekażą dane osobowe lub dostęp do kont, sądząc, że rozmawiają z firmą.
Organizacja powinna publicznie opisać, z jakich domen wysyła wiadomości, jak wygląda proces rekrutacyjny i jakich danych nigdy nie żąda. Taka informacja powinna być łatwa do znalezienia w serwisie kariery. Warto również wskazać adres do zgłaszania podejrzanych ofert.
HR, komunikacja i Security powinny mieć wspólną procedurę reagowania na domeny podobne do nazwy firmy. Obejmuje ona potwierdzenie nadużycia, zabezpieczenie dowodów, zgłoszenie do dostawcy hostingu i rejestratora, ostrzeżenie kandydatów oraz sprawdzenie, czy fałszywa kampania nie wykorzystuje prawdziwych kont pracowników.
W przypadku firm prowadzących intensywną rekrutację warto monitorować nowe domeny zawierające nazwę marki i słowa takie jak „jobs”, „careers”, „hiring” czy „recruitment”. Sam monitoring nie zatrzyma kampanii, ale skraca czas od pojawienia się strony do jej zgłoszenia.
Więcej o dopasowaniu ćwiczeń do procesów kadrowych znajduje się na stronie PHISHLY dla HR i rekrutacji.
Co powinny zrobić IT i Security
Zespół bezpieczeństwa nie powinien ograniczać analizy do pierwszego linku w e-mailu. Potrzebna jest możliwość rozwinięcia pełnego łańcucha przekierowań w kontrolowanym środowisku oraz sprawdzenia końcowej domeny, certyfikatu, czasu rejestracji i powiązań infrastrukturalnych.
Ochrona poczty powinna wykrywać nietypowe przekierowania, ale równie ważna jest telemetria z kont. Dla Google Workspace przydatne są alerty dotyczące logowań z nowych lokalizacji, zmian metod odzyskiwania, tworzenia reguł przekazywania poczty, nadawania dostępu aplikacjom i nietypowego pobierania danych.
MFA ogranicza skutki samej kradzieży hasła, lecz nie każda metoda jest równie odporna na phishing. Organizacje powinny preferować uwierzytelnianie odporne na phishing, na przykład klucze bezpieczeństwa lub passkeys oparte na standardach FIDO, tam gdzie jest to możliwe. Nie zwalnia to jednak z analizy sesji i zgód aplikacji po incydencie.
W programie security awareness warto oddzielnie ćwiczyć pracowników HR, menedżerów zatrudniających i osoby aktywnie poszukujące pracy. Testy phishingowe dla firm mogą odwzorować zaproszenie rekrutacyjne bez używania prawdziwych haseł i bez narażania kandydatów spoza organizacji.
Co zrobić, jeśli to już się stało
Jeżeli hasło do konta Google zostało wpisane na podejrzanej stronie, trzeba otworzyć oficjalny serwis konta Google przez samodzielnie wpisany adres i natychmiast zmienić hasło. Hasło powinno być nowe i nieużywane w innych usługach. Jeżeli to samo hasło było używane gdzie indziej, należy zmienić je również w tych miejscach.
Następnie trzeba sprawdzić aktywne urządzenia i sesje, usunąć nieznane logowania oraz przejrzeć dane odzyskiwania konta. Ważne są także reguły przekazywania i filtrowania poczty, delegacje skrzynki, hasła aplikacji oraz zewnętrzne aplikacje mające dostęp do danych Google.
Jeżeli użytkownik podał kod weryfikacyjny albo zatwierdził powiadomienie, sama zmiana hasła może nie wystarczyć. Należy wylogować aktywne sesje i ponownie skonfigurować metody uwierzytelniania, jeżeli zostały zmienione. Google udostępnia oficjalny proces odzyskiwania konta oraz przegląd podejrzanej aktywności.
W środowisku firmowym pracownik powinien natychmiast skontaktować się z administratorem lub zespołem Security. Administrator może sprawdzić logi, wymusić reset hasła, unieważnić sesje i ocenić, czy z konta wysyłano dalsze wiadomości phishingowe.
Oryginalną wiadomość należy zachować. Adres fałszywej strony można zgłosić dostawcy hostingu, firmie, pod którą podszywa się atak, oraz CERT Polska. Szybkie zgłoszenie może pomóc ochronić kolejnych kandydatów.
Rekrutacja nie powinna wymagać zaufania do każdego linku
Skuteczność tej kampanii wynika z połączenia trzech elementów: atrakcyjnej oferty, legalnych platform i znajomego okna logowania. Każdy z nich osobno wygląda normalnie. Ryzyko staje się widoczne dopiero po zadaniu pytania, czy dany krok jest rzeczywiście potrzebny w procesie rekrutacji.
Dobra procedura daje kandydatowi i pracownikowi prostą alternatywę: sprawdzić ofertę w oficjalnym serwisie, potwierdzić tożsamość rekrutera i nie podawać hasła podczas umawiania rozmowy. Firmy, które chcą przećwiczyć takie decyzje z zespołem HR i menedżerami, mogą skontaktować się z PHISHLY.
Najczęstsze pytania
Czy rekruter potrzebuje hasła do Gmaila, aby umówić rozmowę?
Nie. Rekruter może wysłać zaproszenie kalendarzowe lub link do systemu rekrutacyjnego, ale nie potrzebuje hasła do prywatnego ani służbowego konta Google kandydata.
Czym jest Browser-in-the-Browser?
To technika, w której fałszywa strona wyświetla wewnątrz witryny podrobione okno logowania przypominające prawdziwe okno przeglądarki. Pasek adresu i przyciski są częścią grafiki lub interfejsu strony, a nie osobnym, zaufanym oknem.
Czy wiadomość wysłana przez prawdziwą platformę HR jest bezpieczna?
Nie zawsze. Legalna platforma może zostać wykorzystana do wysłania wiadomości lub jako element przekierowania. Trzeba oceniać cały proces, końcową domenę i zasadność prośby o logowanie.
Co zrobić po wpisaniu hasła Google na fałszywej stronie?
Należy natychmiast zmienić hasło przez oficjalną stronę Google, wylogować nieznane sesje, sprawdzić urządzenia, metody odzyskiwania, reguły poczty i aplikacje z dostępem do konta. W firmie incydent trzeba zgłosić administratorowi.
Źródła
- Fake Interviews Offered at Top Brands to harvest Gmail creds— Pierwotny opis kampanii, łańcucha przekierowań, fałszywych domen rekrutacyjnych i techniki Browser-in-the-Browser.
- Hackers Use Recruiter Phishing Emails and Fake Career Pages to Harvest Gmail Logins— Źródło branżowe porządkujące ustalenia badacza i wskazane marki oraz platformy użyte w kampanii.
- Scammers impersonate well-known companies, recruit for fake jobs— Oficjalne zalecenia FTC dotyczące oszustw rekrutacyjnych podszywających się pod znane firmy.
- Avoid and report phishing emails— Oficjalne wskazówki Google dotyczące unikania fałszywych logowań i zgłaszania phishingu.
- Investigate suspicious activity on your account— Oficjalna instrukcja Google dotycząca reakcji na podejrzenie przejęcia konta i usuwania nieznanych urządzeń.