Perekrut Harus Waspada, Pelamar Kerja Kirim CV Berisi Virus Pencuri Data

- Upaya peretas alias hacker untuk mengelabui korbannya terus berubah. Kini muncul modus baru yaitu berpura-pura sebagai pencari kerja (jobseeker).

Modus penipuan ini diketahui menargetkan para perekrut, seperti tim human resource (HR) dari organisasi atau perusahaan yang tengah membuka lowongan pekerjaan. Tujuan dari aksi penyerangan yaitu untuk menyebarkan malware berbahaya dan membobol sistem perusahaan tersebut.

Malware atau virus digital sendiri merupakan perangkat lunak (software) yang dirancang untuk menyebabkan kerusakan pada sistem komputer, server, atau jaringan perangkat si pengguna.

Jenis software ini disebut "berbahaya" karena selain dapat merusak komputer, juga bisa mencuri identitas pribadi karyawan.

Adapun akal-akalan palsu ini pertama kali ditemukan oleh peneliti keamanan siber dari DomainTools. Dalam temuannya, DomainTools mengungkap bahwa aksi penipuan digital tersebut dilakukan oleh sekelompok hacker bernama FIN6. 

Tipu HR pakai LinkedIn 

LinkedIn Cara membuat akun LinkedIn perusahaan.

Menurut laporan, FIN6 menjalankan aksinya dengan skema berpura-pura menjadi seorang pencari kerja dan membuat profil palsu di platform profesional LinkedIn. Dengan profil palsu tersebut, hacker akan menghubungi perekrut atau HR dari perusahaan yang dituju.

Dalam aksinya, para hacker akan membangun hubungan baik secara sopan dan profesional layaknya seorang jobseeker yang sedang mencari kerja. Seperti menanyakan apakah ada lowongan yang dibuka hingga menyatakan "minat" untuk melamar ke perusahaan tersebut.

Setelah terjalin percakapan, hacker akan mengarahkan perekrut untuk melihat resume alias curriculum vitae (CV) mereka melalui sebuah situs web. Situs inilah yang nantinya menjadi  gerbang awal penyusupan malware berbahaya.

Disebutkan bahwa situs web berisi resume palsu tersebut menggunakan domain situs yang dibeli secara anonim lewat layanan GoDaddy. Untuk hosting, para hacker disebut memakai layanan tertentu yang lebih sulit dilacak dan ditutup paksa (take down).

Halaman web palsu tersebut juga dilengkapi dengan sistem penyaringan (filter) terhadap siapa saja pengguna yang mengakses situs. Adapun proses penyaringannya akan dianalisis berdasarkan sistem operasi dan metode koneksi internet yang digunakan.

Jika pengakses memakai metode koneksi, seperti VPN, layanan cloud, dan sistem operasi macOS atau Linux, maka situs web akan menampilkan konten yang diklaim tidak "berbahaya". 

Sedangkan mereka yang mengakses di luar metode koneksi dan sistem operasi tersebut, seperti perangkat Windows, misalnya, akan langsung tersaring dan dianggap "cocok" untuk dijadikan target dan disusupi malware berbahaya.

Dirangkum KompasTekno dari Techradar, Jumat (13/6/2025), langkah awal penyusupan malware tersebut yaitu dengan menampilkan CAPTCHA yang harus diisi oleh korban (perekrut/HR perusahaan).

Setelah diisi, situs akan menawarkan korban untuk mengunduh sebuah file arsip berjenis .ZIP. File. Resume atau CV pelamar kerja palsu itu berisi sebuah shortcut Windows berformat.LNK.

Disebutkan bahwa file shortcut ini ketika dibuka akan menjalankan skrip yang secara otomatis mengunduh malware berbahaya berjenis backdoor yang diberi nama "More Eggs".

Malware inilah yang nantinya digunakan hacker untuk mengambil data pribadi atau informasi penting milik perusahaan.

Malware More Eggs

Dok. Shutterstock Ilustrasi serangan malware. Bashe Ransomware diduga menyerang bank asal Indonesia

Diketahui bahwa malware yang digunakan dalam aksi ini bernama More Eggs. Ini adalah malware modular yang diklaim dapat melakukan banyak hal berbahaya, seperti mencuri kredensial login pengguna, mengirimkan muatan tambahan (additional payloads), hingga mengeksekusi perintah melalui PowerShell.

Adapun berbagai serangan ini disebut sangat berbahaya karena memanfaatkan rekayasa sosial, di mana perekrut bisa saja langsung percaya dan membuka file tersebut karena mengira hanya berisi dokumen lamaran kerja biasa.

Dihimpun KompasTekno dari Techradar, Amazon Web Service (AWS) yang dalam kasus ini layanannya juga disalahgunakan untuk menyusupkan serangan malware, turut angkat bicara.

Disebutkan bahwa pihak AWS berterima kasih kepada tim peneliti keamanan siber dari DomainTools yang telah menemukan modus penyerangan tersebut. Pihak AWS juga menegaskan bahwa aktivitas semacam ini telah melanggar ketentuan layanan mereka.

"AWS memiliki ketentuan yang jelas yang mengharuskan pelanggan kami untuk menggunakan layanan sesuai dengan hukum yang berlaku," jelas juru bicara AWS.

"Kami menghargai kerja sama dengan komunitas penelitian keamanan dan mendorong para peneliti untuk melaporkan dugaan penyalahgunaan kepada AWS Trust & Safety melalui proses pelaporan penyalahgunaan khusus kami," tutup mereka.

Tag:  #perekrut #harus #waspada #pelamar #kerja #kirim #berisi #virus #pencuri #data