Para continuar con el procedimiento y cumplir con ciertos protocolos formales, el headhunter le indica que deberá llenar un formulario con información sencilla. Nada privado ni de riesgo. Nombre completo, dirección, teléfono de contacto, estudios, cosas así.

Lo considera, no está solicitando nada especial, no tengo mucho que perder.
Acepta. El headhunter le envía el documento. Un .doc que deberá completar en los espacios en blanco. Confirma que no hay información de riesgo, además ve que al final del texto está el jugoso monto que le habían mencionado anteriormente.
Es la oportunidad que estaba esperando.

Va a su computador, el que usa para trabajar y descarga el documento para llenarlo más cómodamente.
Al abrir el documento y habilitar las propiedades para que “se vea” mejor, ya su computador comienza a recoletar información, comunicarse con los ciberdelincuentes y entregándole sus contraseñas almacenadas en su navegador. Silenciosamente también busca documentos, fotos y planillas, las envía al sitio del atacante y luego procede a cifrarlo donde estaba originalmente.

Ha sido víctima no sólo de ingeniería social, si no que de ransomware.
Lo sabe inmediatamente en el momento que su fondo de pantalla cambia a un mensaje rojo con un candado en el centro.

El mensaje indica una cifra imposible de pagar para Ud.
Furioso, increpa al supuesto headhunter por dañarlo y robarle.
Este no contesta por al menos una hora.

Mientras tanto, diferentes notificaciones llegan a su correo. De sus plataformas de juegos, Steam, Xbox. Además peticiones de validación de nuevas sesiones de su correo personal, de facebook, twitter e instagram. whatsapp (Demonios, ya están en mi teléfono?)
A los 50 minutos, finalmente llega la que más temía. Una transferencia de dinero desde su banco a una cuenta desconocida.
Recordó en ese momento que en su escritorio tenía una foto de sus coordenadas del banco (para evitar tener que andar con ella).

El daño personal estaba siendo monstruso, y se pierde en sus pensamientos de culpa al reflexionar sobre qué hizo mal y cómo, siendo tan educado, fue víctima de un robo tan evidente. ahora cree verlo con claridad, pero no es así.

Una nueva notificación de LinkedIn lo despierta de su desesperación.
“Tenemos su dinero y su información secuestrada. siga las instrucciones de pago si es que quiere recuperar sus documentos y sus fotografías”
Cómo se atrevía, además de robarle, a exigirle que pagara. “Me robaste mi dinero y quieres que te pague?, ¿Estás Loco?” le escribe de vuelta.

“Piénselo, pero no apague este computador, dado que si lo hace, perderá todo permanentemente”
Momentos después otra notificación le da cuenta varios pagos en Paypal que hizo uso de todo su saldo de tarjeta de crédito.

Carabineros, la PDI, a su banco, su Jefe.. Estaba decidiendo a quién contarle para que le ayudara. Todo había pasado tan rápido y era tanto lo que estaba afectado, que no sabía por donde comenzar.
Su Jefe lo ayudaría? tendría que contarle que estaba postulando a otro trabajo y que por eso estaba llenando un formulario, en el computador corporativo. En vez de ayudarme quizá me eche.

“Mi dinero. Acaba de comenzar el mes y tenía gran parte de mi sueldo allí. Cómo lo haría para reponerme?”

La situación no parecía solucionable, cuando el atacante da su último golpe.
“Te tengo una propuesta. Mira tu saldo del banco.. tienes un millón de pesos. Es más de lo que tenías originalmente. lo puedo duplicar si es que no denuncias y me ayudas con ciertos datos de tu empresa”

Lo que no sabía ud. es que gracias a la primera intrusión, el atacante ya estaba dentro de la red de la empresa, activó la forma de conectarse permanentemente sin necesidad del notebook infectado y ahora sólo necesita que lo ayude a atacar esta empresa.

Ud. no era el objetivo final.
No estaban interesados en su dinero, ni sus documentos almacenados, ni sus fotos, ni sus credenciales de redes sociales.
Sólo fue un peón, victima colateral de una jugada más grande.
Esto solo comienza.

https://cybersecurityworldconference.com/2022/03/11/lapsus-ransomware-group-is-hiring-it-announced-recruitment-of-insiders/
https://www.linkedin.com/feed/hashtag/?keywords=opentowork
https://www.linkedin.com/pulse/hackers-targeting-linkedin-phishing-scams-how-protect-siciliano/
https://latam.ransomwarehelp.com/lockbit-3-0-ransomware-como-funciona-y-sus-diferencias/https://www.fayerwayer.com/2016/02/locky-se-une-a-la-fiesta-del-ransomware-en-macros-de-word/