Някъде между поредната „мотивирана кандидатура” и автоматичния отговор „благодарим, ще се свържем при интерес”, CV-то престава да е документ и се превръща в актив. Не само за HR отдела, а и за престъпниците. На легалния пазар се нарича „професионален профил”. На черния е по-скоро „пълен комплект за кражба на идентичност”.
Днес е напълно реалистично един и същи файл с името, възрастта, адреса, дипломите, сертификатите и трудовия стаж на човек да стои едновременно в папката „Кандидати” на реална компания и в оферта на форум в dark web (тъмната мрежа).
Докато сериозен рекрутър плаща десетки евро за инструменти, подпомагащи детайлния подбор на кадри, или за база на платформа за CV-та, в „ъгъла” на интернет същата информация може да върви в пакет с пароли, лични номера и служебни имейли за по няколко долара на човек.
В тъмната мрежа имейли, стари профили в социални мрежи или данни от масови изтичания често струват между 1 и 5 долара. По-ценните комплекти, с повече лична или служебна информация, или с реален достъп до корпоративни системи, достигат многократно по-високи цени.
Всичко това е част от тъмния пазар на труда – паралелна HR система с обяви, интервюта, препоръки, бонуси и „кариерно развитие”, но в полза на киберпрестъпниците.
Търгът на CV-тата
През септември 2025 г. компания за киберсигурност засича на известен хакерски форум оферта за изтекла база данни от унгарския портал за търсене на работа Jobline.hu. Продавачът на данните твърди, че разполага с около 63 000 записа, включително пълни CV-та на потребителите на платформата.
Важно е какво има вътре: едно CV обикновено съдържа трите имена, адрес, телефон, имейл, дати и места на обучение, пълна трудова биография, понякога ЕГН/личен номер, профили в социални мрежи, сертификати, награди. Точно тази концентрация на информация превръща изтичането в т.нар. „identity theft kit“ – готов комплект за кражба на самоличност.
Дори и да приемем, че част от подобни оферти са преувеличени или фалшиви, ако някои данни се окажат реални, последствията за засегнатите кандидати са дългосрочни:
Първата вълна е очевидна – фишинг кампании. Когато подателят знае не само името на човека, но и последната компания, позиция и технологията, с която работи засегнатият, имейлът „от HR на глобална компания, която търси точно твоя профил” звучи много по-достоверно.
Втората вълна е още по-опасна. Тя включва откриване на фалшиви акаунти или кредити на името на потърпевшия месеци по-късно. При CV с пълен адрес и история на работодатели, проверките „за сигурност” при финансови услуги стават по-лесни за заобикаляне.
Третата е за платформата – за Jobline и за всяка европейска компания подобно изтичане е потенциален тежък случай по GDPR, с разследване и риск от сериозни глоби.
Агенцията за киберсигурност на Европейския съюз (ENISA) в последните си доклади изрично посочва измамите през подобни платформи като растящ риск – фалшиви обяви, фалшиви рекрутъри, фалшиви интервюта, стъпили върху реални данни на кандидати.
Jobline.hu е просто конкретно име в пейзаж, в който има десетки подобни случаи, включително и големи платформи с десетки милиони изложени резюмета.
Така от обикновен „профил на кандидат” стигаме до пазарен продукт: пакет от лични и професионални данни, който може да бъде купен от всеки с правилните криптовалути и грешните мотиви.
Удар с ДНК
На пръв поглед 23andMe няма нищо общо с пазара на труда – това е, или скоро може да е по-правилно да се каже „беше”, американска компания за генетични тестове за родословие и здравни рискове. Много хора използват услугата на компанията, за да разберат интересни данни за произхода на предците си. Но пробивът ѝ от 2023 г. разкри първия по рода си удар в ДНК на потърпевшите.
В резултат на credential stuffing атака – използване на стари изтекли пароли в нови услуги – хакери получават достъп до профилите на милиони клиенти на 23andMe. По оценки на компанията и разследванията става дума за около 6,9–7 млн. потребители. В следващите месеци в даркнета се появяват оферти за продажба на данни за конкретни етнически групи – например клиенти с ашкеназийски произход – с имена, адреси и родословни връзки.
Последствията идват на вълни. За начало заваляха съдебни дела от страна на потребители заради твърде слабите мерки за сигурност и продажбата на чувствителна информация. Не се забавиха и санкциите – британският регулатор ICO глобява компанията с над 2,3 млн. паунда заради това, че не е защитила данните на повече от 150 000 британци, включително здравни доклади и родословни дървета, които месеци наред са циркулирали в интернет, преди компанията да признае мащаба на пробива.
Към тази година 23andMe вече е в процедура по фалит в САЩ, а инвеститорите спорят кой и при какви условия ще придобие бизнеса и базата данни. Главният прокурор на Ню Йорк официално призовава клиентите да изтрият профилите си, именно заради риска генетичната им информация да бъде третирана като актив в несъстоятелността. Група американски щати завеждат дело, за да блокират продажбата на ДНК данни на нов собственик без изрично съгласие на потребителите.
Когато подобен тип информация изтече и започне да се продава на независими и нелегални форуми, тя неизбежно започва да влияе върху потърпевшите по някакъв начин.
За да има смисъл търговията със CV-та и профили, трябва да има и инструменти, които да ги монетизират. Точно тук влизат в игра евтините фишинг комплекти и откраднатите корпоративни акаунти.
Схемата, подробно описана от IT Pro, говори за буквално готови инструменти за измама: във фишинг пакетите има копие на истинска страница за вход (например Microsoft 365, Google или банка), скрипт, който краде въведените пароли, и кратко ръководство „как да го пуснеш”. Престъпникът не е необходимо да е хакер – само да следва стъпките. Цената? Под 25 долара. В Telegram тези „комплекти” се продават като евтини онлайн курсове.
По-интересното е друго: някои „автори” ги предлагат като услуга. Обещават поддръжка, ъпдейти, нови версии, дори гаранция, че ще заобиколят следващия защитен механизъм на Microsoft или Google. Буквално като отдел за поддръжка на клиенти, само че клиентите са престъпници.
Междувременно софтуерната компания Malwarebytes описва друг слой на проблема. Там измамниците не просто крадат пароли, а фалшифицират самите реклами в Google. Жертвата кликва на реклама, която изглежда напълно истинска, попада на внимателно изработено фалшиво копие на Google Ads страницата, въвежда данните за вход… и достъпът до рекламния ѝ акаунт вече е откраднат. Всички сме попадали на известие как печелим нов iPhone…
Тук връзката с пазара на труда е пряка. Служебният имейл и достъпът до рекламни платформи, CRM системи, вътрешни портали и кандидатски платформи е част от всичко това. В тъмната икономика същият този достъп се превръща в стока.
Европейският пейзаж
От една страна, в Европа имаме класическите пробиви – бази данни с лична и професионална информация, които изтичат и се продават. От друга – експлозията от фалшиви оферти за работа.
ENISA и други европейски експерти отбелязват, че новият пласт е AI – автоматизирани кампании, които генерират персонализирани писма, CV-та и обяви, за да подмамят кандидати и служители. Професионалната идентичност се превръща в dataset, по който се обучават и легитимните HR алгоритми, и престъпните шаблони за измами.
Българският кандидат не живее в изолирана система. Той ползва същите глобални платформи за CV-та, същите профили за социални мрежи и т.н. Рисковете са идентични, само че с няколко локални особености.
Първата е масираното присъствие на фалшиви инвестиционни и финансови схеми, които стъпват именно върху профилите на хората. Europol описва как български и други европейски структури организират мрежи от „инвестиционни центрове”, които вербуват жертви по телефона и онлайн, нанасяйки щети за десетки милиони евро. Данните за контакт на тези хора не се появяват от нищото – те идват от изтекли бази, публични профили, стари регистрации.
Втората е регулаторна. С влизането в сила на NIS2 в ЕС банките, платежните институции, и доставчиците на „критични услуги” са длъжни да докладват пробиви бързо и да поддържат планове за реагиране. Това няма да спре атаките, но сваля маската: всяко предприятие, което работи със CV-та – от малка HR агенция до франчайз на баничарница или софтуерна компания – вече е юридически отговорна за защитата му и за навременно уведомяване, ако нещо се обърка.
Третата е чисто човешка. Българският пазар е малък, хората се познават, „референциите” често минават през лични контакти и социални мрежи, а не през формални системи. Това създава фалшиво усещане за сигурност: „мен кой ще ме хакне, аз съм малък играч”. В действителност точно „малките” профили са перфектни за измами, защото са достатъчно истински, но не издават много шум, когато нещо се обърка.
Кибератаките вече далеч надхвърлят рамката на техническите проблеми — те засягат професионалната идентичност и репутация на хората. Компрометиран акаунт или профил може да отвори вратата към цялата организация, а при ЧР платформите рискът е още по-голям. Когато сайт за набиране на кандидати бъде атакуван, това поставя под заплаха лични данни, CV-та, професионална история и кариерни перспективи.
За да се предотвратят подобни инциденти, компаниите се нуждаят от надеждна, многопластова защита. А1 предоставя именно такива решения – включително съвременна Endpoint Protection, редовни тестове за проникване и 24/7 наблюдение чрез своя SOC център. Тези услуги позволяват на организациите да реагират навреме на подозрителна активност, да ограничат риска от изтичане на информация и да опазят доверието както на служителите, така и на кандидатите, които разчитат на тях.
