以輕松賺錢為由,黑客每天發(fā)送近 4000 封虛假求職邀約郵件
3月29日,網(wǎng)絡(luò)安全公司 Proofpoint發(fā)布報(bào)告,指出一黑客團(tuán)伙利用電子郵件散布虛假的求職邀約,其數(shù)量達(dá)到了每日近4000封。
報(bào)告稱,黑客以能夠提供輕松賺錢的工作為誘餌,不僅竊取用戶個(gè)人數(shù)據(jù)信息,還誘導(dǎo)受害者進(jìn)行洗錢活動(dòng)。
“這類型的釣魚攻擊可能會(huì)導(dǎo)致人們失去畢生積蓄,或在不知不覺(jué)中被誘騙參與犯罪活動(dòng),” Proofpoint 副總裁 Sherrod DeGrippo 說(shuō)道。“他們尤其關(guān)注大學(xué)校園,Proofpoint 每周檢測(cè)并阻止數(shù)千起可能傷害學(xué)生和教師的就業(yè)欺詐威脅。”
案例一:冒充聯(lián)合國(guó)兒童基金會(huì)進(jìn)行欺詐
Proofpoint 分享了具體的案例,比如招募大學(xué)生擔(dān)任聯(lián)合國(guó)兒童基金會(huì) (UNICEF) 行政個(gè)人助理,郵件中通過(guò)看起來(lái)非常官方的職位描述,并利用谷歌表單鏈接,引導(dǎo)受害者提供姓名、備用電子郵件地址、電話號(hào)碼和其他個(gè)人詳細(xì)信息。
偽造的聯(lián)合國(guó)兒童基金會(huì)職位描述
需要受害者填寫的表單詳細(xì)信息
為了進(jìn)一步調(diào)查黑客的行動(dòng)手法,Proofpoint的研究人員填寫了表單,隨后,黑客通過(guò) Gmail 與他們聯(lián)系,要求提供更多信息,并列出了詳細(xì)的工作職責(zé)信息。
所謂的工作職責(zé)
這時(shí),黑客還聲稱助理職位還包括為孤兒院購(gòu)買和分發(fā)玩具,在最初的幾條消息中,黑客向研究人員發(fā)送了一張價(jià)值 950 美元的虛假銀行本票,幾星期之后,黑客再次發(fā)來(lái)一張更大的欺詐性支票,價(jià)值 1,950 美元。
在詢問(wèn)研究人員的銀行賬戶中有多少余額后,黑客要求立即將 1000 美元發(fā)送給他們所對(duì)接的孤兒院,并通過(guò) Zelle 應(yīng)用程序支付。此外,黑客還向研究人員發(fā)送了一個(gè)比特幣地址以進(jìn)行后續(xù)付款。
在這種情況下,一般受害者會(huì)認(rèn)為他們收到了"工資",但這些票據(jù)都是不合法的,所以受害者將自己的錢寄給了黑客。
目前聯(lián)合國(guó)兒童基金會(huì)已經(jīng)意識(shí)到了這種騙局,2022 年 1 月,該組織發(fā)布警告,讓人們警惕利用聯(lián)合國(guó)兒童基金會(huì)的欺詐活動(dòng)。
案例二:欺騙大學(xué)生從事模特工作
在最近的另一個(gè)案例活動(dòng)中,Proofpoint 的研究人員觀察到黑客假裝招募大學(xué)生從事所謂的模特工作。
黑客冒充“星探”,稱通過(guò)查看受害者的 Instagram信息,認(rèn)為適合當(dāng)模特,并進(jìn)行一次為期3天的拍攝,邀約受害者通過(guò)電子郵件進(jìn)行聯(lián)系。研究人員聯(lián)系了黑客,并通過(guò)環(huán)聊和 Gmail 展開了進(jìn)一步溝通。黑客冒充快時(shí)尚品牌 Zaful 和 Fashion Nova,以此吸引對(duì)女性時(shí)尚感興趣的學(xué)生。黑客還發(fā)送了一份“合同”,以進(jìn)一步增強(qiáng)工作機(jī)會(huì)的真實(shí)性。
虛假的Zaful合約
在與研究人員的交流中,黑客聲稱要在洛杉磯進(jìn)行拍攝,要求他們選好服裝并協(xié)調(diào)好日程安排,黑客通過(guò)電子郵件發(fā)來(lái)一張價(jià)值 4950 美元的假支票,并要求使用 100 美元的加密貨幣來(lái)支付將在拍攝中產(chǎn)生的物品的運(yùn)輸費(fèi)用。
黑客發(fā)送的虛假支票薪水
在這一案例中,黑客花費(fèi)了大量時(shí)間和精力與我們的研究人員溝通,并回答有關(guān)這份虛假工作機(jī)會(huì)的諸多問(wèn)題。Proofpoint 評(píng)估認(rèn)為,這種“服務(wù)周到”的就業(yè)欺詐往往具有更大的威脅性。
Proofpoint 指出,網(wǎng)絡(luò)犯罪分子正在利用新冠病毒在全球的大流行所帶來(lái)的巨大就業(yè)壓力,引誘求職者輕信釣魚郵件中的虛假求職邀約。根據(jù)聯(lián)邦調(diào)查局的報(bào)告發(fā)現(xiàn),這類釣魚攻擊讓受害者在 2020 年總共損失了至少 6200 萬(wàn)美元。
Proofpoint認(rèn)為,用戶應(yīng)該意識(shí)到這類威脅,尤其是大學(xué)生和教職人員,此外,合法的雇主永遠(yuǎn)不會(huì)在員工上班的第一天之前寄出薪水,也不會(huì)要求員工在工作開始前就付錢購(gòu)買物品。
