3月29日，網(wǎng)絡(luò)安全公司 Proofpoint發(fā)布報告，指出一黑客團伙利用電子郵件散布虛假的求職邀約，其數(shù)量達到了每日近4000封。

報告稱，黑客以能夠提供輕松賺錢的工作為誘餌，不僅竊取用戶個人數(shù)據(jù)信息，還誘導受害者進行洗錢活動。

“這類型的釣魚攻擊可能會導致人們失去畢生積蓄，或在不知不覺中被誘騙參與犯罪活動，” Proofpoint 副總裁 Sherrod DeGrippo 說道?！八麄冇绕潢P(guān)注大學校園，Proofpoint 每周檢測并阻止數(shù)千起可能傷害學生和教師的就業(yè)欺詐威脅?！?/p>

案例一：冒充聯(lián)合國兒童基金會進行欺詐

Proofpoint 分享了具體的案例，比如招募大學生擔任聯(lián)合國兒童基金會 (UNICEF) 行政個人助理，郵件中通過看起來非常官方的職位描述，并利用谷歌表單鏈接，引導受害者提供姓名、備用電子郵件地址、電話號碼和其他個人詳細信息。

偽造的聯(lián)合國兒童基金會職位描述

需要受害者填寫的表單詳細信息

為了進一步調(diào)查黑客的行動手法，Proofpoint的研究人員填寫了表單，隨后，黑客通過 Gmail 與他們聯(lián)系，要求提供更多信息，并列出了詳細的工作職責信息。

所謂的工作職責

這時，黑客還聲稱助理職位還包括為孤兒院購買和分發(fā)玩具，在最初的幾條消息中，黑客向研究人員發(fā)送了一張價值 950 美元的虛假銀行本票，幾星期之后，黑客再次發(fā)來一張更大的欺詐性支票，價值 1,950 美元。

在詢問研究人員的銀行賬戶中有多少余額后，黑客要求立即將 1000 美元發(fā)送給他們所對接的孤兒院，并通過 Zelle 應(yīng)用程序支付。此外，黑客還向研究人員發(fā)送了一個比特幣地址以進行后續(xù)付款。

在這種情況下，一般受害者會認為他們收到了"工資"，但這些票據(jù)都是不合法的，所以受害者將自己的錢寄給了黑客。

目前聯(lián)合國兒童基金會已經(jīng)意識到了這種騙局，2022 年 1 月，該組織發(fā)布警告，讓人們警惕利用聯(lián)合國兒童基金會的欺詐活動。

案例二：欺騙大學生從事模特工作

在最近的另一個案例活動中，Proofpoint 的研究人員觀察到黑客假裝招募大學生從事所謂的模特工作。

黑客冒充“星探”，稱通過查看受害者的 Instagram信息，認為適合當模特，并進行一次為期3天的拍攝，邀約受害者通過電子郵件進行聯(lián)系。研究人員聯(lián)系了黑客，并通過環(huán)聊和 Gmail 展開了進一步溝通。黑客冒充快時尚品牌 Zaful 和 Fashion Nova，以此吸引對女性時尚感興趣的學生。黑客還發(fā)送了一份“合同”，以進一步增強工作機會的真實性。

虛假的Zaful合約

在與研究人員的交流中，黑客聲稱要在洛杉磯進行拍攝，要求他們選好服裝并協(xié)調(diào)好日程安排，黑客通過電子郵件發(fā)來一張價值 4950 美元的假支票，并要求使用 100 美元的加密貨幣來支付將在拍攝中產(chǎn)生的物品的運輸費用。

黑客發(fā)送的虛假支票薪水

在這一案例中，黑客花費了大量時間和精力與我們的研究人員溝通，并回答有關(guān)這份虛假工作機會的諸多問題。Proofpoint 評估認為，這種“服務(wù)周到”的就業(yè)欺詐往往具有更大的威脅性。

Proofpoint 指出，網(wǎng)絡(luò)犯罪分子正在利用新冠病毒在全球的大流行所帶來的巨大就業(yè)壓力，引誘求職者輕信釣魚郵件中的虛假求職邀約。根據(jù)聯(lián)邦調(diào)查局的報告發(fā)現(xiàn)，這類釣魚攻擊讓受害者在 2020 年總共損失了至少 6200 萬美元。

Proofpoint認為，用戶應(yīng)該意識到這類威脅，尤其是大學生和教職人員，此外，合法的雇主永遠不會在員工上班的第一天之前寄出薪水，也不會要求員工在工作開始前就付錢購買物品。