一场专门针对求职者的钓鱼行动正在蔓延。黑客们不再用拙劣的语法和陌生的邮箱地址行骗,而是直接把自己包装成可口可乐、麦肯锡、达美航空等品牌的招聘人员,通过一封指名道姓的邮件,把坐在对面的你拉进一个环环相扣的陷阱里。更让人意外的是,这条攻击链的每一环都踩着真正的商业平台往前跳——从一家正规的人力资源系统出发,穿过营销云,最后停在一个完全合法的建站服务上,亮出一页以假乱真的职业门户。
安全研究者在GitHub上公开了这场攻势的技术细节。攻击的起点是一封看上去无可挑剔的招聘邀约。发件人自称来自某家你耳熟能详的大公司,提供了一个营销岗位,并且邮件里直接叫出了你的名字,点出你当前的工作领域。这种“做过功课”的私人化措辞是整场骗局的第一层伪装。它让一个忙碌的专业人士很难在点下鼠标之前停下来怀疑。
点击邮件中的链接之后,受害者不会立刻跌入深渊,反而会经历一段精心编排的导航路径。邮件本身是通过PeopleForce发出的——这不是什么地下黑产工具,而是一个真实存在的人力资源与应聘者追踪平台,许多正规企业都在日常使用。从这里开始,跳转请求会被接力到Salesforce Marketing Cloud,随后再弹向Wise Agent,一个在房地产行业里广泛采用的客户管理工具。每一次域名切换都搭载着这些平台自带的可信度,相当于把钓鱼链接藏进一列挂着官方牌照的服务车队里,让多数安全过滤机制不忍拦截。
当受害者最终落地到那个招聘页面上时,他们已经穿越了好几个看着眼熟的域名。这种层层嵌套的重定向手法,使得真正的钓鱼页面直到最后一刻才现身。而一旦现身,它就变得很难被识破。研究人员确认,在某个案例中,攻击者复刻了麦肯锡公司的职业门户,把这个高仿页面托管在Netlify上——一个广受开发者欢迎的网站托管与部署服务,让钓鱼站点看起来与任何正规招聘页无异。
真正致命的机关藏在这一页的登录环节里。它没有像传统钓鱼那样直接跳转到Gmail的登录界面,再用一个假域名蒙混过关。相反,它调用了“浏览器中的浏览器”技术:页面上弹出一个完全仿制的浮窗,外观、行为、甚至地址栏那一行都与真正的Google登录弹窗一模一样。这个浮窗本质上是当前网页内的一段代码绘制出的图形界面,并没有实际打开任何新的浏览器标签。任何求职者如果在这个窗口里输入自己的邮箱和密码,就等于把凭证亲手交到了攻击者的服务器上。因为那一刻,他们面对的不是Google,而是一个精心排练的舞台。
这个技巧之所以危险,在于它直接模仿了用户在浏览器中操作时的安全参照物。即便是一个平时会检查地址栏的人,也容易把伪造的地址栏当作真货。求职者在期待面试通知的兴奋感中,警惕心本来就会下降,看到那行画出来的“accounts.google.com”,很难再启动第二轮怀疑。而攻击者踩中这个心理节拍时,整个链条里所有的技术伪装和商业平台借力,就完成了一次从信任到泄露的闭环。
从被冒充的品牌名单里能感受到这场行动的胃口。研究人员捕获的欺诈域名覆盖了大量行业头部。航空业中出现了美国航空、达美航空和美联航的身影,出行预订平台Booking.com也赫然在列。食品饮料领域的巨头可口可乐、百事可乐和红牛都被借用了招牌。时尚与零售部分同样没能幸免:阿迪达斯、路易威登、丝芙兰和李维斯都拥有相应的虚假招聘页面。这意味着攻击者并不满足于追逐单一行业的求职者,而是在铺一张尽量宽的大网。
整条链路上还有一个值得注意的细节:它没有在任何一个环节尝试直接破坏任何一家平台的防御,而只是利用那些平台正常运转的功能来完成一次通道式传递。PeopleForce被用来发起首封邮件,Salesforce Marketing Cloud负责跳转追踪,Wise Agent承担中继任务,Netlify用来托管最终页面——所有这些服务本身都没有被入侵,也没有出现漏洞。攻击者只是像任何一个普通的企业用户一样注册、配置、激活,然后把它们串成了一条流水线。这种“用合法工具做非法事”的思路,使得传统的基于域名黑名单或服务签名的防护手段很难预先察觉。
对于那些正在刷求职网站的人来说,这组攻击链提供的不只是一个安全警示,更是一种对日常操作习惯的再检验。当你收到一封能叫出你名字、也了解你工作方向的招聘邮件时,那个点击动作所打开的可能不是一场面试,而是一个绕过层层检查、直达你Google账户核心的隧道。研究公开的时间线显示,这套手法并没有显示出技术退潮的迹象,反而因为冒充品牌覆盖面扩大和平台借用链的稳定运行,具备被更多攻击组模仿和迭代的潜力。
热门跟贴