你正为找工作焦头烂额,突然邮箱里躺着一封Adidas“招聘负责人”的面试邀请,职位、薪资都戳在你的爽点上。照片是真人,名字也能在领英查到——你稍微放松了警惕,点开预约链接,看到熟悉的Google登录弹窗,输入账号密码。几秒钟后,你还没意识到,谷歌邮箱的钥匙已经交到了骗子手里。

这场精心设计的钓鱼攻击最近被安全机构BleepingComputer曝光。骗子一口气冒充了超过34家知名企业,覆盖科技、酒店、旅游、食品、娱乐和奢侈品等行业,把招聘季的焦虑转化为窃取Google账号令牌的跳板。手法不算新颖,但伪装程度已经到了“照镜子都觉得是真的”的地步。接下来我们把它拆成五步,看看骗子是如何在你眼前偷走整个数字身份。

打开网易新闻 查看精彩图片

第一,专挑求职市场里最渴望上岸的人下手。 这个骗局把目标锁定在寻求营销职位的求职者身上,因为他们对品牌雇主没有天然戒心,又习惯接受第三方沟通。骗子把网撒得很宽,冒充的企业从流媒体巨头Netflix、运动品牌Adidas,到软件公司Adobe甚至国际足联FIFA,用高价值的雇主品牌做诱饵。你如果恰好在投这些公司,就更容易中招;哪怕你根本没投,一封“我们注意到您在行业内的出色背景”的邮件也足够让你心跳加速。

第二,真人照片加真实姓名,初级验证直接失效。 钓鱼邮件里的“招聘人员”并不是虚构身份,骗子直接复制了这些公司真实HR的领英头像和名字。也就是说,哪怕你多留个心眼,先去领英搜一下发件人,看到的也是一个在职员工、有历史动态的活人账号。这和过去那些用系统生成的烂大街假名、劣质头像的诈骗邮件完全不同,普通求职者几乎无法在第一时间分辨。

第三,点击预约链接后,你会掉进一个被精心打扮的恶意页面。 邮件里的“预约日历”并非直接跳转,而是经过多重重定向,最终停在一个看起来完全正规的面试安排页面上。当你点击“用Google账号登录以确认面试时间”时,一个弹出的登录窗口出现了。它长得和Google官方认证界面一模一样,URL栏也像模像样,但这其实是一个“浏览器中的浏览器”攻击,简称BitB。那个弹窗根本不是什么第三方认证,而是网页内用HTML和CSS画出来的假窗口,你输入的任何信息都直接传给了攻击者。

第四,骗子借用了正规HR平台的壳和Salesforce的域名。 安全人员发现,攻击者在诈骗流程中使用了PeopleForce这款正规的人力资源软件,以及一个由Salesforce运营的域名。目前还不清楚他们是自行注册了这些服务,还是盗用了其他人的账号。但这一操作的直接效果是:当你检查邮件里的链接时,看到的域名可能真的指向知名企业服务平台,让整个骗局又多了一层看似合法的外衣。

第五,万一你已经在面试流程里了,下面几个异常信号或许能救你的账号。 首先,你完全没有申请过这个职位或公司,却收到了面试邀请,这就是最大的红线。其次,任何要求你用Google、Apple或Facebook这类单点登录凭据来“预约面试”或“填写申请表”的步骤,都极度可疑——正规招聘流程不会用你的个人社交账号作为入口。第三,看见登录弹窗时,试着把它拖拽到主浏览器窗口之外,比如拖到桌面其他区域。真正的系统弹窗可以脱离浏览器,而BitB生成的假窗口会被主窗口边缘“切掉”,瞬间露馅。最后,养成直接去公司官网招聘页面核对的习惯,骗子没法伪造你主动打开的官方链接。

就业市场越紧张,这类钓鱼的转化率就越高。骗子赌的是你收到“梦司”面试通知那一瞬间的欣喜,盖过本该亮起的警觉。你不用把所有HR邮件都当敌人,但只要链接指向一个要求Google登录才能“下一步”的页面,不妨先停下三秒,盯着地址栏看仔细,再把那个弹窗往屏幕边上一拖——你的谷歌账号,可能就因为这一个小动作保住了。