資安公司Cofense Phishing Defense Center於10月7日發布報告，揭露自2月起持續演進的魚叉式釣魚攻擊，駭客偽裝成Tesla、Red Bull及Ferrari等熱門品牌，針對社群媒體及行銷專業人士發送假職缺郵件，誘騙受害者上傳履歷及登入假Facebook或Glassdoor頁面，竊取個人識別資訊（PII）用於後續攻擊。此戰役結合品牌信任、社工技巧及多步流程，製造合法招聘幻覺，Cofense觀察逾數千受害者。專家警告，台灣求職市場競爭激烈，此類假職缺易上鉤，企業及求職者需驗證來源，防範個資外洩導致身份盜用或財務詐欺。

 

Cofense研究員Emmett Smith及Brooke McLain分析，此戰役利用知名品牌提升過濾器及受害者警覺門檻，郵件主題如「Red Bull社群經理職缺」，包含品牌Logo及量身訂做職位描述，連結至假CAPTCHA頁面，再導向偽Glassdoor登入或Facebook門戶。Red Bull郵件使用品牌子網域URL，提升點擊機率；Tesla及Ferrari則直接導向假Facebook登入，請求電郵或社群憑證。早期版本僅索取PII如姓名、電話、電郵及地址，新版新增履歷上傳，強化合法性並蒐集更多資料，如教育背景、工作經驗及聯絡人，用於精準社工攻擊。

 

攻擊多步驟設計：點擊連結後，CAPTCHA驗證後導向假Glassdoor，顯示職位細節及登入選項。若選電郵，經數步導回假Facebook；若選Facebook，直接竊取憑證。Cofense指出，郵件強調「無壓力」查看機會，反轉傳統釣魚急迫感，增信任。品牌Logo及登入頁最新設計，製造幻覺。報告強調：「這些職業主題釣魚戰役顯示，駭客利用求職者信任，模仿合法招聘。」此戰役自2月起演進，針對HR招募員及軟體開發者，北韓駭客尤其活躍，偽裝求職者滲透西方企業，竊取資金或散播惡意軟體，甚至騙資安公司聘僱北韓間諜。

 

求職釣魚為常見戰役，駭客持續演進誘餌，Cofense提供IOC，包括感染URL及負載，助防禦者追蹤。BleepingComputer報導，此戰役使用合法品牌及社工，求職者易忽略警訊。Security Affairs分析，假職缺結合CAPTCHA及多步登入，降低懷疑。The Hacker News指出，北韓如Lazarus團體利用假職缺獲取企業存取，竊取加密貨幣或情報。

 

台灣資安專家分析，此攻擊對本土求職市場威脅大。台灣失業率高，社群及行銷職缺競爭激烈，假Tesla或Red Bull職缺易誘騙年輕專業人士。行政院國家資通安全會報表示，將監測假職缺相關釣魚，呼籲求職者僅透過官方管道投遞履歷，驗證電郵域名。勞動部亦提醒，官方職缺不索取履歷上傳於第三方網站。趨勢科技台灣區總經理洪偉淦受訪時指出：「假職缺戰役利用品牌信任及社工，台灣用戶需檢查URL子域名及登入頁Logo。」他建議，部署郵件閘道過濾CAPTCHA及Glassdoor偽頁，使用MFA及生物識別，並教育辨識「無壓力」急迫反轉技巧，防範PII外洩導致身份盜用或後續勒索。

 

此事件與近期資安趨勢呼應，如Klopatra木馬夜間轉帳竊取資金、Akira攻擊SonicWall VPN，顯示釣魚演進利用品牌及多步誘導。Cofense呼籲，企業監控求職相關郵件，驗證發件人及連結。台灣政府可推動求職資安指南，強制平台標記可疑職缺。求職者防範之道包括：不點不明連結、使用官方App投遞、檢查電郵地址、避免上傳完整履歷。隨著求職數位化，此類假職缺料將頻發，台灣需強化防禦，確保求職安全。

 

出處：Dark Reading 作者：Elizabeth Montalbano，資安新聞資深作家