經濟不景氣　人力市場成駭客重點獵場

編譯／鄭智懷

資安公司Trellix在最新發布的報告指出，駭客正利用全球經濟衰退的形勢，採用惡意電子郵件、惡意程式與假造網站的手法，攻擊雇主與求職者，藉此騙得或竊取個人與組織資料。

根據該報告統計，以工作為主題的網路攻擊中，有超過七成的案例是針對美國；日本、愛爾蘭、英國、瑞典、秘魯、印度、菲律賓及德國等國家雖然受此類手法攻擊的案例略低於美國，但也深受其害。

Trellix旗下研究員Daksh Kapur於報告中提到，駭客會偽裝成雇主或人力招募機構，向求職者寄發網路釣魚郵件，要求後者提供個人資料，或是帳號和密碼。另一種攻擊方式則是寄給求職者內含惡意程式與網站網址的檔案，感染其設備並竊取資料。

另一方面，駭客也會假扮成求職者，向雇主寄送內含簡歷、身分證件或網址的電子郵件，並在前述資料夾帶惡意程式，以此感染受害者設備，或使其在不經意間下載惡意軟體，竊取資料。

Daksh Kapur警告，類似的攻擊案例將會越來越普騙。他還補充，為了取信於受害者，駭客還會使用偽造或盜取的身分證件，例如社會安全碼與駕照，使網路釣魚郵件看起來具有合法性，使前者更容易落入騙局。

除了網路釣魚郵件之外，報告揭露了第二種攻擊手法：假造熱門求職網站。Daksh Kapur指出，駭客正不斷設立網址拼寫錯誤，但與知名求職網站如LinkedIn、Indeed等網址高度相似的假網站，瞄準求職者，展開社交工程（Social engineering）攻擊。這種攻擊手段旨在誘使粗心的求職者誤以為是透過合法網站尋找工作機會，但實質上是向犯罪集團提供個人資料。

最後，Daksh Kapur提醒，無論是雇主或求職者都應認知到此問題的嚴重性並採取預防手段。最佳的防範手法首推謹慎面對來歷不明的電子郵件，特別是提防其中含有附件與網址者；另外，隨時保持包含防毒軟體在內的各項軟體在最新版本也是值得注意的預防重點。

資料來源：Trellix

瀏覽 696 次