招聘廣告暗藏求職騙局 隨時「被」網上洗黑錢

近年,本港求職騙案數目急增,由 2017 年僅 33 宗涉款港幣 113 萬元,飆升至今年首 8 個月共 128 宗個案,涉及港幣 1,082 萬;案件牽涉金額升幅約為 9.5 倍。

網絡保安廠商 Forcepoint 提醒在家工作者求職時要提高警覺,以防墮入偽裝成工作機會的網上騙局。這種欺詐行為通常以電子郵件形式發送給毫無戒心的收件人,或出現在電腦用戶瀏覽的商業網站上,一般看似可信,因而導致有更多人受害。

以在家工作為誘餌

Forcepoint 新發現的兩宗網上求職騙局圍繞著域名搶注(cybersquatting),以及一個小型殭屍網絡(botnet)發布有關在家工作的誘餌。

這類騙徒一般會建立看似專業的業務網站,這些網站會連接到一家最近已經停業的公司,並提供正確但現時處於休眠狀態的負責人地址和聯繫方式。該網站只提供少量資料,如電郵地址和電話號碼,讓訪客可以發送求職申請(通常是遙距職位)。一旦求職者開始聯絡,他將會收到答覆以便繼續保持對話,並且最終會被要求在不同帳戶之間轉移資金,從而間接協助洗黑錢。

免費電郵服務易被感染成小型殭屍網絡

Forcepoint 還發現了發送垃圾郵件的小型殭屍網絡,主要對象為免費電郵服務的用戶,電郵內容與工作機會相關。由於這些電郵不包含傳統垃圾郵件的明顯特徵,例如 URL 鏈接、網絡釣魚文字和誘使用家打開文件,加上發送電郵的伺服器和帳戶均屬合法,因此一般不會被用戶電腦上的網絡保安軟件阻截。

這些服務器分佈在全球各地,主要由免費電郵供應商組成,因這些電郵供應商帳戶通常比已加密的公司帳戶更容易受到入侵。

Forcepoint 亞太區技術總監譚偉基表示:「為騙取求職者,網絡罪犯必須依靠成千上萬個受感染的 SMTP 帳戶。長期維護此類列表絕非易事,因為一旦帳戶持有人或營運商意識到違規行為,帳戶便會無法使用。」

譚偉基續指,由於部分免費電郵服務的保安標準較低,因此容易成為感染對象。有見及此,他建議電腦使用者:

  1. 警惕評估來自不知名發件人的郵件
  2. 保護個人資產,例如免費服務的登錄資料
  3. 設定高強度密碼
  4. 避免在不同的服務使用相同的密碼
  5. 經常更改密碼
  6. 盡可能使用提供雙重身份驗證的服務