Bóc trần chiêu trò lừa đảo tuyển dụng: Giả mạo các tập đoàn danh tiếng
Một chiến dịch lừa đảo trực tuyến mới đầy tinh vi đang nhắm vào các chuyên gia truyền thông xã hội và tiếp thị, giả danh nhà tuyển dụng từ những tập đoàn danh tiếng như Meta, Coca-Cola, PayPal và Red Bull.
Theo nghiên cứu mới nhất của công ty chuyên về bảo mật email và phòng chống lừa đảo trực tuyến Cofense (Mỹ), tin tặc đang giả mạo các nhà tuyển dụng từ những tập đoàn danh tiếng trong danh sách Fortune 500, chẳng hạn như Meta, Coca-Cola và PayPal để tiếp cận nạn nhân.
Chúng gửi email tuyển dụng giả mạo với những lời mời làm việc hấp dẫn, đánh vào tâm lý mong muốn thăng tiến của các chuyên gia trong ngành tiếp thị và truyền thông xã hội.
Khi nạn nhân tin tưởng và điền vào các biểu mẫu ứng tuyển giả, họ vô tình cung cấp những thông tin cá nhân quan trọng, bao gồm lịch sử làm việc, trình độ học vấn và thông tin liên hệ, tạo điều kiện cho tin tặc thực hiện hành vi trộm cắp danh tính hoặc thực hiện các cuộc tấn công lừa đảo tinh vi hơn trong tương lai.
Mồi nhử hoàn hảo: Những lời mời tuyển dụng hấp dẫn
Chiến dịch lừa đảo này xuất hiện vào cuối mùa hè năm 2024 và nhắm vào các chuyên gia đã có việc làm, đặc biệt là trong các lĩnh vực tài chính, bảo hiểm, bán lẻ và sản xuất.
Tin tặc tinh vi giả danh nhà tuyển dụng từ các tập đoàn lớn trong danh sách Fortune 500, gửi email mời chào cơ hội việc làm hấp dẫn với mức lương cạnh tranh và chế độ đãi ngộ tốt.
Ảnh: Cofense
Điểm khác biệt của chiến dịch này so với các hình thức lừa đảo thông thường là thay vì chỉ tập trung vào việc đánh cắp mật khẩu, tin tặc nhắm đến việc thu thập dữ liệu cá nhân có giá trị cao.
Chúng yêu cầu nạn nhân điền vào đơn ứng tuyển giả mạo, trong đó bao gồm thông tin chi tiết về kinh nghiệm làm việc, trình độ học vấn, kỹ năng chuyên môn và thậm chí là thông tin liên hệ cá nhân.
Những dữ liệu này không chỉ có thể bị bán trên thị trường chợ đen để thực hiện hành vi gian lận tài chính, mà còn giúp tin tặc xây dựng các hồ sơ cá nhân giả mạo nhằm thực hiện các cuộc tấn công có chủ đích trong tương lai, chẳng hạn như lừa đảo tài chính hoặc tấn công vào hệ thống doanh nghiệp nơi nạn nhân đang làm việc.
Thông tin cá nhân: Kho báu của tin tặc
Những dữ liệu thu thập được từ sơ yếu lý lịch, còn được gọi là "thông tin nhận dạng cá nhân không phổ biến" (PII), có giá trị đặc biệt cao trên thị trường chợ đen.
Không giống như các thông tin cơ bản như địa chỉ email hay số điện thoại, loại dữ liệu này bao gồm lịch sử làm việc, trình độ học vấn, kỹ năng chuyên môn và các thông tin cá nhân chi tiết khác, giúp tin tặc thực hiện nhiều hành vi gian lận tinh vi hơn.
Cofense cảnh báo rằng, những thông tin này có thể bị khai thác để vượt qua các câu hỏi bảo mật hoặc đánh lừa hệ thống xác minh danh tính của ngân hàng và các dịch vụ trực tuyến khác.
Ví dụ, nếu một nền tảng yêu cầu người dùng xác nhận "Tên công ty bạn từng làm việc vào năm 2015" hoặc "Trường đại học bạn từng theo học", tin tặc có thể dễ dàng trả lời chính xác nhờ dữ liệu thu thập được từ đơn xin việc giả mạo.
Không chỉ dừng lại ở đó, những kẻ tấn công còn có thể tận dụng thông tin bị đánh cắp để đặt lại mật khẩu và chiếm quyền kiểm soát các tài khoản quan trọng của nạn nhân, bao gồm tài khoản ngân hàng, email công việc, hồ sơ cá nhân trên mạng xã hội hay thậm chí là các nền tảng tài chính số.
Điều này có thể dẫn đến những hậu quả nghiêm trọng như rò rỉ dữ liệu cá nhân, mất quyền truy cập vào tài sản tài chính và bị lợi dụng để thực hiện các hành vi lừa đảo khác.
Chiến thuật lừa đảo: Email cá nhân hóa cao
Cofense cho biết, chiến dịch này sử dụng nhiều kiểu email khác nhau để tiếp cận nạn nhân, từ đơn giản và trực tiếp đến cực kỳ chi tiết và cá nhân hóa. Các nhà nghiên cứu nhận định tin tặc có thể đã thu thập thông tin về nạn nhân thông qua các nguồn dữ liệu công khai như trang web tuyển dụng LinkedIn, mạng xã hội hoặc trang web công ty.
Những email lừa đảo này thường chứa thông tin liên quan đến vị trí công việc, trách nhiệm cụ thể của nạn nhân và sử dụng các thuật ngữ chuyên ngành như "quản lý quan hệ khách hàng (CRM)", "khai thác dữ liệu" hay "khuếch đại thương hiệu" nhằm tăng mức độ tin cậy.
Sau khi mở email, nạn nhân sẽ được hướng dẫn nhấp vào liên kết dẫn đến trang web giả mạo, nơi họ phải điền thông tin cá nhân để ứng tuyển. Một số trang web thậm chí còn sử dụng bài kiểm tra tự động CAPTCHA để tránh bị hệ thống bảo mật phát hiện, hoặc thiết lập các tên miền phụ có vẻ hợp pháp, khiến nạn nhân càng khó nhận ra mình đang bị lừa.
Chiến dịch "đánh nhanh, rút gọn"
Các trang web lừa đảo trong chiến dịch này có đặc điểm cực kỳ nguy hiểm là thời gian tồn tại ngắn, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn bao giờ hết.
Theo phân tích của Cofense, hầu hết các trang web giả mạo chỉ hoạt động trong vòng chưa đầy 24 giờ trước khi bị gỡ bỏ, thậm chí có những trang chỉ tồn tại vỏn vẹn dưới 3 giờ.
Điều này đồng nghĩa với việc các hệ thống bảo mật và chuyên gia an ninh mạng có rất ít thời gian để phát hiện, phân tích và cảnh báo người dùng trước khi các trang này biến mất.
Ngoài Meta, thương hiệu bị giả mạo nhiều nhất trong chiến dịch này thì các email lừa đảo giả danh Coca-Cola và Red Bull cũng cho thấy mức độ hiệu quả cao.
Nhờ danh tiếng vững chắc và mức độ phủ sóng mạnh mẽ trong ngành quảng cáo, những cái tên này dễ dàng tạo được sự tin tưởng đối với nạn nhân, khiến họ mất cảnh giác và vô tình cung cấp thông tin cá nhân quan trọng.
Cách bảo vệ bản thân trước chiêu thức lừa đảo
Cofense khuyến cáo các chuyên gia truyền thông xã hội và tiếp thị cần đặc biệt cảnh giác với các email tuyển dụng không mong đợi, ngay cả khi chúng có vẻ đến từ những công ty danh tiếng. Dưới đây là một số biện pháp phòng tránh:
Kiểm tra kỹ địa chỉ email người gửi: Hãy đảm bảo rằng email đến từ tên miền chính thức của công ty, không phải một biến thể tinh vi.
Không nhấp vào liên kết đáng ngờ: Nếu email chứa liên kết ứng tuyển, hãy truy cập trang web chính thức của công ty để kiểm tra thông tin.
Không cung cấp thông tin cá nhân nếu chưa xác minh: Nếu được yêu cầu điền đơn xin việc, hãy xác nhận thông tin này với bộ phận tuyển dụng chính thức của công ty.
Sử dụng xác thực hai yếu tố (2FA): Điều này giúp bảo vệ tài khoản cá nhân khỏi bị chiếm đoạt ngay cả khi thông tin đăng nhập bị rò rỉ.
Tóm lại, các chiến dịch lừa đảo ngày càng trở nên tinh vi hơn, đặc biệt là khi chúng nhắm đến những cá nhân có nhiều thông tin cá nhân giá trị. Hãy luôn cảnh giác và xác minh thông tin trước khi chia sẻ bất kỳ dữ liệu nào. Đừng để những lời mời tuyển dụng hấp dẫn trở thành cái bẫy dẫn đến rủi ro mất danh tính và tài sản.