提供个人安全服务的NordVPN(总部:荷兰阿姆斯特丹,日本代表:小原拓郎)宣布,其威胁情报研究部门的调查发现了一种新的招聘诈骗手法,诈骗者冒充全球知名大公司,以求职者为目标窃取社群媒体帐号凭证。 本次调查揭示了一种多阶段攻击的实际情况,该攻击始于冒充Meta、Disney、Coca-Cola、Spotify等知名公司招聘人员的电子邮件,将受害者引导至难以辨识真伪的假冒招聘网站,最终劫持其Facebook帐号。此类手法已在全球范围内被证实,并有可能在日本的求职者中蔓延。 ■ 调查背景 近年来,随着生成式AI的普及,网络钓鱼诈骗等网络攻击日益复杂,演变成精心模仿真实公司的多阶段攻击。 在此背景下,自然地模仿企业网站、招聘信息和电子邮件内容的诈骗也越来越多,辨识难度日益增加。特别是正在求职或转职的求职者,更容易回应陌生人的联系,对提供个人信息的警惕性也较低。攻击者利用这种情况,以招聘流程为幌子,窃取社群媒体帐号凭证。为了揭示这种情况,NordVPN的威胁情报研究部门进行了调查。 ■ 调查概要 调查名称:NordVPN 威胁情报研究部门 调查机构:NordVPN・NordStellar 调查日期:2026年3月31日 调查方法:对主要搜索引擎应用高级搜索字符串,并利用物联网搜索引擎Fofa.io、Shodan.io等识别网域、服务和端口。 ■ 始于招聘邮件的三阶段诈骗手法 本次确认的诈骗手法是通过多个步骤巧妙地引导受害者。其特点是乍看之下与正常的招聘流程无异,即使是谨慎的用户也难以察觉。 诈骗始于通过Google AppSheet等合法服务发送的招聘邮件。邮件内容以自然的日语撰写,与实际的招聘通知难以区分。由于AppSheet是Google提供的合法服务,发件人地址为「appsheet.com」,这使得垃圾邮件过滤器难以侦测,收件人也不易起疑,这一点被诈骗者利用。 收件人列表据信是从LinkedIn等平台收集或利用过去的数据泄露数据。点击邮件中的链接会被引导至中继网站(例如:careers.meta-findyourjob[.]com)。该网站内置了规避安全措施的机制,如果杀毒软件或搜索引擎爬虫直接访问,只会显示无害的页面。只有通过诈骗邮件中的特定链接访问时,「搜索职位」按钮才会出现。 点击按钮后,会被引导至为各公司量身打造的假冒招聘网站。乍看之下,它与真实的招聘页面无异,甚至刊登了实际的招聘信息。当求职者点击申请按钮时,页面会切换到假冒的Facebook登录画面,输入的ID和密码随即被攻击者获取。 已确认的假冒网站范例: - Meta:plus.jobfusion-mt[.]com / official.professionlaunch-mt[.]com - Coca-Cola:careers.coca-contactnow[.]info - Spotify:connect.spotifycareerapply[.]com - Disney:jobquest.wdcfuturesteps[.]com ■ NordVPN产品总监Dominikas Virbickas推荐的三项防范招聘诈骗的措施 ① 登录前务必确认URL 合法公司会在其官方网域上营运招聘页面。当您被重定向到不熟悉的外部网站或被要求「使用Facebook登录」时,请务必确认URL是否确实为facebook.com。如果感到丝毫异样,停止输入信息至关重要。 ② 在所有社群媒体帐户上激活双重认证(2FA) 即使密码泄露,如果设置了双重认证,也能防止未经授权的登录。只需几分钟的设置,就能大大减少潜在的损失。 ③ 警惕突如其来的招聘联系