警惕:钓鱼网站以招聘信息为诱饵

DoSECU 安全报道 5月27日消息:钓鱼电子邮件中的"工作邀请"骗局是有计划的诱骗用户透露机密的私人验证信息;他们也可能是希望愚弄受害者来骗钱。PhishBucket2008年10月12号发表的论文总结了钓鱼犯罪分子利用的技术手段。由PhishBucket.org组织的著名网站也掌握了与最新诈骗伎俩有关的大量信息;在搜索栏内键入"工作邀请"可以立刻获取相关细节。

最近笔者的朋友沃森–美国一所大学的首席信息安全官转发给我一个希望能与读者共享的信息。今年5月中旬,沃森收到一封要求他申请自己工作的电子邮件!他与学校的人力资源部进行核实后发现,与邮件内容刚好相反的是,他的领导刚刚签署了与他重新续签的合同。在目前的经济气候下,读者能够理解这封钓鱼诈骗电子邮件会让毫无准备的员工多么恐慌。

尽管这封电子邮件注册的网站GoDaddy.com看起来与其他注册的域名系统并无不同,这使得收件人很难对域名的确切所有者准确定位,但沃森还是根据这封电子邮件追踪到了明确的来源。通过观察电子邮件的抬头,根据钓鱼信息中的确切网址以及对所有者的搜索,沃森还是能够追踪到信息的确切发件人,他们的办公地点设置在美国。

沃森在提交给人力资源部和大学法务处的报告中分析了这种情况。

"我建议学校的律师应该针对这种犯罪组织准备采取法律行动。问题很严重,他们已经违反了CANSPAM Act。这是律师应该去解决的问题。

我将这份报告提交给我们的IT部门,建议将这些令人讨厌的域名列入黑名单,将这种数据滥用行为通知我们的首席信息官。我还推进对犯罪组织的投诉,将他们的伎俩转告给互联网服务提供商。我阅读过到他们的用户适用协议,这些犯罪分子已经违反了这些其中的某些条款,我们应该掌握这些欺诈网站的信息,关闭这些电子邮件帐户"。

犯罪分子获取他们提供给受害人的工作描述信息的唯一方法是在没有得到许可的情况下收集某些受害人的电子邮件,或者是手机大学网站上提供的数据–在大学的网站上我们清楚的警告说这些名录不能用于未经授权的电子邮件。使用诈骗伎俩或者其他非法手段来收集电子邮件都是非法的。

另外,根据版权法,发件人拥有任何他所发出的电子邮件的版权;如果犯罪分子中途截取了第三方电子邮件并且使用了来自这些电子邮件的信息,却没有得到作者的许可,那么他们可能就违反了版权法。沃森还强调说那就没必要注册或者注明版权了。出版的法案说明任何人都可以建立自己的版权。对于作者来说没有必要通知任何人电子邮件的优先权。

犯罪分子为潜在的犯罪分子提供了申请他们目前掌握的工作岗位的机会。由于犯罪分子从收集的数据中了解到收件人已经在从事诈骗者提供的特殊岗位,他们知道收件人就不会再使用这份工作申请了:这些就是传统上的调包手法,也是非法的。

这些行为对于学校是非常有害的,我要求人力资源部通知我们所有的教职员工对类似的电子邮件保持警惕,特别是来自本案所涉及的特殊机构的邮件,直到我们永久阻止了所有与这些犯罪分子有关的域名。

读者将了解到如果员工不知道类似的电子邮件是个诈骗,那么现在是个好机会给他们敲响警钟。一旦员工链接到欺诈网站上,所有的努力将付诸东流。员工可能会下载木马或者要求验证个人信息的文件,最后导致验证信息被盗。读者应该仿效沃森,确保所有的员工都了解这些主动提供的自己岗位的工作机会都是令人讨厌的诈骗伎俩,是有计划的诱骗员工将他们的个人信息透露给这些犯罪分子。

让我们具备相关的知识和意识,与这些令人恐慌的诈骗手段做斗争。