レイオフが急増し、求職者が市場に殺到する中、Coca-ColaやFerrariなど大手ブランドになりすましたフィッシング キャンペーンが増加しており、これまで以上に高度化しています。
私たちが発見した最初の詐欺は、個人情報を収集するための説得力のあるブッキングページを使用してから、被害者に本物のChromeブラウザウィンドウの内部に偽装されたフェイク サインイン ページを通じてGoogleワークアカウント認証情報を渡すよう仕向けています。このキャンペーンが特に危険な理由は、通常のフェイク ウィンドウのトリックを超えているからです。このキットはパスワードを奪うだけでは停止しません。ソースコードを見ると、ユーザー入力を攻撃者が管理するバックエンドに中継し、サーバーの応答に基づいて異なる2要素認証プロンプトを動的に提供しており、MFAを回避するために設計されたリアルタイム フィッシング フレームワークと一致しています。
「通話をスケジュールする」よう求める予期しない求人オファーを受け取った場合、注意すべき点を紹介します。
求人詐欺の完璧な嵐
これらの詐欺は真空の中で現れているわけではありません。米国の労働市場は継続的な圧力を受けており、雇用主は2025年に117万人以上の労働者をレイオフしました。これはパンデミック以来最多で、すべて連邦政府の労働力削減、企業のコスト削減、そしてより広範な採用の鈍化の組み合わせによって促進されています。失業率は2025年11月に4年ぶりの高さ4.5%に上昇し、27週間以上失業している者を含む長期失業は過去1年間に322,000増加しました。
CNBCとの会話で、Navy Federal Credit Unionのチーフエコノミスト、Heather Longは見通しを率直に説明しました。「春は求職者にとって厳しい季節になりそうです。」
混乱の中でも、詐欺師は忙しく活動しています。FTCによると、求人と雇用詐欺からの損失は2020年の9,000万ドルから2024年には5億100万ドル以上に急増し、その期間に報告件数は3倍になりました。Better Business Bureau(BBB)のMelanie McGovern氏は次のように述べています。「雇用詐欺は大きな復帰を遂げています。」
最近私たちは2つのキャンペーンを発見しました。これらのキャンペーンは、これらの罠がどれほど洗練されているかを示しています。1つはCoca-Colaになりすましたもの、もう1つはFerrariになりすましたものです。どちらも競争的な労働市場に伴う絶望と信頼を利用しており、単純なフェイク ログインページを遥かに超えるフィッシング キットを展開しています。
詐欺1:あなたのGoogleアカウントを盗むCoca-Colaインタビュー
攻撃は「Tricia Guyer」という名前のCoca-Cola採用担当者のCalendlyスケジューリングページのように見えるページへのリンクから始まります。名前、メール、興味のある職種、勤務希望地を入力するよう求められます。通常の求職活動中に警鐘を鳴らすようなものはありません。
ただし、最初の危険信号は、そこにたどり着いた方法です。正当な採用担当者は通常、事前の連絡なしに、またはまず応募を受け取ることなく、無限招待スケジューリングリンクを送信しません。これはすべて、Coca-Colaの職務に応募せず、この人と話したことがない場合、ページがどれほど専門的に見えても、リンクに極度の疑いを持つべきであることを意味します。
注意深いユーザーさえもだます偽ブラウザウィンドウ
ブッキングフォームに入力した後、日付を選択して「Googleで続行」をクリックするよう求められます。ここで何か怪しいことが起こります。本物のGoogleログインページを開く代わりに、サイトは実際のブラウザポップアップを開く代わりに、Webページ内にシミュレートされたChromeブラウザウィンドウを描画します。ウィンドウを最小化、最大化、閉じるボタン付きのタイトルバーがあります。また、https://accounts.google.com/signin/v3/というURLバーもあります。
多くの点で、Googleからのポップアップウィンドウとまったく同じように見えます。ただし、そうではありません。これは単なる画像であり、その上に配置されたフォーム フィールドです。
彼らはあなたのパスワードだけでなく、確認コードも欲しいのです
ほとんどのフェイク ブラウザウィンドウ攻撃は比較的単純です。説得力のあるログイン フォームを表示し、メールとパスワードを取得して、停止します。2要素認証が有効になっている場合、盗まれた認証情報だけでは、攻撃者が確認ステップで問題に直面するため、アカウントに入るのに十分ではありません。
このキットはその問題に直面しません。
メールアドレスとパスワードを入力すると、ページは攻撃者のバックエンド サーバーをポーリング(3秒ごとというパターンがソースコードに表示)し、次に何を表示するかについての指示を待ちます。一方、送信された認証情報は専用のログイン エンドポイント経由で攻撃者のサーバーに送信されます。キットの動作(送信直後に認証チャレンジ タイプのポーリングをすぐに開始)は、攻撃者がそれらの認証情報に対して実際のGoogleログインを並行して使用していることと一致しています。キットには4つの個別の確認画面が含まれています。メールコード、認証アプリ コード、SMSコード、およびGoogle電話プロンプトのためのものです。Googleが攻撃者に2番目の確認ステップを求めるとき、バックエンドはページにどの画面を提供するかを指示し、ソースコードは、サーバーの応答のauthType値に基づいて、被害者を一致するプロンプトにルーティングします。通常のGoogleプロンプトのように見え、二度と考えずにコードを渡します。
この相互作用は数秒ごとに発生するため、攻撃者は各チャレンジを中継し、応答をリアルタイムに実際のGoogleログインに入力できます。バックエンドは、カスタムエラーメッセージもスクリーンにプッシュできます。コードはサーバーレスポンスのエラーフィールドをチェックし、「パスワードが間違っています。もう一度試してください」など直接表示し、提供側でうまくいかない場合は再試行を強制します。これは通常は単純な認証情報の取得から、2要素認証が有効になっている場合でも完全なアカウント乗っ取りの可能性に変わります。「会議が確認されました」ページが表示される頃には、入力した認証情報と確認コードはすでに攻撃者のサーバーに送信されています。
個人Gmail?彼らはそれを望んでいません
注目すべき詳細は、フォームが「仕事用または事業用メールを使用してください」というメッセージで@gmail.comアドレスを拒否することです。このフィルターはソースコードにハードコードされています。これは企業のGoogle Workspaceアカウントを具体的にターゲットにしています。理由は単純です。侵害された仕事アカウントは、企業メール、共有ドキュメント、内部カレンダーへのアクセス、同僚への攻撃をさらに開始するために使用できるため、はるかに価値があります。
詐欺2:あなたのFacebook認証情報を盗むFerrariキャリアページ
Coca-Colaキットは孤立した事件ではありません。私たちはもう1つのフィッシング キャンペーンを発見しました。これはFerrariになりすましたもので、異なるが同様に効果的なアプローチを採用しています。
このページはFerrariの公式企業キャリア ポータルとして提示されています。会社のナビゲーション バー、ブランディング、および実際の雇用者の採用ページで期待する段落が含まれています。「キャリア機会」、「人々にフォーカス」、「中心の情熱」、「卓越性」などの見出しがあります。
しかし、罠は上部にあります。ページに重ねられているのは、マーケティング職に「応募するよう招待されました」と主張するポップアップです。「選抜プロセスを迅速化するためのダイレクト メール招待」を通じてページにアクセスしていると説明しています。その後、「Facebookで続行」するか、メール付きのパスコードを入力するよう求められます。
これがフィッシング フックです。Facebookボタンをクリックしようと、メールアドレスを入力しようと、認証情報を収集するために設計されたフェイク Facebookログイン ページにリダイレクトされます。このアプローチは一般的なOAuthフィッシング技術を反映しています。多くの正当な求人応募ポータルはソーシャル メディア アカウント経由でサインインできます。これは正確にこのトリックを非常に説得力のあるものにする理由です。被害者は通常のことをするよう求められていません。求人応募を完了するために「Facebookでログイン」するだけです。
企業のGoogle WorkspaceアカウントをターゲットにしたCoca-Colaキャンペーンとは異なり、MFAバイパス キットが洗練されているFerrariスキャムはFacebook認証情報を狙うことでより広いネットを投げかけます。侵害されたFacebookアカウントは、リンクされたサービス、個人メッセージ、さらなるソーシャル エンジニアリングを促進する個人情報へのアクセスを攻撃者に与えることができます。また、被害者の連絡先にスキャムを広げるための足がかりも提供します。
両方のキャンペーン間の共通のスレッドは餌です。有名企業の名前とキャリア機会の約束です。数百万人が積極的に仕事を探している労働市場では、その組み合わせは壊滅的に効果的です。
自分自身を保護する方法
- 予期しない求人オファーに疑いを持つ。役職に応募せず、採用担当者を知らない場合は、リンクをクリックしないでください。会社のキャリア ページを直接参照し、職務と採用担当者が実在することを確認してください。
- 偽ブラウザウィンドウを見つける方法を知ってください。
- 「ポップアップ」をドラッグしてみてください:本物のポップアップはメイン ブラウザ ウィンドウの外で自由に移動しますが、フェイクはページの一部であるため端で詰まります。
- ブラウザーを最小化してみてください:本物のポップアップはデスクトップ上で独自のウィンドウとして留まりますが、フェイクはページとともに消えます。
- ウィンドウ内のURLバーを検査してください:正しく見えるかもしれませんが、それは単なるグラフィックです。実ブラウザのようにクリック、テキストを選択、または新しいアドレスを入力することはできません。
- ポップアップが上記のテストに合格した場合でも、認証情報を入力する前に常にURLをダブルチェックしてください。
- スケジューリングページでパスワードを入力しないでください。Calendlyなどの正当なサービスは会議をスケジュールするためにメール パスワードを要求しません。
- If あなたはすでに認証情報を入力した場合、Googleパスワードをすぐに変更してください。myaccount.google.com > セキュリティ > デバイスですべてのセッションを取り消してください。
労働市場は詐欺師の狩場です
求職者はフィッシング詐欺に特に脆弱です。あなたは見知らぬ人からのメールを予期しており、フォームに入力する習慣があり、追加のログイン ステップに疑問を呈しないほど機会に動機付けられています。2026年初期の米国失業率が約4.3~4.4%で推移し、民間部門の職務を争う最近解雇された連邦労働者が数十万人、ここ数年で採用が最も低いペースで進んでいる状況下では、潜在的な被害者の集団はこれまで以上に大きくなっています。詐欺師はこれを知っており、本物の企業ロゴ、プロフェッショナルなブッキング インターフェース、ピクセルパーフェクトなフェイク ログインページを完備して、罠が正当に見えるようにするために真摯な努力を投資しています。これらのキットは、ほとんどの人の本能が適応する速度よりも速く改善されています。
最良の保護は偽物を見つけることではなく、正当な採用プロセスが、Googleまたはコンテンツとして機能するか、Facebookまたは何か他のものとしてファッションで、見たことのないページを通じて認証するよう要求することはないということを知ることです。疑わしい場合は、タブを閉じて、会社のウェブサイトに直接アクセスして、古い方法で申し込んでください。
侵害の指標(IOCs)
ドメイン
- hrguxhellito281[.]onrender[.]com(バックエンド サーバー)
