人力资源报告骗局

网络犯罪分子持续利用职场相关话题，因为员工本能地会信任任何看似来自内部部门的信息。“人力资源报告骗局”就是这种伎俩的典型例子。虽然这些信息看起来专业且例行公事，但实际上完全是欺诈性的，旨在窃取敏感信息。这些邮件看似与业务相关，但实际上与任何合法组织、公司或服务提供商都无关。

伪装成人力资源更新的欺骗性信息

这封诈骗邮件声称收件人可以查看人力资源部门的最新月度报告。邮件中称，这份“报告”包含绩效评估、活动总结、休假概览，甚至还有即将晋升的人员名单。这些信息经过精心挑选，看起来非常可信，很容易诱使收件人毫不犹豫地点击链接。

事实上，这条信息与收件人的雇主没有任何关系，而且这份报告也并不存在。它的唯一目的是诱骗用户访问一个旨在窃取电子邮件登录凭证的钓鱼网站。

虚假报告门户网站

邮件中嵌入的链接会将受害者引导至一个模仿微软 Excel 文档入口的钓鱼页面。该页面不会加载真实文件，而是提示访问者使用电子邮件地址和密码验证身份。表单中输入的所有内容都会被静默捕获并发送给攻击者。

由于企业帐户通常提供对企业系统、共享驱动器和云平台的访问权限，因此这些凭证对诈骗分子来说非常有价值。

被盗账户如何被利用

一旦网络犯罪分子获得电子邮件帐户的访问权限，损害就会迅速扩大。被入侵的收件箱会成为通往多个互联平台的入口，并可能泄露敏感的个人或企业数据。攻击者通常会利用被入侵的帐户作为跳板，试图在组织内部横向移动，有时还会部署恶意软件或勒索软件。

以下是一些与被盗电子邮件凭证相关的最常见滥用行为：

• 未经授权访问关联账户，例如协作工具、云存储、即时通讯服务或金融平台
• 企业网络感染木马、勒索软件和其他恶意软件
• 冒充受害者索要钱财、贷款或捐款
• 向联系人分发恶意文件或链接

受害者往往面临严重的隐私泄露、重大的经济损失、服务中断，甚至身份盗窃。

这种骗局为何奏效

职场主题的网络钓鱼之所以屡屡得逞，是因为许多员工习惯于接收人力资源部门的更新信息和内部文件。攻击者正是利用了员工的日常数字习惯以及他们对内部沟通可信度的固有认知。

此外，网络钓鱼邮件通常伴随更广泛的垃圾邮件活动，这些活动可能试图收集个人数据、推送无关的诈骗信息或传播恶意软件。欺诈性邮件通常包含植入的链接或附件，旨在触发感染链。

恶意垃圾邮件如何传播恶意软件

恶意垃圾邮件仍然是传播恶意软件最常见的方法之一。攻击者使用多种文件格式来伪装其有效载荷：

• 例如 Microsoft Office、OneNote 或 PDF 文件等文档
• 压缩文件（例如 ZIP 或 RAR）以及可执行文件（包括 EXE 或 RUN）。
• 脚本，例如 JavaScript 和类似的运行格式

当用户打开这些文件时，恶意软件便会开始安装。某些格式的文件需要额外的步骤，例如，Office 文件可能会提示用户启用宏，而 OneNote 文件通常包含嵌入式对象，点击这些对象即可激活恶意软件。

如果您已经输入了凭据，该怎么办？

任何通过钓鱼页面提供过登录信息的用户都应立即重置所有可能与被盗邮箱关联的账户密码。同时，务必通知受影响服务的官方支持团队，以便他们协助保护账户安全并识别未经授权的活动。

保持安全

由于诈骗邮件可能极具迷惑性，因此对意外收到的邮件保持警惕至关重要。用户在收到未经请求的通知时应格外小心，尤其是那些要求验证身份或提供用户意料之外的文档访问权限的邮件。

对电子邮件、私信、短信和其他通信渠道保持警惕，是防范人力资源报告诈骗等攻击的最有效防御措施之一。