人力資源報告騙局

網路犯罪者持續利用職場相關主題，因為員工本能地會信任任何看似來自內部部門的資訊。 「人力資源通報騙局」就是這種伎倆的典型例子。雖然這些資訊看起來專業且例行公事，但實際上完全是欺詐性的，旨在竊取敏感資訊。這些郵件看似與業務相關，但實際上與任何合法組織、公司或服務提供者無關。

偽裝成人力資源更新的欺騙性訊息

這封詐騙郵件聲稱收件人可以查看人力資源部門的最新月度報告。郵件中稱，這份「報告」包含績效評估、活動總結、休假概覽，甚至還有即將晉升的人員名單。這些資訊經過精心挑選，看起來非常可信，很容易誘使收件人毫不猶豫地點擊連結。

事實上，這則訊息與收件人的雇主沒有任何關係，而且這份報告也不存在。它的唯一目的是誘騙用戶造訪一個旨在竊取電子郵件登入憑證的釣魚網站。

虛假報告入口網站

郵件中嵌入的連結會將受害者引導至模仿微軟 Excel 文件入口的釣魚頁面。該頁面不會載入真實文件，而是提示訪客使用電子郵件地址和密碼驗證身分。表單中輸入的所有內容都會被靜默捕獲並發送給攻擊者。

由於企業帳戶通常提供對企業系統、共用磁碟機和雲端平台的存取權限，因此這些憑證對詐騙分子來說非常有價值。

被盜帳戶如何被利用

一旦網路犯罪分子獲得電子郵件帳戶的存取權限，損害就會迅速擴大。被入侵的收件匣會成為通往多個互聯平台的入口，並可能洩漏敏感的個人或企業資料。攻擊者通常會利用被入侵的帳號作為跳板，試圖在組織內部橫向移動，有時會部署惡意軟體或勒索軟體。

以下是一些與被盜電子郵件憑證相關的最常見濫用行為：

• 未經授權存取關聯帳戶，例如協作工具、雲端儲存、即時通訊服務或金融平台
• 企業網路感染木馬、勒索軟體和其他惡意軟體
• 冒充受害者索要金錢、貸款或捐款
• 向聯絡人分發惡意文件或鏈接

受害者往往面臨嚴重的隱私外洩、重大的經濟損失、服務中斷，甚至是身分盜竊。

這種騙局為何奏效

職場主題的網路釣魚之所以屢屢得逞，是因為許多員工習慣接收人力資源部門的更新資訊和內部文件。攻擊者正是利用了員工的日常數位習慣以及他們對內部溝通可信度的固有認知。

此外，網路釣魚郵件通常伴隨更廣泛的垃圾郵件活動，這些活動可能試圖收集個人資料、推送無關的詐騙資訊或傳播惡意軟體。欺詐性郵件通常包含植入的連結或附件，旨在觸發感染鏈。

惡意垃圾郵件如何散播惡意軟體

惡意垃圾郵件仍然是傳播惡意軟體最常見的方法之一。攻擊者使用多種檔案格式來偽裝其有效載荷：

• 例如 Microsoft Office、OneNote 或 PDF 文件等文檔
• 壓縮檔案（例如 ZIP 或 RAR）以及可執行檔（包括 EXE 或 RUN）。
• 腳本，例如 JavaScript 和類似的運行格式

當使用者開啟這些檔案時，惡意軟體就會開始安裝。某些格式的檔案需要額外的步驟，例如，Office 檔案可能會提示使用者啟用巨集，而 OneNote 檔案通常包含嵌入式對象，點擊這些物件即可啟動惡意軟體。

如果您已經輸入了憑證，該怎麼辦？

任何透過釣魚頁面提供過登入資訊的使用者都應立即重設所有可能與被盜郵箱關聯的帳戶密碼。同時，請務必通知受影響服務的官方支援團隊，以便他們協助保護帳戶安全並識別未經授權的活動。

保持安全

由於詐騙郵件可能極具迷惑性，因此對意外收到的郵件保持警惕至關重要。使用者在收到未經請求的通知時應格外小心，尤其是那些要求驗證身分或提供使用者意料之外的文件存取權限的郵件。

對電子郵件、私訊、簡訊和其他通訊管道保持警惕，是防範人力資源報告詐騙等攻擊的最有效防禦措施之一。