На фоне рекордного роста увольнений и обострения конкуренции на рынке труда фишинговые атаки, маскирующиеся под рекрутеров крупных компаний, стали как никогда изощрёнными. Злоумышленники эксплуатируют доверие к брендам-гигантам, таким как Coca-Cola и Ferrari, создавая многоступенчатые схемы, способные обойти даже двухфакторную аутентификацию (2FA) и привести к полному захвату корпоративных аккаунтов. Это не просто попытки украсть пароль - это полноценные операции по компрометации, нацеленные на доступ к внутренним коммуникациям и данным компаний.
Описание
Ситуацию на рынке труда эксперты называют идеальным штормом для мошенничества. Только в 2025 году в США было уволено более 1,17 миллиона работников - это максимальный показатель со времён пандемии. Уровень безработицы к ноябрю того же года достиг четырёхлетнего максимума в 4,5%. На этом фоне потери жертв мошенников, связанных с трудоустройством, по данным Федеральной торговой комиссии (FTC), взлетели с 90 миллионов долларов в 2020 году до более чем 501 миллиона в 2024-м. Как отмечают специалисты, аферисты активно используют отчаяние соискателей и их готовность поверить в заманчивое предложение.
Одной из самых опасных схем, выявленных аналитиками, стала кампания, имитирующая процесс найма в Coca-Cola. Жертве приходит ссылка на якобы страницу планирования встречи в Calendly от рекрутера по имени "Триша Гайер". После заполнения стандартной формы с именем и предпочтениями соискателя просят "Продолжить с Google". Однако вместо открытия настоящего всплывающего окна авторизации сайт отображает его точную, но статичную имитацию прямо в браузере - с полосой заголовка, кнопками и адресной строкой. Это не отдельное окно, а искусно нарисованная картинка с наложенными поверх полями ввода.
Главная опасность заключается в том, что этот инструмент для фишинга (phishing kit) не ограничивается сбором логина и пароля. Согласно анализу его исходного кода, после ввода учётных данных страница начинает опрашивать сервер злоумышленника каждые три секунды, ожидая инструкций. Вероятно, в это время атакующие в реальном времени пытаются войти в аккаунт жертвы на официальном портале Google. Если система запрашивает второй фактор, сервер указывает фишинговой странице, какой именно экран верификации показать: для кода из email, SMS, приложения-аутентификатора или push-уведомления. Жертва видит привычный запрос и вводит код, который мгновенно пересылается злоумышленникам. Этот механизм, характерный для современных фреймворков для фишинга в реальном времени, фактически нейтрализует защиту 2FA. Примечательно, что форма жёстко отфильтровывает адреса @gmail.com, требуя рабочую почту, что прямо указывает на целевой характер атаки на корпоративные аккаунты Google Workspace, открывающие доступ к внутренним ресурсам компаний.
Параллельно обнаружилась вторая кампания, на этот раз под видом карьерного портала Ferrari. На поддельном сайте, точно копирующем дизайн и разделы оригинала, появляется всплывающее окно с "приглашением на вакансию". Для продолжения предлагается войти через Facebook* или ввести email. В обоих случаях пользователь перенаправляется на фишинговую страницу для кражи учётных данных социальной сети. Этот метод эксплуатирует привычную практику авторизации через OAuth на многих легальных сайтах по поиску работы. В отличие от атаки на Coca-Cola, здесь цель шире - личные аккаунты Facebook*, дающие злоумышленникам доступ к личным сообщениям, связанным сервисам и возможность социальной инженерии в кругу контактов жертвы.
Обе схемы объединяет использование авторитета известного бренда и обещание карьерных возможностей. В условиях, когда миллионы людей активно ищут работу, такая приманка оказывается чрезвычайно эффективной. Потенциальным жертвам эксперты рекомендуют проявлять крайнюю осторожность при получении непрошеных предложений о работе и никогда не вводить учётные данные на страницах, открывшихся по подозрительным ссылкам. Ключевой признак мошенничества - любое требование пройти аутентификацию на странице, связанной с планированием собеседования, что не является нормальной практикой легальных сервисов вроде Calendly.
Рост сложности фишинговых инструментов опережает способность среднего пользователя распознавать угрозы. Современные kits создают практически безупречные интерфейсы, способные обмануть даже внимательного человека. В текущей экономической ситуации, с высоким уровнем безработицы и замедлением темпов найма, пул потенциальных жертв огромен, что стимулирует злоумышленников вкладывать значительные усилия в развитие своих тактик. В подобных условиях наиболее надёжной защитой остаётся фундаментальный принцип: ни один легитимный процесс найма не потребует от соискателя ввода паролей или кодов двухфакторной аутентификации на странице, открытой из письма от незнакомого рекрутера.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
Domains
- hrguxhellito281.onrender.com
