引言

想象一下这个场景：你在社交媒体上漫无目的地浏览——就像现在大家常做的那样——突然看到一则来自知名品牌的广告，招聘轻松线上工作的兼职人员；参与一些调查、给产品打分、给帖子点赞。很简单的事情。报酬诱人，“客户评价”令人信服，标志看起来也很正规。你心想，“聊一下也无妨，你安全地待在家里，而且零工经济现在也是常态了”。

你错了。

“线上工作”的热潮并非始于需求——而是始于新冠疫情。当远程工作突然成为常态时，整个就业市场一夜之间翻转。根据 Rcademy 的一份报告，疫情后中东地区的远程工作采用率大幅飙升，超过 60% 的员工更喜欢全职远程工作。随之而来的一个明显副作用是：骗子们抓住了这一趋势带来的新机会。

如今，Facebook、Instagram、TikTok 甚至 Telegram 上都充斥着设计专业的广告，承诺“用手机快速赚钱”。信息总是千篇一律：工作轻松、赚钱快、无需经验。但在这光鲜亮丽的外表背后，是一个结构严密、组织有序的诈骗团伙，专注于一件事——收集个人数据和金钱。

主要发现

• Group-IB 的研究人员观察到，在 MENA 地区，社交媒体和私人通讯平台上存在由高度协调的骗子团伙运营的有组织的“轻松线上赚钱工作”骗局网络。
• 虚假的工作广告经常冒充知名公司、银行和官方机构，以获取受害者的信任。
• 该骗局在设计上故意宽泛，旨在触及最广泛的受害群体，涵盖所有年龄段和背景的人。
• 大多数广告针对埃及、海湾国家成员国、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦等 MENA 国家，使用当地方言、货币和熟悉的语言，以显得真实。
• 社交媒体平台被用于以低成本投放大规模广告。一旦受害者上钩，对话就会转移到私人通讯渠道，实际的金融欺诈和数据窃取在此发生。

Group-IB 威胁情报门户 Group-IB 客户可以访问我们的威胁情报门户，获取更多关于线上工作骗局中骗子所用战术和技巧的信息。

主要目标地域和行业

这些骗局既非随机，也非通用，它们是精心策划并为其目标受害群体设计的。Group-IB 对该活动的分析显示，大多数此类欺诈性工作广告都集中在 MENA 地区，电子商务和零售品牌是被仿冒最多的。

图 1. 线上工作骗局在 MENA 地区的主要目标地域。 图 2. 电子商务平台是被仿冒最多的。

轻松赚钱的承诺

1. 诱饵：付出低努力但具有高收入潜力的线上工作

骗子在 Facebook、Instagram 和 TikTok 等社交媒体平台上宣传虚假广告，声称完成简单任务即可赚取 10 到 170 美元。信息总是相同：付出最少努力，快速赚钱。为了显得合法，他们经常滥用政府部门或知名线上市场的名称。

2. 目标：所有人

目标设定故意宽泛，从青少年到老年人；该广告旨在吸引任何人。这些“工作”不需要任何经验，易于执行，并且仅使用智能手机即可远程完成。Group-IB 研究人员观察到这些广告在多个国家传播，并且经常使用本地化的标志、货币或部门名称，使骗局看起来与每个地区相关。这种广泛的目标设定使骗子能够以最小的努力触及数千名潜在受害者。

3. 活动：此骗局与其他欺诈有何不同？

与规模较小的一次性骗局不同，这些活动通常由有组织的团伙以协调、结构化的方式运营。他们管理大量广告，针对不同市场本地化内容，并使用一致的信息进行快速扩展。这种组织水平使得该骗局比典型的个人欺诈尝试更具系统性和更难追踪。

图 3. 在 MENA 地区观察到的虚假线上工作骗局流程图。

社交媒体：攻击者首选的猎场

社交平台是骗子完美的猎场。他们可以以低廉的成本创建看起来专业的广告，大规模投放，并精确瞄准易受伤害的人群。

为了显得合法，骗子冒充已成立的公司、知名品牌甚至政府部门。通过盗用受信任实体的声誉，他们让自己的招聘广告看起来像官方的招聘活动。这种冒充不仅仅是一种营销技巧——它是一种经过算计的手段，旨在绕过怀疑并利用对公认机构的信任。

广告通常设计专业，包含精美的品牌标识、虚假的公司标志和捏造的客户评价。社交媒体平台被用来通过短视频或虚假收益的截图传播“成功故事”。

一旦引起兴趣，受害者就会被引导与骗子直接联系——通常是通过通讯应用——真正的数据窃取由此开始。

虚假工作广告示例

图 4a. 在此活动中观察到的示例广告及英文翻译。 图 4b. 在此活动中观察到的示例广告及英文翻译。 图 4c. 在此活动中观察到的示例广告及英文翻译。

本研究中收集到的广告遵循一个可预测的模式。它们通常声称提供诸如以下福利：

• “在家工作，无需经验”
• “使用手机轻松日赚 100 美元以上”
• “灵活的工作时间和即时批准”
• “执行简单任务，如点赞帖子、数据录入或调查”

广告通常使用阿拉伯语、当地货币和针对文化定制的信息进行本地化。例如，在埃及，帖子强调以埃及镑计的收入，而在海湾国家则突出 GCC 国家货币。使用当地方言使骗局显得更加令人信服。

一旦用户点击，广告通常会将其重定向到 WhatsApp 或 Telegram 群组，或是一个冒充招聘门户网站的虚假网站。从那里，“招聘人员”会要求提供个人详细信息，例如：

• 你从哪里看到这个广告，并提供广告的截图。
• 银行账号或移动钱包详情
• 电话号码和电子邮件

骗子经常将这些请求称为“工作申请”或“入职流程”来为其正名。实际上，他们正在建立一个可用于欺诈、钓鱼或金融盗窃的可利用身份数据库。如在该骗局中所发现的，每个国家都有一个 Telegram 频道和负责验证流程并添加人员的人。

骗局详细分解

1. 受害者会在社交媒体上找到一个标题为“每日收入可观”的线上工作广告。这些工作针对任何寻求增加收入的人，因为广告承诺的收益高于每个国家的平均工资。提供的金额始终高于当地工资范围，对潜在受害者更具吸引力。广告还声称每项任务只需 5-10 分钟即可完成，并且可以按照自己的节奏进行。

   图 5. 网络犯罪分子在社交媒体渠道上投放广告以实现最广泛的覆盖。

2. 广告将转发到骗子运营的虚假网站，网站上包含社交工程暗示，例如虚假的客户评价或有限的职位名额。受害者被引导通过 WhatsApp 联系骗子以开始工作。一旦建立联系，“招聘人员”将要求提供个人信息，包括全名、手机号码和银行凭证，作为招聘流程的一部分。

   图 6. 点击社交媒体广告会将受害者引导至犯罪控制的网站和私人通讯群组。

3. 在这个阶段，骗子会探测受害者的兴趣，以确定他们是否合适的目标并准备加入“公司”。他们会验证选定的信息，阐明工作性质，并描述“工作”，承诺以非常简单的任务获得高收入。为了降低怀疑并营造随意的氛围，他们可能会问一些一般性问题，例如受害者是如何看到广告的。

   图 7. 通过 WhatsApp 与骗子的初步联系。

4. 骗子随后会将受害者重定向到另一个虚假网站进行注册，该网站应该是带有为个人定制的任务和工作的实际工作门户。

   图 8. 虚假任务注册门户。

5. 在网站上注册并确认此信息后，“招聘人员”会将受害者引导给第二个骗子，即“经理”，但这次是在 Telegram 上，以开始诈骗工作流程。由于招聘人员的角色仅限于验证新受害者，他们在此阶段的参与就此结束。

   图 9. 骗局的“招聘”部分完成，受害者被引导至 Telegram 进行“工作”部分。

6. 加入 Telegram 后，骗子将为受害者提供特定的 Telegram 频道，以便参与可用的工作。Telegram 上的骗子是负责管理受害者工作并收取他们金钱的人。

   图 10. “经理”骗子将引导受害者加入特定的工作频道。

7. 骗子将这项工作推销为为知名品牌做的简单营销工作。然而，受害者必须首先将钱存入他们之前在虚假门户上设置的交易账户，才能开始每项工作。受害者执行小任务，每项任务获得分成——大约 10–20%。这被包装成快速、轻松的钱，原始投资回报丰厚。

   图 11. 受害者被诱骗存款以开始任务，承诺高额回报和虚假的成功故事。

8. 骗子实际上会为初始任务支付一小笔报酬以建立信任。然后他们会敦促受害者存入更大金额，以承担承诺更高回报的更大任务。当受害者确实存入大笔资金时，支付停止，频道和账户消失，受害者发现自己被屏蔽，沟通和追踪几乎变得不可能。

结论

虚假线上工作广告在社交媒体平台上的兴起表明，这种骗局已经变得多么有组织和快速增长。Group-IB 研究人员已确定 2025 年针对 MENA 国家的广告超过 1,500 个，但实际规模可能要大得多。这些广告在语言、视觉和承诺方面具有清晰的模式，经常使用相同的诱人关键词组，如“每日收入”、“简单任务”和“用手机工作”。它们出现在 Facebook、Instagram、TikTok 和 Telegram 上，骗子利用这些平台能够根据地区和语言定位用户的功能。

在整个调查过程中，发现了多个与该骗局相关的钓鱼网站，每个都遵循相同的结构：一个虚假的登录页面、复制的品牌标识，以及一个将受害者推向 WhatsApp 或 Telegram 的工作流程。这些重复出现的元素有助于形成一组指标，可用于在未来跟踪和检测类似网站。

品牌仿冒也遵循清晰的模式。骗子反复使用知名的本地和全球公司，特别是银行、在线市场、政府部门和服务品牌的标志。研究清楚地展示了骗子如何依赖受信任的机构使其虚假广告显得可信。

骗子本身也表现出可识别的行为模式。他们的 WhatsApp 和 Telegram 账户遵循类似的命名风格，重复使用个人资料照片，并且在与受害者交谈时依赖相同的脚本——从最初的“验证”问题到推动进行虚假任务和存款。这些重复的标识符，包括电话号码、用户名、个人资料图片和管理员 ID，可以帮助扩展归因并映射不同诈骗团伙之间的联系。

虚假线上工作广告不仅仅是一种滋扰——它们是一项针对多个国家弱势群体的复杂欺诈活动。它们利用信任、经济需求以及社交媒体的开放广告环境来收集个人数据和金钱。

总的来说，这种骗局不是一组孤立的广告。它是一种协调的、多步骤的操作，具有共享的基础设施、重复的钓鱼方法和一致的行为模式。通过结合广告关键词、平台分布、品牌仿冒、网站指标和骗子资料，防御者可以更好地跟踪、阻止和瓦解跨地区的此类活动。

建议

对个人而言：

• 避免与未经请求且未经核实的招聘人员分享敏感文件。没有一家合法的公司或部门会在甚至没有提供面试机会之前就要求提供身份证明文件、银行详情或存款。
• 始终质疑那些承诺付出极少或无需努力即可快速获得高收入的不切实际的广告。
• 通过官方网站或 LinkedIn 等信誉良好的招聘门户核实公司的存在或任何招聘广告。
• 直接向社交媒体平台举报可疑广告。

对企业和平台而言：

• 加强广告验证流程，尤其是“工作”类别。
• 监控公司品牌或部门被仿冒的情况。
• 发起多语言宣传活动，警告弱势群体。
• 使用诸如 Group-IB 的数字风险保护服务之类的解决方案，帮助监控整个数字领域中任何非法使用您公司商标、标志、内容和设计语言的情况。

常见问题解答

什么是线上工作骗局？ 线上工作骗局是针对工作的欺诈性广告，通常以通过执行简单的线上任务（如点赞帖子、参与调查或发表评论）获得丰厚佣金和现金支付的轻松赚钱承诺来诱骗受害者。

为什么线上工作骗局增长如此迅速？ 疫情后零工经济和远程工作的兴起，加上社交媒体的普及，使得骗子能够轻松地开展大规模活动，广泛针对多个地区、人群和年龄组。由于虚假账户和个人资料在此类平台上可以轻松创建和删除，它们也更难追踪。

骗子常用的技巧有哪些？

• 在社交媒体平台上发布冒充知名品牌、服务或政府部门的虚假工作广告，以利用品牌信任。
• 创建虚假的工作申请和账户管理网站以收集个人和银行信息。
• 使用 WhatsApp 和 Telegram 进行直接沟通，运用社会工程学手段骗取受害者的钱财。

受害者会受到怎样的影响？

• 个人和银行信息的丢失，这些信息可能被网络犯罪分子用于其他骗局或在暗网上出售。
• 直接经济损失，因为受害者被诱骗向骗子付款以获得佣金更高的更大任务。

Group-IB 欺诈矩阵 （图表位置指示）