针对Gmail用户的虚假谷歌招聘诈骗

诈骗活动概述

一场复杂的网络钓鱼活动正在针对求职者，攻击者冒充谷歌招聘人员，通过虚假工作机会引诱受害者，进而窃取Gmail登录凭证。

研究人员警告称，该钓鱼活动滥用Salesforce子域名欺骗和Cloudflare保护来显得合法，诱骗受害者交出凭证。

被窃Gmail凭证的潜在风险

该钓鱼操作旨在大规模收集Gmail凭证，可能对个人和企业账户产生连锁影响。

由于Gmail通常作为从Google Workspace到多因素身份验证重置等各种服务的主要身份验证方式，单个被入侵的收件箱可能导致大规模账户接管。

此类钓鱼计划应引起求职者和企业防御者的关注，特别是在防止混合工作环境中的凭证填充攻击和横向移动方面。

诈骗技术细节分析

钓鱼邮件源自伪造的Salesforce子域名，使用诱人的主题行，如"独家谷歌职业机会"。

收件人被提示点击"查看职位"按钮，该按钮重定向到托管在类似apply[.]grecruitingwise[.]com等域名的虚假申请门户，这些域名位于Cloudflare基础设施后面。

乍看之下，该网站似乎是合法的谷歌申请页面。受害者被要求提供个人信息——全名、电话号码和地址——然后通过HTTP POST传输到攻击者的后端域名satoshicommands[.]com。

随后，用户被引导至伪造的谷歌登录表单，提示输入Gmail凭证。

在后台，恶意JavaScript与攻击者服务器建立持久的WebSocket连接，每两秒轮询一次命令。这些指令引导受害者完成额外的验证提示，包括OTP或多因素身份验证，使攻击能够抵御基本的两步保护。一旦凭证被捕获，受害者将被重定向到通用的"处理您的请求"页面，使其 unaware 被入侵。

调查发现了数十个相关的钓鱼域名，包括apply[.]grecruitdigital[.]com、gteamhirehub[.]com和gcandidatespath[.]com。

多个变体也托管在Vercel应用子域名上，突显了攻击者动态搭建基础设施以避免被取缔的能力。Reddit评论和URLScan.io分析表明，此活动已活跃数月，持续有受害者报告。

当前应采取的安全措施

为减轻类似钓鱼活动的影响，企业应通过以下控制措施将技术防御与用户警惕性相结合：

• 强制域名验证：培训员工通过对比官方网站检查发件人域名来验证电子邮件
• 部署电子邮件网关过滤：检测并阻止Salesforce子域名欺骗和可疑网站
• 在DNS级别阻止恶意基础设施：主动阻止已知钓鱼域名并监控Cloudflare托管的相似域名
• 建立钓鱼意识：教育员工识别主题诈骗，包括虚假CAPTCHA和凭证收集门户
• 强制多因素身份验证：在企业Gmail/Google Workspace账户中要求2FA，并推广到个人账户
• 集成威胁情报源：在团队间共享和更新指标（域名、IP、基础设施）以快速中断活动

网络钓鱼攻击的新面貌

此钓鱼活动突显了攻击者如何超越基本电子邮件诱饵，转而利用对知名基础设施提供商的信任。

通过将攻击嵌入Salesforce发起的流量中并使用Cloudflare的保护层，对手增加了绕过过滤器和说服受害者的机会。

网络钓鱼已超越拼写错误和粗糙骗局。如今的活动模仿真实招聘人员，利用受信任平台，并越来越多地利用AI生成令人信服的诱饵。

这意味着传统的反钓鱼培训必须与更强的技术控制、自适应监控和有弹性的身份保护策略相结合。

在线互动中信任的崩溃指向一个解决方案：采用零信任原则。