Фишинговые сайты найма маскируются под FIFA и бренды

Недавние исследования выявили серию phishing campaigns, в которых злоумышленники используют поддельные страницы найма и известные бренды, включая FIFA, чтобы обманом получить учетные данные у людей, ищущих работу. По данным анализа, схема быстро адаптируется: меняются лишь название бренда, логотип и детали оформления, тогда как базовый механизм кражи данных остается прежним.

Как работает схема

Одним из наиболее заметных примеров стал поддельный сайт hxxps://fifahiring.com, который выдает себя за FIFA и предлагает соискателям пройти якобы рекрутинговую процедуру. На первом этапе страница побуждает пользователей назначить звонок с мнимыми recruiters. Затем, когда человек пытается зарегистрироваться с личным адресом Gmail, сайт запрашивает corporate email address, фактически нацеливаясь на более ценные корпоративные учетные записи.

Такая последовательность шагов выглядит убедительно для соискателя, но в действительности служит одной цели — собрать login credentials и получить доступ к потенциально значимым корпоративным аккаунтам.

Схема не ограничивается FIFA

Исследователи отмечают, что мошенническая тактика вербовки выходит далеко за рамки одного бренда. Появились и другие варианты, оформленные под разные компании и сервисы.

• Страница, стилизованная под Hays, нацеливалась на учетные данные для входа в Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta).
• Другие поддельные ресурсы использовали похожие шаблоны и могли быстро менять внешний вид под новый бренд.
• Анализ показал, что мошеннические сайты имеют схожий базовый code, что указывает на единую, хорошо масштабируемую схему.

Именно эта адаптивность делает кампанию опасной: злоумышленникам достаточно заменить несколько визуальных элементов, чтобы запустить новую волну фишинга под другим именем.

Почему FIFA — удобный “крючок”

Брендинг FIFA особенно эффективен для мошенников из-за его узнаваемости и связи с глобальными событиями. Это повышает доверие пользователя и снижает вероятность того, что он заподозрит подвох. Однако, как подчеркивает анализ, сама логика атаки остается неизменной: мошенники используют один и тот же framework, предназначенный для сбора учетных данных.

«Мошенники могут быстро менять logo, names of recruiters и authentication providers, сохраняя тот же framework для сбора учетных данных пользователей».

На что должны обращать внимание соискатели

Эксперты настаивают: перед вводом любых учетных данных на сайтах, связанных с трудоустройством, необходимо проявлять максимальную осторожность. Главная задача — проверить домен на легитимность.

• Обращать внимание на необычные домены, особенно если они содержат слова вроде career или portal.
• Проверять, действительно ли сайт принадлежит заявленному бренду.
• Не вводить личные или корпоративные данные без уверенности в подлинности ресурса.
• Использовать software security с функциями защиты от web threats и phishing.

Отдельную угрозу представляет то, что такие домены часто существуют недолго. Это затрудняет их обнаружение, блокировку и ручную проверку. Поэтому автоматизированная защита особенно важна: она способна заранее блокировать известные malicious pages и снижать риск компрометации учетных данных.

Итог

Исследование показывает, что фишинговые схемы в сфере трудоустройства становятся все более гибкими и профессионально оформленными. Поддельные страницы найма, использующие узнаваемые бренды, продолжают оставаться эффективным инструментом социальной инженерии. Для соискателей ключевым правилом остается простая, но критически важная мера: проверять каждый domain и не доверять привлекательному оформлению без подтверждения его подлинности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.