According to the Education Data Initiative, nearly 43 million Americans are saddled with the burden of student loan debt, with an average individual debt burden of $37,000.

In 2022, President Biden announced a three-part plan to cancel thousands of dollars in student debt for low to middle-income borrowers. The effort has faced numerous obstacles, leaving student borrowers confused and uncertain.

Cyber criminals have proven eager to capitalized on the upheaval.

Across the past two weeks, Harmony Email & Collaboration’s cyber security have not only observed a surge in phishing attacks targeting student loan holders but have identified more than 7,500 emails that weaponize a particularly unique obfuscation method.

How it works

Cyber criminals have crafted these student loan phishing emails in such a way as to prevent their detection by natural language processing detectors.

The emails utilize special text features, including Unicode Left-to-Right Mark (LRM) and Soft Hyphens. Both of these are invisible to viewers but are considered legitimate formatting characters.

Instead of picking up on terms like “student loan”, the language analyzers view the text as a sequence of the following characters:

In addition, the attackers have added some non-obfuscated content, which looks extremely believable.

 Example #1 of Phishing Email Text:

“E‎‎n‎‎‎‎r‎‎‎‎i‎‎‎‎‎‎‎‎q‎‎u‎‎‎‎‎‎‎‎e‎‎ ‎‎R‎‎e‎‎‎‎s‎‎e‎‎n‎‎dez‎‎‎‎‎‎,‎‎ I‎‎‎‎‎‎‎‎‎‎t‎‎‎‎‎‎‎‎‘‎‎‎‎s‎‎ ‎‎‎‎Ro‎‎b‎‎‎‎‎‎‎‎er‎‎t ‎‎‎‎‎‎‎‎L‎‎‎‎o‎‎‎‎p‎‎e‎‎z‎‎ ‎‎w‎‎‎‎‎‎‎‎i‎‎‎‎‎‎‎‎th‎‎‎‎‎‎ t‎‎he ‎‎S‎‎tud‎‎e‎‎n‎‎‎‎t‎‎ ‎‎L‎‎‎‎oan‎‎‎‎‎‎‎‎‎‎ ‎‎D‎‎eb‎‎t‎‎‎‎‎‎ ‎‎D‎‎‎‎ep‎‎‎‎a‎‎‎‎rt‎‎m‎‎‎‎e‎‎‎‎n‎‎‎‎‎‎‎‎‎‎t‎‎‎‎‎‎‎‎. ‎‎‎‎‎‎T‎‎‎‎‎‎h‎‎‎‎‎‎i‎‎s‎‎ ‎‎‎‎‎‎‎‎is‎‎ ‎‎‎‎‎‎‎‎r‎‎‎‎‎‎e‎‎g‎‎a‎‎‎‎r‎‎‎‎d‎‎i‎‎‎‎n‎‎g‎‎‎‎ ‎‎yo‎‎‎‎‎‎ur‎‎‎‎ ‎‎‎‎c‎‎‎‎a‎‎s‎‎‎‎e‎‎‎‎‎‎ ‎‎‎‎n‎‎‎‎‎‎‎‎um‎‎‎‎b‎‎‎‎e‎‎‎‎r‎‎ ‎‎5‎‎‎‎‎‎3‎‎‎‎‎‎8‎‎‎‎‎‎9‎‎3‎‎‎‎‎‎‎‎‎‎.‎‎ ‎‎‎‎‎‎W‎‎e‎‎ ‎‎‎‎‎‎‎‎t‎‎‎‎‎‎r‎‎‎‎‎‎ie‎‎d‎‎‎‎ ‎‎‎‎‎‎to ‎‎c‎‎‎‎‎‎‎‎o‎‎‎‎‎‎n‎‎t‎‎a‎‎‎‎‎‎c‎‎t‎‎‎‎ y‎‎ou‎‎ ‎‎‎‎‎‎‎‎a‎‎‎‎‎‎t‎‎‎‎‎‎ y‎‎‎‎ou‎‎‎‎‎‎r ‎‎‎‎h‎‎‎‎‎‎o‎‎me‎‎‎‎ ‎‎‎‎‎‎‎‎‎‎‎‎(43‎‎0‎‎‎‎‎‎‎‎‎‎1‎‎‎‎‎‎ ‎‎‎‎‎‎‎‎‎‎‎‎A‎‎‎‎l‎‎‎‎v‎‎‎‎‎‎‎‎a‎‎‎‎ ‎‎‎‎FL‎‎ ‎‎‎‎33‎‎‎‎9‎‎20)‎‎ ‎‎‎‎‎‎a‎‎nd‎‎ ‎‎‎‎d‎‎id‎‎‎‎ ‎‎‎‎n‎‎‎‎‎‎o‎‎‎‎t‎‎ ‎‎h‎‎e‎‎‎‎a‎‎‎‎‎‎r b‎‎‎‎‎‎‎‎a‎‎ck‎‎‎‎.‎‎ ‎‎Your‎‎ ‎‎S‎‎‎‎t‎‎‎‎‎‎ud‎‎e‎‎‎‎‎‎n‎‎‎‎t‎‎‎‎L‎‎oan‎‎‎‎s ‎‎‎‎‎‎‎‎‎‎hav‎‎e‎‎‎‎ ‎‎‎‎b‎‎ee‎‎‎‎‎‎n‎‎‎‎‎‎‎‎ ‎‎f‎‎‎‎‎‎‎‎la‎‎‎‎‎‎‎‎g‎‎‎‎‎‎g‎‎‎‎e‎‎‎‎‎‎‎‎d‎‎ a‎‎‎‎‎‎‎‎‎‎s ‎‎p‎‎o‎‎s‎‎‎‎s‎‎i‎‎b‎‎‎‎l‎‎y ‎‎e‎‎‎‎‎‎l‎‎‎‎i‎‎‎‎‎‎gi‎‎‎‎bl‎‎‎‎e ‎‎‎‎f‎‎o‎‎‎‎r‎‎‎‎‎‎ fo‎‎‎‎r‎‎g‎‎‎‎‎‎‎‎‎‎i‎‎v‎‎‎‎‎‎e‎‎‎‎n‎‎‎‎‎‎es‎‎‎‎‎‎s ‎‎‎‎‎‎u‎‎‎‎‎‎n‎‎d‎‎‎‎e‎‎‎‎r‎‎‎‎ ‎‎‎‎‎‎t‎‎‎‎‎‎h‎‎e‎‎ ‎‎n‎‎e‎‎‎‎‎‎w‎‎ ‎‎‎‎2‎‎02‎‎4‎‎ ‎‎‎‎‎‎‎‎g‎‎‎‎‎‎u‎‎id‎‎e‎‎‎‎‎‎l‎‎‎‎‎‎‎‎‎‎i‎‎‎‎‎‎nes‎‎.‎‎‎‎ ‎‎‎‎‎‎Y‎‎o‎‎u‎‎r‎‎‎‎‎‎‎‎ f‎‎il‎‎e ‎‎w‎‎‎‎i‎‎‎‎‎‎l‎‎l‎‎‎‎‎‎ ‎‎‎‎r‎‎‎‎e‎‎mai‎‎n‎‎‎‎ ‎‎o‎‎‎‎‎‎pe‎‎n‎‎‎‎ ‎‎‎‎‎‎i‎‎‎‎n ‎‎‎‎m‎‎y‎‎‎‎‎‎ ‎‎s‎‎y‎‎s‎‎‎‎‎‎‎‎t‎‎‎‎e‎‎‎‎m ‎‎f‎‎or‎‎ ‎‎o‎‎‎‎‎‎nl‎‎‎‎‎‎y‎‎‎‎ ‎‎‎‎‎‎o‎‎n‎‎‎‎‎‎e‎‎‎‎ ‎‎‎‎‎‎m‎‎o‎‎re‎‎‎‎‎‎‎‎‎‎ ‎‎‎‎d‎‎‎‎‎‎‎‎‎‎a‎‎‎‎‎‎y‎‎.‎‎‎‎‎‎ P‎‎‎‎l‎‎‎‎‎‎‎‎e‎‎‎‎‎‎a‎‎se‎‎‎‎‎‎ gi‎‎v‎‎e ‎‎m‎‎‎‎‎‎e a ‎‎‎‎c‎‎al‎‎l ‎‎‎‎‎‎o‎‎n‎‎ ‎‎‎‎‎‎M‎‎‎‎o‎‎‎‎n‎‎‎‎‎‎‎‎d‎‎‎‎‎‎‎‎a‎‎y‎‎‎‎ ‎‎a‎‎t‎‎‎‎‎‎…”

Example #2 of Phishing Email Text:

‎‎‎‎”I‎‎‎‎t‎‎‎‎‎‎‎‎s H‎‎a‎‎rr‎‎‎‎io‎‎‎‎t‎‎t ‎‎‎‎K‎‎‎‎‎‎e‎‎‎‎‎‎ef‎‎‎‎e‎‎r‎‎ ‎‎w‎‎‎‎‎‎i‎‎‎‎t‎‎h‎‎‎‎ ‎‎‎‎t‎‎‎‎h‎‎‎‎e‎‎‎‎ ‎‎‎‎S‎‎‎‎tu‎‎‎‎d‎‎e‎‎nt‎‎‎‎ Lo‎‎a‎‎‎‎n‎‎‎‎‎‎‎‎ ‎‎‎‎D‎‎‎‎‎‎‎‎e‎‎b‎‎t D‎‎e‎‎p‎‎‎‎‎‎a‎‎r‎‎‎‎‎‎‎‎‎‎t‎‎m‎‎e‎‎‎‎n‎‎t‎‎. Th‎‎‎‎i‎‎‎‎s‎‎‎‎‎‎‎‎ ‎‎‎‎‎‎is‎‎‎‎ ‎‎‎‎‎‎re‎‎‎‎g‎‎a‎‎‎‎r‎‎‎‎d‎‎‎‎‎‎i‎‎n‎‎g‎‎‎‎ ‎‎‎‎y‎‎o‎‎‎‎ur ‎‎c‎‎ase‎‎‎‎‎‎ ‎‎nu‎‎m‎‎b‎‎e‎‎‎‎r‎‎‎‎ 5‎‎‎‎‎‎51‎‎‎‎‎‎1‎‎4.‎‎‎‎‎‎‎‎ W‎‎‎‎‎‎e‎‎ tr‎‎‎‎ied‎‎ ‎‎t‎‎‎‎‎‎o‎‎‎‎ c‎‎on‎‎‎‎t‎‎‎‎a‎‎‎‎‎‎‎‎c‎‎‎‎t‎‎‎‎‎‎ y‎‎o‎‎u‎‎‎‎ ‎‎a‎‎‎‎‎‎t‎‎ ‎‎yo‎‎u‎‎‎‎r‎‎ h‎‎om‎‎‎‎‎‎e‎‎‎‎‎‎ ‎‎(‎‎8‎‎0‎‎‎‎‎‎‎‎‎‎‎‎0‎‎‎‎‎‎ Ai‎‎‎‎rpo‎‎‎‎‎‎r‎‎‎‎‎‎t‎‎‎‎‎‎ ‎‎B‎‎‎‎‎‎‎‎u‎‎‎‎‎‎‎‎‎‎‎‎‎‎r‎‎l‎‎‎‎ ‎‎‎‎‎‎CA‎‎ ‎‎9‎‎4‎‎‎‎0‎‎1‎‎‎‎0‎‎‎‎‎‎‎‎‎‎)‎‎ ‎‎a‎‎nd‎‎ ‎‎d‎‎‎‎‎‎i‎‎‎‎d‎‎‎‎‎‎‎‎ n‎‎o‎‎t‎‎‎‎‎‎ ‎‎he‎‎ar‎‎ ‎‎ba‎‎‎‎c‎‎‎‎k‎‎‎‎.‎‎‎‎‎‎ ‎‎‎‎Yo‎‎u‎‎r‎‎‎‎ ‎‎S‎‎t‎‎u‎‎‎‎d‎‎e‎‎‎‎n‎‎tL‎‎‎‎oa‎‎n‎‎‎‎‎‎‎‎s‎‎ ‎‎‎‎h‎‎‎‎ave‎‎ ‎‎‎‎b‎‎‎‎‎‎‎‎ee‎‎‎‎n‎‎‎‎‎‎ ‎‎‎‎fl‎‎a‎‎‎‎gg‎‎‎‎e‎‎‎‎d‎‎‎‎‎‎ ‎‎‎‎‎‎‎‎a‎‎‎‎s‎‎‎‎‎‎ ‎‎‎‎‎‎‎‎‎‎‎‎p‎‎‎‎‎‎‎‎o‎‎s‎‎‎‎‎‎sib‎‎l‎‎‎‎y‎‎‎‎‎‎‎‎‎‎‎‎ ‎‎el‎‎‎‎‎‎i‎‎gi‎‎b‎‎le‎‎ f‎‎‎‎‎‎o‎‎‎‎‎‎r‎‎‎‎ ‎‎‎‎f‎‎‎‎o‎‎r‎‎‎‎g‎‎i‎‎v‎‎e‎‎‎‎‎‎‎‎n‎‎‎‎e‎‎‎‎‎‎‎‎‎‎s‎‎‎‎‎‎s ‎‎‎‎u‎‎n‎‎‎‎d‎‎e‎‎r‎‎‎‎‎‎ ‎‎t‎‎‎‎‎‎‎‎he‎‎‎‎ n‎‎e‎‎w‎‎‎‎ ‎‎2‎‎0‎‎2‎‎4‎‎‎‎‎‎‎‎ ‎‎‎‎‎‎‎‎g‎‎‎‎‎‎‎‎u‎‎i‎‎‎‎‎‎d‎‎el‎‎‎‎‎‎i‎‎‎‎‎‎‎‎n‎‎‎‎e‎‎‎‎‎‎‎‎‎‎‎‎s‎‎‎‎.‎‎‎‎ ‎‎Y‎‎o‎‎‎‎u‎‎‎‎r‎‎‎‎‎‎‎‎ ‎‎f‎‎‎‎i‎‎l‎‎‎‎‎‎‎‎e w‎‎‎‎‎‎il‎‎l‎‎‎‎ ‎‎‎‎r‎‎‎‎e‎‎‎‎m‎‎‎‎‎‎‎‎a‎‎‎‎in ‎‎‎‎op‎‎‎‎en‎‎ ‎‎in ‎‎‎‎‎‎my s‎‎y‎‎st‎‎e‎‎m‎‎ ‎‎f‎‎‎‎o‎‎r‎‎‎‎ ‎‎‎‎o‎‎n‎‎‎‎l‎‎‎‎y ‎‎‎‎‎‎‎‎o‎‎‎‎‎‎n‎‎‎‎e‎‎‎‎‎‎‎‎ ‎‎‎‎‎‎‎‎‎‎m‎‎o‎‎‎‎r‎‎‎‎e ‎‎d‎‎‎‎‎‎a‎‎‎‎‎‎y‎‎‎‎.‎‎‎‎‎‎ ‎‎P‎‎l‎‎‎‎‎‎e‎‎‎‎a‎‎‎‎‎‎‎‎s‎‎‎‎‎‎‎‎e‎‎ g‎‎‎‎iv‎‎e‎‎ ‎‎m‎‎‎‎‎‎‎‎e‎‎‎‎ ‎‎a‎‎‎‎‎‎‎‎ ‎‎‎‎c‎‎‎‎a‎‎l‎‎‎‎l‎‎ o‎‎n‎‎‎‎‎‎ ‎‎F‎‎‎‎‎‎r‎‎‎‎i‎‎‎‎d‎‎‎‎‎‎a‎‎‎‎‎‎y‎‎‎‎ ‎‎a‎‎‎‎‎‎t…”

These emails are unsolicited and sound urgent, putting people and businesses at-risk.

Business Risks

These emails, especially those directed to personal inboxes accessed through work laptops, may lead employees to unintentionally disclose sensitive information to cyber criminals. This could result in unauthorized access to company systems, leading to data breaches or compromised business information.

Should an employee attempt to interact with one of these emails on a company device, the employee could also unintentionally expose the company to malware, which could spread throughout a network.

Contending with the aftermath of a cyber incident can result in organization-wide productivity losses, legal issues, and other challenges. Avoid these negative outcomes by applying the insights provided in the following section.

Actionable Insights

The following measures can help protect your business from sneaky student loan related phishing attacks:

1. Employee awareness. Inform employees about student loan email risks and corresponding red flags. For example, any “official” email that requires people to pay up-front or monthly fees for assistance is a scam. Advise employees who may have doubts about student loan-related emails to reach out to their student loan service provider.

2. Email filtering and security tools. Leverage advanced email filtering technologies that can detect and quarantine suspicious emails, including those that use obfuscation techniques like Unicode Left-to-Right Mark (LRM) and Soft Hyphens. Tools like Harmony Email & Collaboration have smart engines that automatically mark common, suspicious email types, including those pertaining to student loan scams. Ensure that updates are regularly made to these tools, as to prevent evolving threats.

3. Multi-factor authentication (MFA). To add an extra layer of security, apply and enforce MFA across business accounts and systems. In addition, encourage employees to apply MFA for personal accounts, especially those related to payments, banking and other forms of financial services.

4. Incident response plan. Create and continuously refine a comprehensive incident response plan. It should include information about how to respond in the event that an employee becomes the victim of a phishing attack. Conduct periodic drills to ensure that all relevant parties are familiar with the responses required.

Keep following our blog for the latest email threat research. For more information about email threat prevention, please reach out to us here.

You may also like