又是一個畢業(yè)季，剛剛走出大學(xué)的學(xué)生們往往在擇業(yè)過程中，面臨迷茫與恐懼，同時此時騙子也會利用畢業(yè)生急于找到理想工作的心理，設(shè)計(jì)不同的招聘詐騙陷阱。我們身邊不乏招聘詐騙的新聞，其實(shí)這也是全世界的一個共同需要面臨的難題。甚至于不局限剛剛畢業(yè)的學(xué)生，而是招聘詐騙防不勝防，我們一起看一下國外在這塊的一些研究。以下內(nèi)容來自IBM securityintelligence 網(wǎng)站。

招聘詐騙已成為一個大問題。BBB報告稱，僅在美國和加拿大，每年估計(jì)就有 1,400 萬人遭遇求職詐騙，每年直接損失達(dá) 20 億美元。這些攻擊傷害了個人及其工作的公司以及欺詐者冒充的組織。 

在工作詐騙中，行為者試圖提取敏感信息或?qū)嵤┴攧?wù)欺詐。與此同時，其他組織利用就業(yè)騙局進(jìn)行后門部署。這些部署支持對系統(tǒng)的遠(yuǎn)程訪問，是最近的IBM報告中發(fā)現(xiàn)的最常見的攻擊行為類型。

據(jù)Mandiant稱，間諜組織 UNC2970 通過使用冒充招聘人員的虛假賬戶來瞄準(zhǔn) LinkedIn 用戶。這些賬戶巧妙地模仿合法用戶的身份。從那里開始，詐騙者會小心地與目標(biāo)建立融洽的關(guān)系，以增加數(shù)據(jù)提取或網(wǎng)絡(luò)破壞的可能性。然后，攻擊者將網(wǎng)絡(luò)釣魚有效負(fù)載發(fā)送到目標(biāo)的電子郵件或直接通過消息平臺發(fā)送。最終目標(biāo)是部署后門和其他惡意軟件系列。

招聘詐騙中的隱藏威脅

想象一下，某個人正在拼命尋找工作，一家知名公司的代表向您伸出援手。你很興奮，對吧？為了加入該公司，他們會要求您提供信息，例如您的銀行賬戶、社會安全號碼、生日和地址。他們還可能向您發(fā)送要下載的文件，例如 W2 表格或職位描述。 

如果該工作機(jī)會來自求職詐騙團(tuán)伙，那么您剛剛放棄了個人數(shù)據(jù)或下載了惡意軟件。如果您是企業(yè)主，并且員工正在尋找工作，那么就遭遇了違規(guī)。

許多求職者通過 Indeed、LinkedIn、ZipRecuiter、Flexjobs 和 Craigslist 等網(wǎng)站尋找工作。自由職業(yè)者還會在 Upwork、Fiverr 和 Freelancer.com 等網(wǎng)站上尋找工作。然而，這些平臺沒有簡單的方法來識別發(fā)布虛假職位列表的滲透者。一些求職者甚至可能會收到一封網(wǎng)絡(luò)釣魚電子郵件，其中包含看似合法的虛假工作機(jī)會。

（這塊，我們國內(nèi)的招聘網(wǎng)站，也有各類招聘陷阱。比如筆者個人剛剛?cè)ツФ嫉谝荒?，就被各類打著招聘幌子的培?xùn)機(jī)構(gòu)、保險公司等企業(yè)白白浪費(fèi)了許多精力，在此過程中也打擊了個人的信心。）

美國FBI 關(guān)于招聘詐騙的警報和建議

2022 年，F(xiàn)BI發(fā)布了有關(guān)招聘詐騙的警報。根據(jù)該警報，欺詐性招聘信息在熱門就業(yè)網(wǎng)站上越來越常見。這些騙局的成功涉及到一些招聘網(wǎng)站缺乏強(qiáng)有力的安全措施。

詐騙者可以發(fā)布虛假的招聘廣告，包括在合法的公司頁面上。求職者和被冒充的公司都發(fā)現(xiàn)很難區(qū)分真實(shí)的職位和欺詐性的職位。更糟糕的是，詐騙者還會復(fù)制真實(shí)的招聘廣告、修改聯(lián)系方式并在其他招聘網(wǎng)絡(luò)平臺上發(fā)布偽造的招聘信息。

欺詐性職位列表通常包含鏈接和聯(lián)系信息，這些鏈接和聯(lián)系信息會將申請人引導(dǎo)至犯罪分子控制的虛假網(wǎng)站、電子郵件地址和電話號碼。演員們非常小心地讓他們的虛假信息看起來真實(shí)，包括使用與真實(shí)信息非常相似的徽標(biāo)、圖像和電子郵件地址。 

在某些情況下，攻擊者可能會竊取公司實(shí)際員工的身份，以使他們的帖子看起來更合法。這種欺騙甚至可以繼續(xù)發(fā)展到欺詐性面試和招聘流程。這使得求職者更難在為時已晚之前發(fā)現(xiàn)騙局。

（我國在反詐方面是非常認(rèn)真的，國家在不同層面都在不斷宣傳反詐知識，特別是國家專門開發(fā)了“國家反詐中心”APP，為人民群眾提供反詐防詐預(yù)警和各類知識與支撐）

招聘詐騙造成的廣泛損害

對求職者的損害可能有多種形式。首先，個人數(shù)據(jù)被盜可能導(dǎo)致勒索或身份盜用。就業(yè)詐騙者還實(shí)施詐騙計(jì)劃，例如：

• 有償培訓(xùn)：受害者被告知入職培訓(xùn)的一部分包括受害者必須付費(fèi)的培訓(xùn)。假雇主承諾報銷，但從未兌現(xiàn)。虛假培訓(xùn)網(wǎng)站可能是整個騙局的一部分。
• 產(chǎn)品購買：詐騙者告訴新“員工”，他們需要一部新 iPhone、電腦或其他特殊設(shè)備才能開始工作。演員們告訴受害者，他們將用第一筆薪水來彌補(bǔ)差額，但這筆錢從未到賬。 
• 商品銷售：受害者被欺騙轉(zhuǎn)售用偷來的信用卡支付的非法購買的商品。當(dāng)然，他們永遠(yuǎn)不會收到工作報酬。隨后，警察可能會出現(xiàn)在他們的地址，因?yàn)檫@是欺詐調(diào)查的線索。

阻止這些招聘騙局的一些方法包括：

• 直接與公司人力資源部門仔細(xì)核實(shí)工作機(jī)會的合法性
• 避開任何需要付費(fèi)的工作機(jī)會
• 如果通過自由職業(yè)者平臺聯(lián)系您，請保留該平臺上的所有通信，直到被正式雇用或簽約 
• 謹(jǐn)防那些看起來好得令人難以置信的優(yōu)惠
• 對看似合法的網(wǎng)絡(luò)釣魚電子郵件保持警惕。懷疑任何冷接觸。

對企業(yè)的威脅 

如前所述，Mandiant 報告稱，威脅組織 UNC2970 使用復(fù)雜的虛假 LinkedIn 賬戶來愚弄求職者。一旦 UNC2970 對目標(biāo)有了信心，攻擊者就會發(fā)送模仿職位描述的網(wǎng)絡(luò)釣魚負(fù)載。有效負(fù)載是威脅參與者嵌入宏以執(zhí)行遠(yuǎn)程模板注入的 Microsoft Word 文檔。這使得能夠從遠(yuǎn)程命令和控制（C2）執(zhí)行有效負(fù)載。 

該組織的主要目標(biāo)是部署 PLANKWALK，這是一個用 C++ 編寫的后門，通過 HTTP 進(jìn)行通信以執(zhí)行加密的有效負(fù)載。從那里，可以部署各種定制的后開發(fā)工具。 

其中一個工具是 SIDESHOW，它是一種多線程后門，使用 RC6 加密并支持至少 49 個命令。功能包括任意命令執(zhí)行（支持 WMI）；通過進(jìn)程注入執(zhí)行有效負(fù)載；服務(wù)、注冊表、計(jì)劃任務(wù)和防火墻操作；查詢和更新域控制器設(shè)置；創(chuàng)建受密碼保護(hù)的 ZIP 文件等。 

企業(yè)緩解策略

根據(jù) Mandiant 的說法，為企業(yè)防范 UNC2970 后門類型威脅的一些建議包括：

• 純云賬戶：利用純云賬戶在 Azure AD 中進(jìn)行特權(quán)訪問。切勿將特權(quán)訪問權(quán)限分配給來自本地身份提供商（例如 Active Directory）的同步賬戶。
• 強(qiáng)大的多重身份驗(yàn)證方法：針對非特權(quán)用戶的 MFA 增強(qiáng)功能應(yīng)包括有關(guān) MFA 請求的上下文信息。這可以包括號碼匹配、應(yīng)用程序名稱和地理位置。對于特權(quán)帳戶，身份驗(yàn)證可能涉及強(qiáng)制執(zhí)行硬件令牌或 FIDO2 安全密鑰，并且無論位置如何，每次登錄都需要 MFA。
• 特權(quán)訪問管理 (PAM)： PAM 解決方案在特定時間段內(nèi)請求時提供授權(quán)訪問。這包括在向高特權(quán)角色提供帳戶訪問權(quán)限之前的審批流程。

危險的招聘市場

尋找新工作壓力很大，而威脅團(tuán)體則讓這一切變得更具挑戰(zhàn)性。現(xiàn)在比以往任何時候都更需要意識到這些威脅。從尋找有酬就業(yè)的個人到評估風(fēng)險的企業(yè)，現(xiàn)在是提高對招聘詐騙的認(rèn)識的時候了。

又到畢業(yè)季，招聘詐騙是一個國際難題，騙子總愿意開發(fā)出新花招，有的或許是老花招。但是，作為剛?cè)肷鐣男“讈碚f，其實(shí)是不具備辨識能力的，這就需要我們處處小心，處處提防。不要輕信陌生人的許諾，要合情合理的預(yù)估自己的能力與市場收入，不要被高額的“待遇”蒙蔽了雙眼。

未來可期，進(jìn)入工作崗位才是人生學(xué)習(xí)的真正開始。在此，預(yù)祝所有畢業(yè)的同學(xué)們都能找到自己理想的工作。