又是一个毕业季,刚刚走出大学的学生们往往在择业过程中,面临迷茫与恐惧,同时此时骗子也会利用毕业生急于找到理想工作的心理,设计不同的招聘诈骗陷阱。我们身边不乏招聘诈骗的新闻,其实这也是全世界的一个共同需要面临的难题。甚至于不局限刚刚毕业的学生,而是招聘诈骗防不胜防,我们一起看一下国外在这块的一些研究。以下内容来自IBM securityintelligence 网站。
招聘诈骗已成为一个大问题。BBB报告称,仅在美国和加拿大,每年估计就有 1,400 万人遭遇求职诈骗,每年直接损失达 20 亿美元。这些攻击伤害了个人及其工作的公司以及欺诈者冒充的组织。
在工作诈骗中,行为者试图提取敏感信息或实施财务欺诈。与此同时,其他组织利用就业骗局进行后门部署。这些部署支持对系统的远程访问,是最近的IBM报告中发现的最常见的攻击行为类型。
据Mandiant称,间谍组织 UNC2970 通过使用冒充招聘人员的虚假账户来瞄准 LinkedIn 用户。这些账户巧妙地模仿合法用户的身份。从那里开始,诈骗者会小心地与目标建立融洽的关系,以增加数据提取或网络破坏的可能性。然后,攻击者将网络钓鱼有效负载发送到目标的电子邮件或直接通过消息平台发送。最终目标是部署后门和其他恶意软件系列。
招聘诈骗中的隐藏威胁
想象一下,某个人正在拼命寻找工作,一家知名公司的代表向您伸出援手。你很兴奋,对吧?为了加入该公司,他们会要求您提供信息,例如您的银行账户、社会安全号码、生日和地址。他们还可能向您发送要下载的文件,例如 W2 表格或职位描述。
如果该工作机会来自求职诈骗团伙,那么您刚刚放弃了个人数据或下载了恶意软件。如果您是企业主,并且员工正在寻找工作,那么就遭遇了违规。
许多求职者通过 Indeed、LinkedIn、ZipRecuiter、Flexjobs 和 Craigslist 等网站寻找工作。自由职业者还会在 Upwork、Fiverr 和 Freelancer.com 等网站上寻找工作。然而,这些平台没有简单的方法来识别发布虚假职位列表的渗透者。一些求职者甚至可能会收到一封网络钓鱼电子邮件,其中包含看似合法的虚假工作机会。
(这块,我们国内的招聘网站,也有各类招聘陷阱。比如笔者个人刚刚去魔都第一年,就被各类打着招聘幌子的培训机构、保险公司等企业白白浪费了许多精力,在此过程中也打击了个人的信心。)
美国FBI 关于招聘诈骗的警报和建议
2022 年,FBI发布了有关招聘诈骗的警报。根据该警报,欺诈性招聘信息在热门就业网站上越来越常见。这些骗局的成功涉及到一些招聘网站缺乏强有力的安全措施。
诈骗者可以发布虚假的招聘广告,包括在合法的公司页面上。求职者和被冒充的公司都发现很难区分真实的职位和欺诈性的职位。更糟糕的是,诈骗者还会复制真实的招聘广告、修改联系方式并在其他招聘网络平台上发布伪造的招聘信息。
欺诈性职位列表通常包含链接和联系信息,这些链接和联系信息会将申请人引导至犯罪分子控制的虚假网站、电子邮件地址和电话号码。演员们非常小心地让他们的虚假信息看起来真实,包括使用与真实信息非常相似的徽标、图像和电子邮件地址。
在某些情况下,攻击者可能会窃取公司实际员工的身份,以使他们的帖子看起来更合法。这种欺骗甚至可以继续发展到欺诈性面试和招聘流程。这使得求职者更难在为时已晚之前发现骗局。
(我国在反诈方面是非常认真的,国家在不同层面都在不断宣传反诈知识,特别是国家专门开发了“国家反诈中心”APP,为人民群众提供反诈防诈预警和各类知识与支撑)
招聘诈骗造成的广泛损害
对求职者的损害可能有多种形式。首先,个人数据被盗可能导致勒索或身份盗用。就业诈骗者还实施诈骗计划,例如:
- 有偿培训:受害者被告知入职培训的一部分包括受害者必须付费的培训。假雇主承诺报销,但从未兑现。虚假培训网站可能是整个骗局的一部分。
- 产品购买:诈骗者告诉新“员工”,他们需要一部新 iPhone、电脑或其他特殊设备才能开始工作。演员们告诉受害者,他们将用第一笔薪水来弥补差额,但这笔钱从未到账。
- 商品销售:受害者被欺骗转售用偷来的信用卡支付的非法购买的商品。当然,他们永远不会收到工作报酬。随后,警察可能会出现在他们的地址,因为这是欺诈调查的线索。
阻止这些招聘骗局的一些方法包括:
- 直接与公司人力资源部门仔细核实工作机会的合法性
- 避开任何需要付费的工作机会
- 如果通过自由职业者平台联系您,请保留该平台上的所有通信,直到被正式雇用或签约
- 谨防那些看起来好得令人难以置信的优惠
- 对看似合法的网络钓鱼电子邮件保持警惕。怀疑任何冷接触。
对企业的威胁
如前所述,Mandiant 报告称,威胁组织 UNC2970 使用复杂的虚假 LinkedIn 账户来愚弄求职者。一旦 UNC2970 对目标有了信心,攻击者就会发送模仿职位描述的网络钓鱼负载。有效负载是威胁参与者嵌入宏以执行远程模板注入的 Microsoft Word 文档。这使得能够从远程命令和控制(C2)执行有效负载。
该组织的主要目标是部署 PLANKWALK,这是一个用 C++ 编写的后门,通过 HTTP 进行通信以执行加密的有效负载。从那里,可以部署各种定制的后开发工具。
其中一个工具是 SIDESHOW,它是一种多线程后门,使用 RC6 加密并支持至少 49 个命令。功能包括任意命令执行(支持 WMI);通过进程注入执行有效负载;服务、注册表、计划任务和防火墙操作;查询和更新域控制器设置;创建受密码保护的 ZIP 文件等。
企业缓解策略
根据 Mandiant 的说法,为企业防范 UNC2970 后门类型威胁的一些建议包括:
- 纯云账户:利用纯云账户在 Azure AD 中进行特权访问。切勿将特权访问权限分配给来自本地身份提供商(例如 Active Directory)的同步账户。
- 强大的多重身份验证方法:针对非特权用户的 MFA 增强功能应包括有关 MFA 请求的上下文信息。这可以包括号码匹配、应用程序名称和地理位置。对于特权帐户,身份验证可能涉及强制执行硬件令牌或 FIDO2 安全密钥,并且无论位置如何,每次登录都需要 MFA。
- 特权访问管理 (PAM): PAM 解决方案在特定时间段内请求时提供授权访问。这包括在向高特权角色提供帐户访问权限之前的审批流程。
危险的招聘市场
寻找新工作压力很大,而威胁团体则让这一切变得更具挑战性。现在比以往任何时候都更需要意识到这些威胁。从寻找有酬就业的个人到评估风险的企业,现在是提高对招聘诈骗的认识的时候了。
又到毕业季,招聘诈骗是一个国际难题,骗子总愿意开发出新花招,有的或许是老花招。但是,作为刚入社会的小白来说,其实是不具备辨识能力的,这就需要我们处处小心,处处提防。不要轻信陌生人的许诺,要合情合理的预估自己的能力与市场收入,不要被高额的“待遇”蒙蔽了双眼。
未来可期,进入工作岗位才是人生学习的真正开始。在此,预祝所有毕业的同学们都能找到自己理想的工作。