又是一個畢業季，剛剛走出大學的學生們往往在擇業過程中，面臨迷茫與恐懼，同時此時騙子也會利用畢業生急于找到理想工作的心理，設計不同的招聘詐騙陷阱。我們身邊不乏招聘詐騙的新聞，其實這也是全世界的一個共同需要面臨的難題。甚至于不局限剛剛畢業的學生，而是招聘詐騙防不勝防，我們一起看一下國外在這塊的一些研究。以下內容來自IBM securityintelligence 網站。

招聘詐騙已成為一個大問題。BBB報告稱，僅在美國和加拿大，每年估計就有 1,400 萬人遭遇求職詐騙，每年直接損失達 20 億美元。這些攻擊傷害了個人及其工作的公司以及欺詐者冒充的組織。 

在工作詐騙中，行為者試圖提取敏感信息或實施財務欺詐。與此同時，其他組織利用就業騙局進行后門部署。這些部署支持對系統的遠程訪問，是最近的IBM報告中發現的最常見的攻擊行為類型。

據Mandiant稱，間諜組織 UNC2970 通過使用冒充招聘人員的虛假賬戶來瞄準 LinkedIn 用戶。這些賬戶巧妙地模仿合法用戶的身份。從那里開始，詐騙者會小心地與目標建立融洽的關系，以增加數據提取或網絡破壞的可能性。然后，攻擊者將網絡釣魚有效負載發送到目標的電子郵件或直接通過消息平臺發送。最終目標是部署后門和其他惡意軟件系列。

招聘詐騙中的隱藏威脅

想象一下，某個人正在拼命尋找工作，一家知名公司的代表向您伸出援手。你很興奮，對吧？為了加入該公司，他們會要求您提供信息，例如您的銀行賬戶、社會安全號碼、生日和地址。他們還可能向您發送要下載的文件，例如 W2 表格或職位描述。 

如果該工作機會來自求職詐騙團伙，那么您剛剛放棄了個人數據或下載了惡意軟件。如果您是企業主，并且員工正在尋找工作，那么就遭遇了違規。

許多求職者通過 Indeed、LinkedIn、ZipRecuiter、Flexjobs 和 Craigslist 等網站尋找工作。自由職業者還會在 Upwork、Fiverr 和 Freelancer.com 等網站上尋找工作。然而，這些平臺沒有簡單的方法來識別發布虛假職位列表的滲透者。一些求職者甚至可能會收到一封網絡釣魚電子郵件，其中包含看似合法的虛假工作機會。

（這塊，我們國內的招聘網站，也有各類招聘陷阱。比如筆者個人剛剛去魔都第一年，就被各類打著招聘幌子的培訓機構、保險公司等企業白白浪費了許多精力，在此過程中也打擊了個人的信心。）

美國FBI 關于招聘詐騙的警報和建議

2022 年，FBI發布了有關招聘詐騙的警報。根據該警報，欺詐性招聘信息在熱門就業網站上越來越常見。這些騙局的成功涉及到一些招聘網站缺乏強有力的安全措施。

詐騙者可以發布虛假的招聘廣告，包括在合法的公司頁面上。求職者和被冒充的公司都發現很難區分真實的職位和欺詐性的職位。更糟糕的是，詐騙者還會復制真實的招聘廣告、修改聯系方式并在其他招聘網絡平臺上發布偽造的招聘信息。

欺詐性職位列表通常包含鏈接和聯系信息，這些鏈接和聯系信息會將申請人引導至犯罪分子控制的虛假網站、電子郵件地址和電話號碼。演員們非常小心地讓他們的虛假信息看起來真實，包括使用與真實信息非常相似的徽標、圖像和電子郵件地址。 

在某些情況下，攻擊者可能會竊取公司實際員工的身份，以使他們的帖子看起來更合法。這種欺騙甚至可以繼續發展到欺詐性面試和招聘流程。這使得求職者更難在為時已晚之前發現騙局。

（我國在反詐方面是非常認真的，國家在不同層面都在不斷宣傳反詐知識，特別是國家專門開發了“國家反詐中心”APP，為人民群眾提供反詐防詐預警和各類知識與支撐）

招聘詐騙造成的廣泛損害

對求職者的損害可能有多種形式。首先，個人數據被盜可能導致勒索或身份盜用。就業詐騙者還實施詐騙計劃，例如：

• 有償培訓：受害者被告知入職培訓的一部分包括受害者必須付費的培訓。假雇主承諾報銷，但從未兌現。虛假培訓網站可能是整個騙局的一部分。
• 產品購買：詐騙者告訴新“員工”，他們需要一部新 iPhone、電腦或其他特殊設備才能開始工作。演員們告訴受害者，他們將用第一筆薪水來彌補差額，但這筆錢從未到賬。 
• 商品銷售：受害者被欺騙轉售用偷來的信用卡支付的非法購買的商品。當然，他們永遠不會收到工作報酬。隨后，警察可能會出現在他們的地址，因為這是欺詐調查的線索。

阻止這些招聘騙局的一些方法包括：

• 直接與公司人力資源部門仔細核實工作機會的合法性
• 避開任何需要付費的工作機會
• 如果通過自由職業者平臺聯系您，請保留該平臺上的所有通信，直到被正式雇用或簽約 
• 謹防那些看起來好得令人難以置信的優惠
• 對看似合法的網絡釣魚電子郵件保持警惕。懷疑任何冷接觸。

對企業的威脅 

如前所述，Mandiant 報告稱，威脅組織 UNC2970 使用復雜的虛假 LinkedIn 賬戶來愚弄求職者。一旦 UNC2970 對目標有了信心，攻擊者就會發送模仿職位描述的網絡釣魚負載。有效負載是威脅參與者嵌入宏以執行遠程模板注入的 Microsoft Word 文檔。這使得能夠從遠程命令和控制（C2）執行有效負載。 

該組織的主要目標是部署 PLANKWALK，這是一個用 C++ 編寫的后門，通過 HTTP 進行通信以執行加密的有效負載。從那里，可以部署各種定制的后開發工具。 

其中一個工具是 SIDESHOW，它是一種多線程后門，使用 RC6 加密并支持至少 49 個命令。功能包括任意命令執行（支持 WMI）；通過進程注入執行有效負載；服務、注冊表、計劃任務和防火墻操作；查詢和更新域控制器設置；創建受密碼保護的 ZIP 文件等。 

企業緩解策略

根據 Mandiant 的說法，為企業防范 UNC2970 后門類型威脅的一些建議包括：

• 純云賬戶：利用純云賬戶在 Azure AD 中進行特權訪問。切勿將特權訪問權限分配給來自本地身份提供商（例如 Active Directory）的同步賬戶。
• 強大的多重身份驗證方法：針對非特權用戶的 MFA 增強功能應包括有關 MFA 請求的上下文信息。這可以包括號碼匹配、應用程序名稱和地理位置。對于特權帳戶，身份驗證可能涉及強制執行硬件令牌或 FIDO2 安全密鑰，并且無論位置如何，每次登錄都需要 MFA。
• 特權訪問管理 (PAM)： PAM 解決方案在特定時間段內請求時提供授權訪問。這包括在向高特權角色提供帳戶訪問權限之前的審批流程。

危險的招聘市場

尋找新工作壓力很大，而威脅團體則讓這一切變得更具挑戰性。現在比以往任何時候都更需要意識到這些威脅。從尋找有酬就業的個人到評估風險的企業，現在是提高對招聘詐騙的認識的時候了。

又到畢業季，招聘詐騙是一個國際難題，騙子總愿意開發出新花招，有的或許是老花招。但是，作為剛入社會的小白來說，其實是不具備辨識能力的，這就需要我們處處小心，處處提防。不要輕信陌生人的許諾，要合情合理的預估自己的能力與市場收入，不要被高額的“待遇”蒙蔽了雙眼。

未來可期，進入工作崗位才是人生學習的真正開始。在此，預祝所有畢業的同學們都能找到自己理想的工作。