找上你的是獵人頭公司,還是….如何看穿商務社群網站上的詐騙?

趨勢科技 TrendMicro LinkedIn, Viadeo, 社群(交)網路

全球擁有 3 億 6,400 萬活躍用戶的 LinkedIn 已是今日最受歡迎的商務社群網站服務。另一個法國的類似服務 Viadeo 也有 6,500 萬用戶,並且穩定成長中。有這麼多人將自己的履歷發布在網路上,自然會吸引歹徒的覬覦,因為這些資料真是不可多得的寶藏。一旦這些資料落入不肖分子手中,您和貴公司就很可能陷入危險當中。

在此,我們提供了一些實用的技巧來協助您判斷是否有人試圖誘騙您提供一些敏感的公司資訊。

HR

誰會想在專業社群網路上騙人?

有三種人會這麼做:

  1. 駭客 / APT攻擊

這類攻擊者會盡可能蒐集有關您的任何資訊,以便滲透您的公司網路。他們會使用社交工程(social engineering )來引誘您加他們好友,也會透過電子郵件讓您點選惡意附件檔案或連結,兩者都會讓您電腦感染惡意程式。這些惡意程式一旦進入您的系統,就等於在您的系統開了後門,駭客可以自由進出您的系統和公司網路。接下來,他們幾乎就能為所欲為,包括:竊取公司機密、破壞資訊基礎架構以及其他等等。

  1. 競爭對手

您的競爭對手有可能利用假的身分或公司名稱在社群網路上和您接觸,甚至和您成為真正的好友,慢慢取得您的信任。一旦獲得您的信任,他們就會開始向您探聽一些想要的資訊,或者要您透露工作上的內容或公司的內部訊息。有了這些資訊,競爭對手就能超越您的公司。

  1. 積極的獵人頭公司 / 人力資源公司

他們會盡可能蒐集更多人才資訊,他們需要這些資訊來建立資料庫,詳細記錄有關貴公司及員工的資訊,以及各員工負責的專案,他們利用這些資料庫來幫助客戶尋找合適的挖角對象。

儘管他們的動機不同,但目標是一致的,那就是透過接觸來蒐集情報。一般來說,他們會先發一則交友邀請給您。他們會假裝是您的同事、客戶或是老闆。若您接受,他們就會看到您的完整個人檔案以及您的聯絡人。他們會想加您好友,或者加入您的私人社團當中,盡可能知道有關貴公司的資訊。

真實案例

有一個同事收到一波 Viadeo 社群網站(全球最大的非英語國家職業社交網站)的交友邀請,有該名人士假裝曾在同一集團澳洲分公司擔任 18 年的 IT 主管。其社群網站上的個人檔案資料相當稀少,而且只有四個聯絡人。

他的個人檔案記載他曾在「havard, new yord」(紐約哈佛) 就讀,但顯然是寫錯字,正確的寫法應該是「Harvard, New York」,光這一點就足以讓人起疑。我們很快地透過員工名錄來查證並確認根本沒有這號人物。我們又進一步查了過去的人事檔案確認,這名人士也不是我們過去的員工。

很顯然的,這是有人試圖騙取該集團的聯絡人及資訊。

如何判斷可疑的社群網路帳號?

當您在社群網站上和任何人接觸或接受交友邀請之前,請務必先問以下5個問題:

  1. 其個人檔案的資訊是否完整?專業社群網路的主要用途是建立自己的人脈和增加自己獲得企業人力資源部門或獵人頭公司賞識的機會。所以,有誰會在這類社群網路上開一個帳號,然後只放上姓名和任職企業,卻沒有其他個人背景和當前的動態?
  2. 其個人檔案當中是否含有任何錯字或文法錯誤?LinkedIn 或 Viadeo 這類社群網站上的個人檔案就像一份履歷表一樣。它不但要提供詳細的個人介紹,還有有良好的撰寫品質,不能有任何錯字或文法錯誤,一份錯字連篇的個人檔案,任何老闆不會多看一眼。
  3. 其個人檔案當中的聯絡人是否稀少?一般來說,詐騙集團會建立一些臨時的帳號來詐騙企業或個人,因此這些帳號不需要有很多聯絡人。不過,現實生活上也是有的人聯絡人不多,因此,這一點應該當成其他可疑跡象的輔助指標。
  4. 其個人檔案當中的個人背景是否與其職業不符?當然有人會因為轉換跑道的關係,而使得個人檔案資訊出現大幅變動,但一份經常隨時變動的個人檔案很可能就是歹徒設下的誘餌。當詐騙集團想要針對某類企業或某個垂直產業時,他們就會在其中加入新的相關工作經歷。所以,您會發現這個人幾個月前還是個人力資源總監,過沒多久就變成行銷專家,然後又換成軟體工程師…等等。
  5. 其個人檔案當中是否有可疑活動?某些專業社群網站可以讓您查看帳號過去的活動記錄。若一個新冒出的帳號一下子就有許多來自不相干垂直領域的聯絡人,或者參加了一大堆看似毫不相關的社團,那就相當可疑。

當發現可疑跡象時該怎麼做?

以下是一些幾個簡單的動作:

  • 仔細閱讀個人檔案內容:試著尋找一些異常的情況和疑點。
  • 交叉比對各種資訊:若該名人士宣稱是您的同事,那就直接查證是否有這號人物。
  • 向本人查證:當您確認公司確實有這號人物之後,打個電話給該名同事,或者發一封電子郵件來確認他是否發出交友邀請。詢問一下又沒什麼損失,但這很卻可以防範小人,搞不好有人抄襲了您同事的個人檔案,或者您同事的帳號被人盜用也說不定。若交友邀請是來自其他公司,您還是可以試著透過您身邊在該公司任職的朋友幫您打聽看看。
  • 避免下載或點選可疑檔案或連結:

在一切查證之後,若您還是不確定是否該接受,那就最好不要。就算不接受也沒什麼大不了的,所以,還是保險一點以免後悔。

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

相關文章:

專挑名人IG ( Instagram )帳號的駭客集團現身
還在用「Facebook 登入」各種網站和應用程式?
《資安漫畫》拍照上傳社群網站,路人甲一起入鏡,沒關係嗎?
駭客利用 Twitter 發送 Meme迷因梗圖,藉圖像隱碼術( Steganography )躲避偵測