Bold Business 是一家正派經營的媒體與科技服務公司。然而在最近卻有一名剛畢業的大學新鮮人在 TikTok 上傳了一段影片分享她的經歷指出被 LinkedIn 上一個假冒該公司的徵才陷阱詐騙了 2,400 美元。請繼續往下閱讀來了解如何避開求職上的陷阱。
在 TikTok 影片中,Jenn (TikTok 帳號:@lolleavemyspamalone) 強忍著淚水訴說這段遠距上班詐騙的發生經過。
作者:趨勢科技技術長CTO Raimund Genes
報導指出2012年的LinkedIn資料外洩事件和原本的認知有很大的差距:並非如當時所說的是650萬筆紀錄遭竊,事實上,有1.67億使用者受到影響。其中有1.17億筆的資料包含使用者的電子郵件地址和密碼。
直到這些大量的外洩資料在黑暗網路社群上進行販賣,才讓所有人意識到這變得更加嚴重的問題。LinkedIn發表一篇文章確認了此外洩資料的真實性,並且要求受影響的使用者重設密碼。
我也是受影響的人之一,所以我研究了一下。如果我選擇Raimund_Genes作為密碼,系統會出現綠色並且說是可行的密碼。當我嘗試使用Linkedin_Raimund,它也會被標示為強密碼。但這些都不是我所認為的強密碼。你發生了受人注目的資料外洩事件,應該要利用這個機會來重新教育使用者來使用強密碼。
顯示或取得我的瀏覽器、作業系統和位置資訊可能也並非是個好主意:
除了「可笑」的密碼等級外,還有一些其他值得關注的地方。目前還不清楚為何會誤判資料外洩的規模大小,是什麼導致大家認為這起2012年的事件比真正的規模要小的多。LinkedIn的使用者有權知道發生了什麼事 – LinkedIn知道什麼,他們什麼時候知道的?到底有多少使用者受到影響,有哪些資料處在危險中? 繼續閱讀
很多人都想,這也是為什麼許多社群媒體資料最後都會被駭。
最近的報導指出 Apple 和 Google 將一款熱門應用程式從應用程式商店下架,因為發現其實際上是惡意的。iOS上的「Who’s Viewed Your Profile – InstaAgent(誰在看你的個人檔案)」和Google Play上的「Who View Me – InstaAgent(誰在看我)」是號稱會秀出誰在看使用者Instagram帳號的追蹤應用程式,它們因為被發現會竊取個人憑證並送到遠端伺服器而被下架。
貧果
德國研發人員David Layer-Reiss將此發現放到Twitter上並說:「誰在看你的個人檔案 #Instaagent會將你的Instagram使用者名稱和密碼送至未知伺服器!」被取得的資料會被用來劫持帳號並試圖在未經使用者允許下上傳圖片。
該應用程式所宣稱的功能引起使用者的興趣,在其下架前帶來近百萬次的下載量,讓它能夠高踞英國免費應用程式排行榜四天。它也在美國、加拿大和德國登上熱門下載排行榜。Layer-Reiss進一步說,「我得說Who’s Viewed Your Profile – InstaAgent(誰在看你的個人檔案)是第一個在iOS App Store被下載超過五十萬次的惡意軟體」。而 Android版本的應用程式也有至少10萬次的下載 – 這數字很驚人,因為其只有低到2.2的評等。 繼續閱讀
全球擁有 3 億 6,400 萬活躍用戶的 LinkedIn 已是今日最受歡迎的商務社群網站服務。另一個法國的類似服務 Viadeo 也有 6,500 萬用戶,並且穩定成長中。有這麼多人將自己的履歷發布在網路上,自然會吸引歹徒的覬覦,因為這些資料真是不可多得的寶藏。一旦這些資料落入不肖分子手中,您和貴公司就很可能陷入危險當中。
在此,我們提供了一些實用的技巧來協助您判斷是否有人試圖誘騙您提供一些敏感的公司資訊。
誰會想在專業社群網路上騙人?
有三種人會這麼做:
這類攻擊者會盡可能蒐集有關您的任何資訊,以便滲透您的公司網路。他們會使用社交工程(social engineering )來引誘您加他們好友,也會透過電子郵件讓您點選惡意附件檔案或連結,兩者都會讓您電腦感染惡意程式。這些惡意程式一旦進入您的系統,就等於在您的系統開了後門,駭客可以自由進出您的系統和公司網路。接下來,他們幾乎就能為所欲為,包括:竊取公司機密、破壞資訊基礎架構以及其他等等。
您的競爭對手有可能利用假的身分或公司名稱在社群網路上和您接觸,甚至和您成為真正的好友,慢慢取得您的信任。一旦獲得您的信任,他們就會開始向您探聽一些想要的資訊,或者要您透露工作上的內容或公司的內部訊息。有了這些資訊,競爭對手就能超越您的公司。
他們會盡可能蒐集更多人才資訊,他們需要這些資訊來建立資料庫,詳細記錄有關貴公司及員工的資訊,以及各員工負責的專案,他們利用這些資料庫來幫助客戶尋找合適的挖角對象。
儘管他們的動機不同,但目標是一致的,那就是透過接觸來蒐集情報。一般來說,他們會先發一則交友邀請給您。他們會假裝是您的同事、客戶或是老闆。若您接受,他們就會看到您的完整個人檔案以及您的聯絡人。他們會想加您好友,或者加入您的私人社團當中,盡可能知道有關貴公司的資訊。
真實案例
有一個同事收到一波 Viadeo 社群網站(全球最大的非英語國家職業社交網站)的交友邀請,有該名人士假裝曾在同一集團澳洲分公司擔任 18 年的 IT 主管。其社群網站上的個人檔案資料相當稀少,而且只有四個聯絡人。 繼續閱讀
趨勢科技警告:2013第二季已有近1500個可疑影音連結成駭客釣魚工具
《鋼鐵英雄》、《怪獸大學》皆成釣個資誘餌;社群平台與搜尋引擎毒化為其散佈管道
趨勢科技在今年4月下旬到6月間發現超過1,500個號稱可以下載如《鋼鐵英雄》以及《怪獸大學》等強檔影片的影音連結,駭客在眾多知名社群平台張貼內含影音連結的訊息,或是透過Black_Hat SEO 搜尋引擎毒化 (簡稱 BHSEO)手段,將惡意連結放在搜尋結果首頁,搭配「線上觀賞電影」或「免費下載電影」等關鍵字吸引使用者點選,意圖騙取使用者個資。《鋼鐵英雄》、《玩命關頭6》與《剛鐵人3》是假影音網站中點閱率最高的三部詐騙電影誘餌。歹徒會經由各種社交媒體網站 (如:Facebook、Google+、Youtube、LinkedIn等等) 吸引使用者到假的影音網站。
根據趨勢科技於今年4月中旬到6月間蒐集的數據顯示,《鋼鐵英雄》以及《玩命關頭》最受駭客青睞,成為釣魚最佳首選。其他如暑期動畫《怪獸大學》和殭屍片《末日之戰》也榜上有名。
眾多熱門影片如《鋼鐵英雄》、《玩命關頭》皆成誘餌。
駭客散佈這些假影音連結的手法主要有二:
點選後可能被強迫下載內含惡意程式的影音播放軟體、有的使用者則被導向影音網站註冊或是填寫問卷調查網頁,前者意圖以惡意程式取得裝置內的資訊或擁有裝置掌控權,後兩者的手法則是以騙取個資為目的。
趨勢科技資深技術顧問簡勝財表示:「熱門電影或新上映電影總是駭客屢試不爽的攻擊釣餌,而好奇心是這類攻擊中最難被控管風險,卻是駭客是否能達成攻擊目的的關鍵,此類影音網站內容通常多為盜版或外流影片,建議使用者勿因貪圖便宜與方便性點選,進而因小失大。」
暑期強檔好片一向是影迷們最期待的,因為好萊塢最賣座的電影習慣上都會在這個季節上映。歹徒會竭盡所能地製作各種假的影音網站,而且不僅在電影的上映期間,在電影上映之前就會出現。
以下二張圖表分別顯示哪些電影是歹徒的最愛、還有這些網站都使用哪些網站空間。
圖 1:歹徒經常用來當誘餌的暑假強片
圖 2:假影音網站經常使用的網站空間
這類詐騙如何運作?網路犯罪者會引誘使用者下載視訊播放程式,或者透過合作連結引誘使用者在這些影音網站註冊。還有一種方式是將使用者導向傳統的問卷調查詐騙。
圖 3:假影音網站感染過程
歹徒會經由各種社交媒體網站 (如:Facebook、Google+、Youtube、LinkedIn等等) 吸引使用者到假的影音網站。這些網站會架設在一些部落格空間上,如:Tumblr、WordPress 及 Blogger。
