求职面试可能会让人感到压力。通常情况下,你可能会通过社交网络找到一个机会,当一位招聘人员找到你的信息并试图让你申请时,你会感到兴奋。
但如果这位招聘人员并非看起来的那样呢?如果你实际上正在被“招募”成为钓鱼者的下一个目标呢?
骗局的展开方式如下:首先,你会在类似 LinkedIn 的平台上收到一条消息。一位招聘人员向你打招呼,并告诉你关于一个新职位的信息。
他们向你展示了一份看似合理的职位需求,与你的个人资料几乎完全匹配。这份工作不仅薪资比你目前的职位有所提升,还附带丰厚的福利,自然让你非常感兴趣。你打开他们发送的职位描述,决定申请。
第一步,你被要求完成一个简单的代码挑战,以证明你不是“冒牌货”。没问题,你之前已经完成过类似的挑战无数次了。你从 GitHub 上拉取代码,运行它,修复问题,然后提交申请。
过了一段时间,你被告知他们已经选择了其他候选人继续筛选。于是你继续生活,不再去想这件事。
直到几个月后,你被认定为公司重大数据泄露事件的罪魁祸首,并被无限期停职。所有公司的设备都被没收,你陷入了震惊之中。
事情是这样的:如果你经历过求职面试,你可能对面试过程中被要求完成一些小挑战的情况并不陌生。然而,这次面试并没有给你提供正常的代码库。相反,当你运行发给你的程序包时你实际上——在毫不知情的情况下——安装了恶意软件。不幸的是,你用的是工作电脑。
归根结底,你成为了将工作场所权限授予某个恶意国家行为体的责任人。但问题是,你又怎么可能知道呢?
攻击者很少重复使用同样的脚本。他们会根据目标量身定制沟通内容(尤其是在鱼叉式钓鱼攻击中,而非大规模邮件攻击);大多数人难以匹敌他们的精密手段。这里没有像应对登录问题时使用 Passkey 那样的“万能解决方案”。
相反,你需要意识到运行代码、使用 npm 下载依赖项或通过 Docker 运行随机容器是具有风险的操作,必须在独立设备或虚拟机上完成——而不是在工作电脑上。如果你计划从陌生人那里下载任何软件,最好准备一台廉价的备用设备。
公司必须以不同的方式应对这种情况。尽管它们拥有众多工具来应对类似威胁,但要一一列举这些工具可能需要专门写一篇文章。因此,这里仅分享一些资源,它们不仅仅是为了向你推销产品:
-
英国国家网络安全中心(NCSC):钓鱼攻击指南