LinkedIn上鎖定工程師的詐騙越來越多
首先『假HR或獵人頭會透過LinkedIn或其他求職平台主動聯絡你,薪水誘人可遠距工作』接著HR會要求你做“程式設計”試題,以證明你能勝任這份工作,這在這行業很正常,沒有人會懷疑。一旦你同意,就會把你引到 GitHub且一切看起來如此正常:
- 前端、後端、配置資料夾結構
- 很正常的 package.json 文件
- 安裝說明的 README 文件
- 可提交歷史記錄
他們通常會用以下方式來隱藏惡意程式碼:
- 把所有名稱和檔案路徑都用經過 Base64 編碼,所以根本看不懂
- 將惡意軟體被隱藏在偽冒或被盜用的MIT license中
- 將惡意程式碼注入在 npm或 Python 模組
- 僅在執行程式時才會啟動。因為是你自己佈署的,所以通常你會允許防毒軟體
.png)
什麼東西會損失?
- 文件、圖片
- 瀏覽器密碼、已登入網站Cookie
- 複製貼上的內容、螢幕截圖
- 加密錢包金鑰和助記詞
- SSH 私鑰、macOS 鑰匙圈
- 網路存取權限
- 被動被裝入後門隨時遠端進出等
.png)
如何保護自己
- 核實該公司或HR的資訊,例如在官網尋找招聘資訊
- 要求進行視訊通話,並詳細詢問有關公司的問題
- 要測試時可以利用虛擬機器、容器或 GitHub Codespaces 來測試
- 保持個人環境和工作環境分開
- 準備一台專用的測試機器/使用者帳戶/沙箱
- 不要覺得社交工程跟自己無關,隨時警惕
#Linkedin工作詐騙 #GitHubScam
原文 : https://www.facebook.com/share/p/1C7WHLtt8c/
0 留言