今年三月,區塊鏈遊戲 Axie Infinity 被爆遭受北韓國家級黑客集團 Lazarus Group 攻擊,損失接近 5.4 億美元。事件經過多月調查,區塊鏈技術公司 The Block 發表報告,解釋成件事嘅來龍去脈。據指今次事件係由於遊戲開發商 Sky Mavis 其中一個工程師被虛假 job offer 所騙,打開咗詐騙公司所發送過嚟嘅招聘信檔案,結果電腦俾對方成功安裝惡意軟件,攞咗佢嘅帳戶登入密碼,連累公司損失 5.4 億美元加密貨幣。
其實類似詐騙手法已經開始多年,喺 2020 年 8 月時以色列網絡安全公司 ClearSky 已發出過相關警告,指有犯罪集團假借提供優厚報酬嘅職員,向目標企業員工發出魚叉式釣魚電郵,引誘對方打開含有惡意功能嘅檔案,喺取得對方嘅公司帳戶後乘機入侵公司。由於聘用條件優越,因此 ClearSky 將呢類攻擊稱之為 Operation Dream Job。
另外,防毒軟件公司 ESET 亦喺早前發出嘅 T1 Threat Report for 2022 入面,指名北韓黑客集團 Lazarus 經常通過 LinkedIn 等社交平台,向同國防及航空相關企業及服務供應商嘅員工落手,警告企業要提高員工嘅網絡安全意識。
作為打工仔,雖然搵到一份高薪職位係大部分人嘅終極目標,不過就算收到獵頭邀請,大家都要提高警覺,因為唔小心俾罪犯過橋,唔單只夢想職位幻滅,仲會連累公司,連自己份工都保唔住㗎。