社交工程模擬故事:睿思科技的「招聘陷阱」──從求職邀約到資安覺醒
夢想工作機會的來臨
睿思科技是一家專注於 AI 與雲端服務的創新企業,近期正在擴張海外市場。公司在官網與 LinkedIn 上發布了多個招聘資訊,包含「雲端架構師」、「AI 研究員」等職位。
人資部的林小姐每天要處理大量履歷,她同時也習慣在求職平台上瀏覽潛在候選人,甚至會在 LinkedIn 上公開與某些人才的互動。這些舉動看似正常,但卻被駭客看在眼裡。
某天,林小姐收到一封來自「全球科技獵頭公司」的郵件,主旨為:「推薦候選人履歷:雲端架構專案經理」。附件是一份 PDF 履歷,寄件人地址與某知名獵頭公司僅有一個字母不同。由於內容精準提到「雲端架構」和「新市場拓展」,與睿思科技的招聘資訊完全吻合,林小姐沒有懷疑,立即打開了附件。
隱藏在履歷裡的陷阱
PDF 文件打開後,表面上是一份正常的履歷表,排版專業、經歷詳盡。然而,林小姐並不知道,這個文件中隱藏了惡意程式碼。
幾分鐘後,IT 部門偵測到人資部門一台電腦向境外 IP 發出異常連線。進一步分析發現,該 PDF 內嵌了惡意腳本,成功在林小姐的電腦上安裝了一個遠端存取木馬(RAT)。
駭客藉此獲得了對人資系統的存取權限,並嘗試進一步竊取內部招聘流程資料,包括候選人清單、應徵者個資以及公司內部組織架構。這些資訊不僅能被用來二次攻擊,也可能在暗網上被販售。
駭客的精準操作
資安總監張經理召開緊急會議,分析這次事件:
OSINT 蒐集:駭客從睿思科技的公開招聘公告、LinkedIn 互動、員工貼文中掌握了「招聘職位」、「人資聯絡人」等關鍵資訊。
假冒獵頭公司:使用與真實公司相近的郵箱域名,增加可信度。
惡意附件:將木馬隱藏於看似正常的 PDF 履歷中,利用人資人員的工作習慣來攻擊。
後續目標:一旦取得人資資料,駭客可:
組織的防線
張經理指出,這次事件不只是單一人員的失誤,而是整個組織在「招聘流程資訊安全」上的盲點。
個人層面
警覺異常郵件:即使內容看似專業,也要核對寄件人域名與來源。
避免直接開啟附件:優先使用安全檢測工具掃描履歷檔案。
多重驗證:對於陌生獵頭或候選人,透過官方渠道再次確認。
組織層面
人資專屬安全培訓:讓 HR 團隊理解自己是高風險目標。
安全投遞機制:要求候選人透過官方平台提交履歷,而非直接收郵件附件。
沙箱檢測:所有外部附件需經過沙箱環境掃描後才能開啟。
最小化存取權限:人資系統應與核心內部網路隔離,降低橫向移動風險。
威脅情報共享:與產業聯盟合作,獲取最新針對人資與招聘流程的攻擊情報。
覺醒與新常態
事件之後,睿思科技正式啟動「招聘安全強化計畫」:
幾個月後,另一位人資人員收到一封「獵頭公司推薦履歷」的郵件。這次,她先檢查寄件人域名,發現與官方網站不符,立刻通報資安部門。最終確認,這正是一封新的釣魚攻擊嘗試。
張經理在全員會議中說道:
「駭客永遠會利用我們的業務流程弱點。防禦的關鍵,不是完全杜絕攻擊,而是讓每個人都具備辨識與應對的能力。」
本案例透過虛構的「睿思科技」故事,展示駭客如何利用 招聘流程與人資人員的工作特性 展開社交工程攻擊,並帶出 個人防範意識 + 組織安全措施 的雙重必要性,適合在公司網頁或教育課程中使用。