网络犯罪趋势：恶意求职者的崭新手法

关键要点

FBI的互联网犯罪投诉中心发出警告，显示出一种越来越严重的趋势：恶意求职者正利用盗取的个人身份信息，甚至可能使用深度伪造技术，申请IT、编程、数据和软件等远程工作职位。

“值得注意的是，一些报告的职位包括访问客户的个人身份信息（PII）、财务数据、企业IT数据库和/或专有信息，”FBI在其指出。

这些恶意求职申请包含两个令人担忧的因素：求职者通过盗窃身份来进行视频面试，而在这些面试中，视频似乎被操控以隐蔽求职者的身份。视频的声音与实时反馈不一致——例如，当求职者咳嗽或打喷嚏时，声响与视频不匹配，并且对话似乎经过某种声音变换器处理，FBI表示这可能是一种深度伪造。

在五月，FBI和国务院警告称，正在为金氏政权获取西方国家的远程职位以生财。尽管FBI并未将这两个警告关联起来。

Forrester的安全与风险副总裁兼研究主任JosephBlankenship告诉SC媒体，虽然深度伪造可能更吸引眼球，但利用被盗的个人身份信息作为内部威胁的求职者可能更具隐蔽性。

“如果有人成功模仿了某个对象的个人身份信息，并能回答相关问题，那么这说明背景调查可能不足以有效识别某个人，”他说。

在如今的远程工作时代，盗用身份的行为变得更加容易，因为整个职位生命周期——从招聘到退休——都可以在没有亲自面对的情况下进行。Blankenship提到，在疫情期间，他远程雇佣了五名员工，其中大部分是通过数字方式认识的。

“我曾开玩笑说他们都是虚拟化身，而不是实际存在的人，”他说。

这并不是一个全新的威胁。不过，它给旧威胁带来了新的诠释。例如，中国过去曾在公司内部植入间谍以窃取知识产权。但是，在那些案例中，工作都是在办公室进行的，员工并没有使用被盗身份。

“这可能需要CISO走出舒适区，与人力资源和招聘团队合作，以帮助他们理解这一威胁，”他表示。“我们必须找到方法，证明这个人就是他们所自称的那个人。”