我遇到求职诈骗了！从受害人视角拆解如何识别 Web3 社交工程攻击

笔者日前收到一则陌生讯息，询问是否对该公司职缺有兴趣。对方首先假装为香港数位银行的 HR，却对职缺的描述含糊不清。后续对方将笔者加入群组，并试图用各种方式伪造真人，博取信任。最后对方给了 KakaoVoice 的会议连结，而不是常用的 Zoom丶Google Meet，也让笔者确定这是一起社交工程攻击。以下将以笔者第一视角，拆解事件经过及可疑之处。

陌生私讯寻求合作

一切起源于 7 月 11 日，我收到推特帐号 @chuiso_eth 的私讯。尽管意外，但由于我本身就有经营内容创作，且这个帐号有许多共同追踪，所以我打破了自己原先只接熟人介绍合作的原则。不过我还是向身边朋友再度确认，身边朋友也认为共同追踪者很多，所以我对这个人有了初步信任。

他表示他正在为一个专案做招募，并附上 Linkedin 连结。他给的连结是名为 WeLab 的公司，初步调查这是一间香港数位银行，但只看到银行及借贷媒合的业务，且以香港合规公司来说，如果有涉猎 Crypto 领域应该会更谨慎才对。同时我搜寻该名 HR 的名字 Bon Hwa SW，在整个 Linkedin 上都没有资料，这是我第一个怀疑的点。

职缺介绍含糊不清

他解释他们公司有在做早期新创的投研，所以对我开出研究员丶内容作者的兼职职缺。他表示该职缺的职责是：「要寻找新技术，可能连结新的生态系统和协议来改进专案。您将报告一项特定的技术，您将与开发团队联系以获取建议。」这时我的想法是，这个描述也太笼统了吧，所以我进一步索取 JD (Job Description)。

之后我询问香港媒体 MonsterBlock 创办人 Scott，他表示自己没听过这间公司，不过 Linkedin 有认识的人追踪该公司。

建立信任后用陌生软体发起会议

他并没有给我 JD，并请我进 Telegram 群组与他的同事进一步交流。这个群组里包含我共有六人，名为 Olivia 的帐号甚至传送一个在飞机上即将起飞的影片，让我信任他们是真人。接著名为 Jessica Krian 的客户支援经理仅概述了工时等待遇，并请我提供 CV。我追问他们是如何找到我的，他们仅回复一个 MOD 找到我并推荐给他，他再转推给 HR，后面也没继续回复。

后续我们约了线上会议，就在约定时间即将来临时，我率先发问要用哪个软体开会？接著他们提供了 KakaoVoice 的会议连结，这时我心中警铃大响。我直接了当表达自己的疑虑，并提出由我发起会议，后续五个人惊然都不读讯息了，很显然我遇到了社交工程攻击了。

可怕的是事后我从慢雾团队创办人余弦先前的贴文中寻找类似的攻击案例，当时他建议可以用 Virus Total 来检测网页，我将对方的连结贴上检查，竟然查不出任何问题。

英语人士用简体中文创作？犯案手法漏洞百出

接著我们逐一复盘这个群组里每个人的资料，我认为它们的破绽蛮多的。

名为 Bon Hwa SW 的 HR 在自己的 Telegram 留下了 Linktree，除了 Twitter丶Telegram 等个人资讯外，还有名为 HOP 的交易所连结丶WeLab 公司 Lintree 连结及名为 Boundless 的专案连结等。我原先假设 WeLab 可能有投资 Boundless，所以实际是我是为 Boundless 工作。

群组的创建者 Diddler Shwaz 主页写著自己的 X 帐号是 shwaz_eth，且该帐号的 Linktree 与 Telegram 帐号对应，所以基本确定是本人，他的 X 表示自己出没在加州及香港 (对应 WeLab 总部) 所以更有可信度。不过一个月前有人在 ethos 上对他留下负评，表示这个人是诈骗。我才发现六月份就有人指控他们用一样的手段，假装名为 Hop Protocol 的公司发送连结。

名为 Olivia 的女性是白人，她表示自己以越南为主要据点。这还可以理解，很多人都在越南数位游牧。她的 Linktree 同样有 Boundless 这个专案的连结，比较可疑的是推特帐号 @Olivia_lens 竟然都以简体中文创作，当然也可以解释为英文母语人士尝试经营中国粉丝。喔对了，她还有名为 Olivia Cooking 的推特频道。

Jessica Krian 就没有 Linktree 了，但她的 Telegram 自我介绍竟是用简体中文写下：每一天都是新的机会。

最后一位也是群组的主要发话人 Coinacci，他的 Linktree 同样有 Boundless 及 WeLab 的连结。不过其中 Twitter 连结到名为 @Coinacci 的帐号，这个帐号宣称自己是 @0xCoinacci 并转贴他所有贴文。我私讯 @0xCoinacci 后，他表示群组里的那个帐号盗用他的身份。

(Web3反网路钓鱼平台Unphishable将于七月上线！由慢雾丶DeFiHack丶Scam Sniffer打造)

美国财政部旗下的外国资产控制办公室 (OFAC) 于 7/8 宣布对一名与北韩骇客组织「Andariel」有关的资安人士宋金赫 (Song Kum Hyok) 祭出制裁。OFAC 指出，宋金赫涉嫌透过假冒外籍身分的北韩 IT 工作者，渗透全球企业，替北韩政权赚外汇，甚至植入恶意程式码。这起制裁还包括一名俄罗斯人与四家涉案公司，整起行动凸显北韩如何用「远端接案工作」来绕过制裁、发展核武与飞弹。

北韩骇客集团陆续被联合国、美国点名制裁

OFAC 率先回顾 2016 年联合国安理会就针对北韩「侦察总局」(RGB) 发布 2270 号决议，指出该单位协助北韩发展非法武器。后来美国 OFAC 又于 2019 年 9 月制裁「Lazarus」、「Bluenoroff」与「Andariel」三个北韩资助的骇客组织。

这些组织都属于 RGB 旗下，曾多次发动加密货币窃案来补贴政权资金，2023 年 5 月，美国又更进一步制裁北韩的「技术侦察局」及其「第 110 研究中心」，因其负责开发恶意攻击程式。

北韩耍新招，用假身分混入国际企业再洗钱回国

OFAC 指出，北韩这几年以伪装 IT 工作者为主，大量派遣技术人员到中国、俄罗斯等地，再透过假身分或窜改文件，在全球高收入国家企业工作赚钱。

这些人会透过主流或产业专用的自由接案平台、社群媒体、加密货币交易所等平台接案、收款甚至洗钱。他们开发的应用软体遍及商业、健康、健身、社交、运动、娱乐等各领域，当中不少与加密货币有关。

OFAC 表示，北韩骇客通常会匿名、隐藏地点与国籍，还会使用美国公民身份来冒充当地人求职。之后赚到的钱再转成加密货币汇回北韩，资助当局发展核武与飞弹。

(北韩骇客创立美国空壳公司：假面试真钓鱼，吸引求职者上钩窃取个资)

北韩男子盗用美国人身分，安排外包工人假扮美籍求职

制裁名单中的主角宋金赫 (Song Kum Hyok) 是北韩资安人士，负责协调让外籍 IT 工作者用美籍身分应征远端工作，甚至在 2022 和 2023 年，直接盗用美国公民身份与住址，帮助假工人成功申请帐号、求职。

美国检调认定宋金赫违反行政命令，以不当取得或滥用商业机密、个资或金融资讯为由，威胁美国国安。

俄籍男子协助北韩外包 IT 工作

另一名被制裁对象是俄罗斯人 Gayk Asatryan。他旗下公司从 2024 年开始，与北韩两间官方企业签约：

• 和「松光贸易总公司」签下 10 年合约，预计派 30 名北韩 IT 工人来俄国工作

• 和「新日贸易公司」签下合约，再派 50 人到他另一间公司工作

Asatryan 利用旗下「Asatryan LLC」与「Fortuna LLC」公司接收北韩工人，违反美国行政命令，因他涉嫌协助输出北韩劳力并替北韩政权创造外汇收入。上述两间公司也因此被制裁。而两家北韩合作对象 (松光、新日) 则是被列入黑名单。

全数资产冻结，美国公民、企业知情须通报

OFAC 表示，被列入制裁名单的所有相关人士与企业，在美资产将全数冻结，美国公民或公司不得与其有任何交易往来，也不能提供资金、货物或服务。若被发现违反规定，不论是美国或外国人，都可能面临民事或刑事处罚。即便是无心违规，也会遭到开罚。

(北韩骇客又来！2 名台湾人助诈 500 万镁、另案盗走 90 万镁加密资产)