104學習
找工作要小心謹慎 嚴防自己的個資及聯網裝置被木馬屠城
#找工作要小心謹慎 嚴防自己的個資及聯網裝置被木馬屠城
找工作最怕的不是被已讀不回,而是遇到照片美到爆的假 HR。最近在 LinkedIn 常見一套戲碼:主動私訊、條件超好、還能遠端;接著丟你一份「程式設計測驗Code Test」,把你引到 GitHub,看起來超正常——前後端與配置資料夾齊全、package.json 乖乖、README 清清楚楚、提交歷史也漂亮。問題是,壞事就藏在這些「正常」裡。
常見手法包括:用 Base64 混淆檔名與路徑、把惡意程式塞進偽裝或被盜用的 MIT 授權、在 npm 或 Python 套件注入、只在你執行或佈署時啟動;因為是你自己跑的,防毒還可能放行。代價呢?文件、照片、瀏覽器密碼與 Cookie、剪貼簿與截圖、加密貨幣錢包金鑰與助記詞、SSH 私鑰與 macOS 鑰匙圈、甚至網路存取權限與後門通通可能外流。
怎麼防?我摘錄資安專家 Paul Liu 的建議:
1. 先核實公司與 HR:到官網找徵才資訊,比對網域與聯絡方式。
2. 要求視訊面談,深入追問團隊、產品與流程。
3. 測試一律在隔離環境:虛擬機、容器或 GitHub Codespaces;個人與工作分離。
4. 準備專用測試機/使用者帳戶/沙箱。
5. 別以為社交工程與你無關,保持警覺。
我自己的加碼:不在本機跑來路不明的腳本;測完就重置環境。面對「高薪又輕鬆」的邀約,我寧願慢一步,也不要一步走進別人的機房。保住資料,比拿到 offer 更重要。
0
0
18 0
拍手
留言
分享
Line
複製連結
收藏