我遇到求職詐騙了！從受害人視角拆解如何識別 Web3 社交工程攻擊

筆者日前收到一則陌生訊息，詢問是否對該公司職缺有興趣。對方首先假裝為香港數位銀行的 HR，卻對職缺的描述含糊不清。後續對方將筆者加入群組，並試圖用各種方式偽造真人，博取信任。最後對方給了 KakaoVoice 的會議連結，而不是常用的 Zoom丶Google Meet，也讓筆者確定這是一起社交工程攻擊。以下將以筆者第一視角，拆解事件經過及可疑之處。

陌生私訊尋求合作

一切起源於 7 月 11 日，我收到推特帳號 @chuiso_eth 的私訊。儘管意外，但由於我本身就有經營內容創作，且這個帳號有許多共同追蹤，所以我打破了自己原先只接熟人介紹合作的原則。不過我還是向身邊朋友再度確認，身邊朋友也認為共同追蹤者很多，所以我對這個人有了初步信任。

他表示他正在為一個專案做招募，並附上 Linkedin 連結。他給的連結是名為 WeLab 的公司，初步調查這是一間香港數位銀行，但只看到銀行及借貸媒合的業務，且以香港合規公司來說，如果有涉獵 Crypto 領域應該會更謹慎才對。同時我搜尋該名 HR 的名字 Bon Hwa SW，在整個 Linkedin 上都沒有資料，這是我第一個懷疑的點。

職缺介紹含糊不清

他解釋他們公司有在做早期新創的投研，所以對我開出研究員丶內容作者的兼職職缺。他表示該職缺的職責是：「要尋找新技術，可能連結新的生態系統和協議來改進專案。您將報告一項特定的技術，您將與開發團隊聯繫以獲取建議。」這時我的想法是，這個描述也太籠統了吧，所以我進一步索取 JD (Job Description)。

之後我詢問香港媒體 MonsterBlock 創辦人 Scott，他表示自己沒聽過這間公司，不過 Linkedin 有認識的人追蹤該公司。

建立信任後用陌生軟體發起會議

他並沒有給我 JD，並請我進 Telegram 群組與他的同事進一步交流。這個群組裡包含我共有六人，名為 Olivia 的帳號甚至傳送一個在飛機上即將起飛的影片，讓我信任他們是真人。接著名為 Jessica Krian 的客戶支援經理僅概述了工時等待遇，並請我提供 CV。我追問他們是如何找到我的，他們僅回覆一個 MOD 找到我並推薦給他，他再轉推給 HR，後面也沒繼續回覆。

後續我們約了線上會議，就在約定時間即將來臨時，我率先發問要用哪個軟體開會？接著他們提供了 KakaoVoice 的會議連結，這時我心中警鈴大響。我直接了當表達自己的疑慮，並提出由我發起會議，後續五個人驚然都不讀訊息了，很顯然我遇到了社交工程攻擊了。

可怕的是事後我從慢霧團隊創辦人余弦先前的貼文中尋找類似的攻擊案例，當時他建議可以用 Virus Total 來檢測網頁，我將對方的連結貼上檢查，竟然查不出任何問題。

英語人士用簡體中文創作？犯案手法漏洞百出

接著我們逐一復盤這個群組裡每個人的資料，我認為它們的破綻蠻多的。

名為 Bon Hwa SW 的 HR 在自己的 Telegram 留下了 Linktree，除了 Twitter丶Telegram 等個人資訊外，還有名為 HOP 的交易所連結丶WeLab 公司 Lintree 連結及名為 Boundless 的專案連結等。我原先假設 WeLab 可能有投資 Boundless，所以實際是我是為 Boundless 工作。

群組的創建者 Diddler Shwaz 主頁寫著自己的 X 帳號是 shwaz_eth，且該帳號的 Linktree 與 Telegram 帳號對應，所以基本確定是本人，他的 X 表示自己出沒在加州及香港 (對應 WeLab 總部) 所以更有可信度。不過一個月前有人在 ethos 上對他留下負評，表示這個人是詐騙。我才發現六月份就有人指控他們用一樣的手段，假裝名為 Hop Protocol 的公司發送連結。

名為 Olivia 的女性是白人，她表示自己以越南為主要據點。這還可以理解，很多人都在越南數位遊牧。她的 Linktree 同樣有 Boundless 這個專案的連結，比較可疑的是推特帳號 @Olivia_lens 竟然都以簡體中文創作，當然也可以解釋為英文母語人士嘗試經營中國粉絲。喔對了，她還有名為 Olivia Cooking 的推特頻道。

Jessica Krian 就沒有 Linktree 了，但她的 Telegram 自我介紹竟是用簡體中文寫下：每一天都是新的機會。

最後一位也是群組的主要發話人 Coinacci，他的 Linktree 同樣有 Boundless 及 WeLab 的連結。不過其中 Twitter 連結到名為 @Coinacci 的帳號，這個帳號宣稱自己是 @0xCoinacci 並轉貼他所有貼文。我私訊 @0xCoinacci 後，他表示群組裡的那個帳號盜用他的身份。

(Web3反網路釣魚平台Unphishable將於七月上線！由慢霧丶DeFiHack丶Scam Sniffer打造)

美國財政部旗下的外國資產控制辦公室 (OFAC) 於 7/8 宣布對一名與北韓駭客組織「Andariel」有關的資安人士宋金赫 (Song Kum Hyok) 祭出制裁。OFAC 指出，宋金赫涉嫌透過假冒外籍身分的北韓 IT 工作者，滲透全球企業，替北韓政權賺外匯，甚至植入惡意程式碼。這起制裁還包括一名俄羅斯人與四家涉案公司，整起行動凸顯北韓如何用「遠端接案工作」來繞過制裁、發展核武與飛彈。

北韓駭客集團陸續被聯合國、美國點名制裁

OFAC 率先回顧 2016 年聯合國安理會就針對北韓「偵察總局」(RGB) 發布 2270 號決議，指出該單位協助北韓發展非法武器。後來美國 OFAC 又於 2019 年 9 月制裁「Lazarus」、「Bluenoroff」與「Andariel」三個北韓資助的駭客組織。

這些組織都屬於 RGB 旗下，曾多次發動加密貨幣竊案來補貼政權資金，2023 年 5 月，美國又更進一步制裁北韓的「技術偵察局」及其「第 110 研究中心」，因其負責開發惡意攻擊程式。

北韓耍新招，用假身分混入國際企業再洗錢回國

OFAC 指出，北韓這幾年以偽裝 IT 工作者為主，大量派遣技術人員到中國、俄羅斯等地，再透過假身分或竄改文件，在全球高收入國家企業工作賺錢。

這些人會透過主流或產業專用的自由接案平台、社群媒體、加密貨幣交易所等平台接案、收款甚至洗錢。他們開發的應用軟體遍及商業、健康、健身、社交、運動、娛樂等各領域，當中不少與加密貨幣有關。

OFAC 表示，北韓駭客通常會匿名、隱藏地點與國籍，還會使用美國公民身份來冒充當地人求職。之後賺到的錢再轉成加密貨幣匯回北韓，資助當局發展核武與飛彈。

(北韓駭客創立美國空殼公司：假面試真釣魚，吸引求職者上鉤竊取個資)

北韓男子盜用美國人身分，安排外包工人假扮美籍求職

制裁名單中的主角宋金赫 (Song Kum Hyok) 是北韓資安人士，負責協調讓外籍 IT 工作者用美籍身分應徵遠端工作，甚至在 2022 和 2023 年，直接盜用美國公民身份與住址，幫助假工人成功申請帳號、求職。

美國檢調認定宋金赫違反行政命令，以不當取得或濫用商業機密、個資或金融資訊為由，威脅美國國安。

俄籍男子協助北韓外包 IT 工作

另一名被制裁對象是俄羅斯人 Gayk Asatryan。他旗下公司從 2024 年開始，與北韓兩間官方企業簽約：

• 和「松光貿易總公司」簽下 10 年合約，預計派 30 名北韓 IT 工人來俄國工作

• 和「新日貿易公司」簽下合約，再派 50 人到他另一間公司工作

Asatryan 利用旗下「Asatryan LLC」與「Fortuna LLC」公司接收北韓工人，違反美國行政命令，因他涉嫌協助輸出北韓勞力並替北韓政權創造外匯收入。上述兩間公司也因此被制裁。而兩家北韓合作對象 (松光、新日) 則是被列入黑名單。

全數資產凍結，美國公民、企業知情須通報

OFAC 表示，被列入制裁名單的所有相關人士與企業，在美資產將全數凍結，美國公民或公司不得與其有任何交易往來，也不能提供資金、貨物或服務。若被發現違反規定，不論是美國或外國人，都可能面臨民事或刑事處罰。即便是無心違規，也會遭到開罰。

(北韓駭客又來！2 名台灣人助詐 500 萬鎂、另案盜走 90 萬鎂加密資產)