Bagaimana Lazarus Menipu Mangsa: Buku Bermain Pekerjaan Palsu
📖 7 min baca
Quick Answer
Alat yang paling berbahaya dalam senjata kecurian kripto Korea Utara bukanlah kod — ia adalah perekrut mesra yang meluncur ke DM anda dengan pekerjaan impian. Lazarus telah mencuri ratusan juta dengan mengeksploitasi kepercayaan manusia, dan pekerja kripto dan teknologi adalah sasaran utama.
⚠️ Caranya
Ia adalah penyeluk saku digital yang berpakaian sut: bukannya memaksa kunci, mereka meyakinkan anda untuk membuka pintu sendiri — dengan menawarkan pekerjaan, pelaburan atau "bantuan cepat" yang secara senyap-senyap memasang perisian hasad.
Tawaran kerja palsu
Menyamar sebagai perekrut daripada syarikat yang kelihatan sebenar, pengendali Lazarus mendekati pembangun dan pekerja crypto dengan tawaran menarik. Di suatu tempat dalam "temu bual" — ujian pengekodan, PDF, alat perkongsian skrin — mereka menyelitkan perisian hasad yang mencuri kunci dan bukti kelayakan.
Apl dan kemas kini palsu
Mereka mengedarkan apl dagangan yang ditrojan, kemas kini dompet palsu dan sambungan penyemak imbas berniat jahat, sering dipromosikan melalui akaun yang terjejas atau tapak web klon yang meyakinkan.
Kesabaran dan penyelidikan
Tidak seperti penjenayah smash-and-grab, Lazarus mengkaji sasaran selama berminggu-minggu, membina hubungan dan menunggu. Pada masa perisian hasad berjalan, mangsa mempercayai sepenuhnya kenalan itu — itulah sebabnya ia berfungsi.
Bagaimana untuk melindungi diri anda
Rawat tawaran pekerjaan yang tidak diminta dan "peluang pelaburan" dengan syak wasangka. Jangan sekali-kali menjalankan kod, membuka fail atau memasang perisian daripada kenalan yang tidak dikenali pada mesin yang menyentuh kripto anda. Teruskan menandatangani kunci pada peranti perkakasan yang berasingan dan sahkan perekrut secara bebas.
🔑 Bawa pulang kunci
Senjata paling mematikan Lazarus ialah kejuruteraan sosial — pekerjaan palsu, perekrut palsu, aplikasi palsu. Mereka meminta anda untuk membuka pintu. Jangan sekali-kali menjalankan perisian yang tidak dipercayai atau menandatangani transaksi daripada kenalan yang tidak diminta.
Maksudnya untuk anda
Kempen perekrut palsu ini secara khusus menyasarkan kumpulan besar kripto dan bakat teknologi di seluruh Asia. Jika anda bekerja dalam industri — atau sedang mencari pekerjaan — ini adalah salah satu ancaman keselamatan paling berkaitan yang anda hadapi hari ini.
Soalan lazim
Bagaimanakah saya dapat mengesan perekrut palsu?▼
Bendera merah: hubungan tanpa diminta, tekanan untuk bergerak pantas, permintaan untuk menjalankan kod atau memasang alat, "ujian" yang memerlukan kebenaran luar biasa dan keengganan untuk mengesahkan melalui saluran rasmi syarikat. Apabila ragu-ragu, sahkan secara bebas.
Saya telah dihubungi mengenai kerja kripto — adakah ia selamat?▼
Berhati-hatilah. Lakukan sebarang ujian pengekodan dalam persekitaran terpencil (mesin buang atau VM), jangan sekali-kali pada peranti yang memegang kripto, dan sahkan syarikat dan perekrut melalui sumber rasmi yang bebas.
Bagaimana jika saya fikir saya menjalankan perisian hasad mereka?▼
Segera alihkan dana daripada mana-mana dompet yang terjejas menggunakan peranti yang bersih, putar semua bukti kelayakan dan anggap kunci pada mesin tersebut telah terjejas. Dompet perkakasan akan memastikan kunci anda tidak dapat dicapai.