网络招聘诈骗黑产调查:审核机制失效 安全投入杯水车薪
[ 摘要 ]愈演愈烈的招聘诈骗、数据泄露,正在给求职者埋下越来越多的网络安全隐患。
本报记者 陈宝亮 北京报道
网络招聘正在逐渐成为网络安全的重灾区。
2018年11月7日、11日,北京市公安局官网两次发布“高薪招聘诈骗”相关信息,提醒求职者在求职时提高防范意识。
在公安局官网公示的相关案例中,市民刘先生在58同城登记了求职简历,很快就接到了招聘电话,并赴一家影视公司面试,公司承诺转正后月薪过万、参加群演、培训,但需要缴纳培训费、保密保证金。刘先生共缴纳了2.7万元费用,两个月后发现被骗想退款时,已经联系不到对方。
北京民警在接到20多起报案之后,通过卧底调查揭露了这种环环相扣的招聘骗局。诈骗公司先是通过高薪、高待遇吸引求职者,然后通过影视基地培训、参加群演等方式引诱入局,中间陆续收取伙食费、保密费、培训费并承诺按月返还,骗局环环相扣。目前警方已经破获了5个犯罪团伙、抓获了21名嫌疑人。
招聘行业中网络安全问题不仅局限于招聘诈骗。11月2日,西城区法院公开审理了一场泄露公民信息的案件,一位有多年从业经验的猎头,从招聘网站、原单位工作中获取了求职者信息,并在猎头群中互换简历信息,共非法获取了1852万条公民个人信息、并将部分信息提供给他人。多位HR、猎头告诉21世纪经济报道记者:“简历的海量下载,买卖、互换,乃至高价值简历交换、企业通讯录共享,已经是这一行业中的普遍现象。”
愈演愈烈的招聘诈骗、数据泄露,正在给求职者埋下越来越多的网络安全隐患。
审核体系形同虚设
2017年8月,“李文星遭BOSS直聘求职诈骗误入传销死亡”事件,让网络求职诈骗第一次大规模曝光在大众视野范围内。
此后,网络招聘平台的高薪高待遇诈骗、培训贷诈骗、网络兼职诈骗、先收培训费再编理由辞退,等诸多诈骗形式被频繁曝光。
诸多诈骗形式中,影响范围最大、规模最广的,当属培训贷诈骗。招聘公司通过高薪职位吸引求职者,误导、欺骗求职者签署“培训费贷款”,而这些贷款多为互联网金融公司的高额贷款,大量刚步入社会的毕业生被骗,诸如58同城、智联招聘、51job等招聘平台上均出现过大量此类“培训贷诈骗”招聘。
但是,诸多招聘诈骗并没有随着不断曝光被遏制,反而其诈骗模式在多个地区被复制,成为诈骗高发区。
招聘企业、招聘内容的审核不严,是网络招聘诈骗高发的关键。目前,大多网络求职平台对招聘企业、招聘内容的审核几乎形同虚设。
在淘宝上,存在多家店铺可以替企业发布招聘职位。其中一家店铺告诉记者:“300元/月,可以在58平台上代发招聘职位,每天刷新4次,维护一个月;300元/月,代发智联名企会员职位,每天刷新维护推广一个月。”而另一家店铺,则“在58、百姓网、赶集网、BOSS直聘、猎聘网代发招聘内容,每个网站100元/条,上架30天,每天刷新1次;在前程无忧、智联网发招聘信息,260元/条,上架30天,每天刷新一次。”
多家店铺提供的代发业务,根据上架天数、刷新次数不同收费不同,但均承诺为“企业会员账号代发,重点推荐职位,排名靠前”。而且,购买代发服务“不需要你提供任何企业资质,求职者简历也是直接发到你的邮箱中”。
此外,上述店铺大多提供“代过企业会员认证”业务,一家店铺向记者介绍,“不需要你提供企业资料,50元代认证58同城的招才猫直聘,100元代过智联招聘双认证,企业认证+个人认证均过。这还有大量智联双认证账号出售。”
需要指出,上述业务需求量颇高。记者浏览的一家店铺中,一个代发宝贝的销量达到了17700件;而且,部分店铺还购买了淘宝直通车的广告服务。
不到300元/月的代发业务,100元以下的认证服务费,直接绕过了诸多网络招聘平台的审查体系。除了淘宝之外,诸多QQ群中也存在很多出售招聘平台账号的从业者。
显然,对于诸多招聘诈骗等黑产从业者,想要突破招聘平台的审查门槛,并不需要什么成本。
招聘数据泛滥
平台审核不严带来的另一个严重后果就是招聘数据泄露。
签署诸多提供招聘代发、招聘账号的从业者中,部分人可以提供“简历下载”业务。
在58同城、智联招聘等诸多招聘平台的用户协议中,求职者在平台上传个人简历并授权平台提供给有意向的招聘公司。而在企业端,企业需要向平台方支付费用,其中少部分费用用于职位信息推荐,大部分费用被用于下载求职者简历。以智联为例,企业账号可以在全网搜索求职者简历,但下载一份简历需要30个智联币,每个智联币相当于1元人民币,相当于每份简历售价约30元。
但是,在淘宝上,多家店铺可以提供智联、猎聘、前程无忧简历代下载业务,每份简历售价6-12元不等;也有店铺可以“提供58同城简历,但需要先看链接测试,部分城市不能下载”。甚至在QQ群,还有从业者低价出售可供下载简历的企业账号,其中,成本最低的一位从业者报价称“下载2000份的账号,售价500元”。该价格远低于智联招聘官网,而且该从业者还“大量出售智联最新简历”。
除了智联招聘之外,诸多QQ群中有大量从业者宣称“出58、赶集、百姓、前程无忧、智联各大平台最新简历”。
需要指出,部分从业者号称可以提供“58简历采集工具”、“58微聊强制打招呼工具”。2017年初,58同城平台漏洞被黑产从业者利用,后者可以采集58同城官网所有被脱敏保护的简历信息。此事件曝光之后,58同城已经报警,修复漏洞并增加多项隐私保护措施。
不过,目前依然存在上百个以“58简历采集软件”为名的QQ群。记者就上述情况向58同城求证,58同城回应称“已经展开彻查,但暂未发现简历数据泄露的迹象”。
除上述渠道之外,更多的简历信息在诸多“简历共享群”中泛滥,在QQ群中,存在大量以“HR简历共享群”为名的QQ群,百人以上的群超过100个,群中存在部分人力资源行业工作者,以及大量倒卖简历数据的黑产从业人员。
一年75亿收入 安全投入几何?
根据《2017年度人力资源和社会保障事业发展统计公报》。2017年,中国人力资源服务机构3.02万家,同比提升13%,实现营收1.44万亿,同比提升22%。
而根据摩根斯坦利日前发布的报告,2017年,包括猎聘、前程无忧、智联等在内的中国在线招聘平台的总收入约61亿元,同比增长22%,而根据预测,2018年这一收入将达到75亿,继续增长22%,2020年,这一数字将增加到111亿元。
人力资源市场正在高速发展,但随着网络安全隐患日益严重,招聘行业的网络安全策略、商业模式也应随之变化。
目前,新兴社交招聘平台正在抛弃传统“付费购买简历数据”的粗放商业模式。以领英、脉脉等为例,企业的认证、发布信息都需要经过更为严格的认证,而且,企业如果想要获取求职者联系方式,必须通过平台聊天窗口与求职者沟通,只有求职者主动提供联系方式之后,企业才能获取这一信息,平台本身的简历介绍信息中并不保存求职者的联系方式。
对于长期以“出售简历”为盈利模式的传统招聘平台而言,向社交型招聘平台转型可以有效避免目前部分数据泄露风险,但是,并不确定传统平台是否能适应这一商业模式。
现在,更让求职者关心的是,一年收入接近75亿,究竟有多少钱能投入到网络安全领域?