春招简历大劫案

2024春招开始的第一天，A公司的招聘官网就遭遇了黑灰产的“大洗劫”。在这辆高速行驶的招聘“公交车”上，求职者是“乘客”，他们投递的简历就是“车票”。但是这次，“假车票”几乎填满了“票箱”——在招聘官网的后台，显示未读简历的标识已经从“99+”的数字变成了“……”的符号。

来自网络黑灰产的攻击者就像“绑匪”，从“公交车”的前后门——A公司招聘官网的两个API接口——大摇大摆地上了车，“绑架”了校招宣讲后收到的学生简历。

这些简历包含了求职者的姓名、电话号码、人脸照片、教育经历等敏感信息，一旦被不法分子“引流”到信贷、兼职刷单或流到赌博、诈骗等犯罪团伙手中，不仅会威胁求职者的人身、财产安全，A公司也可能面临泄露用户隐私的严重指控。

“必须马上堵上漏洞，拦截攻击！”A公司给网络安全部门下了死命令。实际上，“绑架”刚发生时，A公司的网安系统便发现了攻击踪迹并发出警告，却因只有基础防护能力而无法守住“车门”。

这辆被“绑架”了的“公交车”在行驶途中向腾讯安全发出了求救信号。前方就是悬崖，在千钧一发之际，“司机”终于从“绑匪”手中抢回了方向盘，并死死踩下了刹车。

拦住“绑匪”

不能直接“关车门”

收到求救信号后，腾讯安全团队迅速上线，远程查看A公司的服务器日志记录，寻找黑灰产攻击的蛛丝马迹。

“糟糕！招聘官网投递简历和查看简历的两个关键API接口正在遭受猛烈的攻击。”腾讯安全马工皱紧眉头，“那些家伙真狡猾，爆破API接口后，一边利用爬虫偷偷将简历拖走，一边还往简历库上传大量虚假简历来掩人耳目！”

更为严重的是，监测屏幕上显示，攻击的峰值达到了每秒2000QPS，这强度足以瘫痪绝大多数中小企业的服务器。虽然这种攻击的原理并不复杂，技术手段甚至有些简陋，就像试图往一辆高峰期的公交车上塞进更多的人，一旦超载，不堪重负的车辆就有可能失控或者抛锚。

手段虽然简陋，造成的危害却很大。2019年，北京市公安局曾破获一起非法获取个人简历信息的犯罪案件，某科技公司便是利用类似技术爆破招聘网站接口，窃取存放在服务器上的简历数据。

警方查明，该公司非法获取的简历超过2亿条，仅2017年便取得非法收入4.11亿元，净利润高达1.86亿元。同时，该公司在窃取数据的过程中，还因传输数据量过大导致报案公司服务器数十次中断，影响了上千万用户的正常访问，造成严重的经济损失。

要应对这类简单粗暴的攻击，却不能直接把“车门”关上。“由于不清楚是否有业务人员调用API接口，我们无法直接对接口进行限制”，马工强调，如果直接对API接口进行限制，就好比切断了进入招聘官网的所有通道，攻击者固然进不来，但正常的用户访问和业务连续性也会受到影响。

作为车上的“安全员”，腾讯安全团队为A公司一键开启了腾讯云WAF，使用BOT流量管理机制筛了一遍所有的API接口，精准识别并定向拦截住“抢简历”的恶意行为。这个过程，如同一位管理员查看了所有行驶中的公交车，最终根据人流量的聚集情况，找到了那辆超载的公交车，并拦住了“绑匪”。

同时，腾讯安全团队对全部API接口进行加固，防止“绑匪”从其他的“车门”进入招聘官网。随着拦截和加固的策略开始奏效，攻击逐渐有了转“弱”的迹象，但没人敢放松警惕。

所有人都知道，“绑匪”一定不会善罢甘休，真正的对抗或许才刚刚开始。

“明抢”不成

转为“暗偷”

“来了！”会议室内，一直紧盯着屏幕的腾讯安全团队第一时间注意到了WAF的示警。系统提示，大量伪造的设备标识、模拟浏览器和家庭IP，正试图绕过腾讯云WAF的识别和拦截，继续非法入侵A公司招聘官网。这一次，“绑匪”的伪装更不易察觉，试图混上这辆守卫更严格的“公交车”。

“被拦截的攻击者不甘心失败，眼瞅着明抢行不通了，试图伪装成正常的用户混入系统，再窃取简历数据”，马工介绍说，模拟浏览器和家庭IP，都属于更加高阶的攻击手段。

和这帮“绑匪”打交道多年，他最大的感受，就是黑灰产的攻击技术在不断地进化，变得越来越高阶、手段越来越多样。比如，以前黑灰产进行改定位等操作，主要是通过劫持目标应用，在目标应用中插入恶意代码进行篡改；现在，具备一定技术实力的黑灰产，开始直接劫持系统服务，或者从底层修改系统源代码。

实际上，不止是技术的进化，“绑匪”的规模和资源也在持续扩大。《2023年互联网黑灰产研究年度报告》显示，2023年黑灰产从业人数达到587.1万，同比上升了141%。马工略带无奈地说，“这些黑灰产可能比从业人员还努力，每天都在学习、持续提升自己，开发各种各样的攻击手段。”

攻击手段的进化，无疑让识别和防护的难度系数几何倍增长。“像这一轮攻击中的模拟浏览器和家庭IP的行为伪装攻击，如果依靠传统的老三样安全产品——防火墙、入侵检测和防病毒，是不能完全解决问题的”，马工表示。

但再逼真的“伪装”，同真实的“乘客”之间仍然会有蛛丝马迹的差异。腾讯安全团队的应对策略，便是像警察一样，通过分析行为背后的差异特征，顺藤摸瓜地抓到想要蒙混过关的“绑匪”。

以模拟浏览器为例，“绑匪”发起的浏览器伪装攻击，核心是通过设置一些关键字段，高相似度地模拟成真实用户的浏览器。对此，腾讯安全团队调用BOT流量管理工具的无感前端对抗技术，在对用户体验无影响的情况下完成对浏览器的行为检测。无感前端对抗通过动态安全技术，对请求浏览器生成唯一ID，检测其对Web或HTML5页面访问中可能存在的刷量和恶意爬虫行为。

“这个过程类似于我们针对真实浏览器的特征设置一个问题，比如询问浏览器一加一等于几，正常浏览器会反馈正确的结果，而异常浏览器会反馈回来一加一等于一或者一加一等于三，我们就可以迅速识别出伪装的浏览器”，马工介绍，“并且，这个过程可能仅需要0.01秒，用户敲下回车键的过程中就已经完成验证，不会对用户的使用体验造成影响。”

家庭IP的伪装识别则要复杂得多——攻击者通常会通过代理IP或秒拨IP来对真实IP进行伪装，用其中一个或一部分虚拟IP吸引防火墙的识别和拦截，从而为真实IP顺利绕过防火墙创造条件。

这种“声东击西”的攻击套路最是难防，一方面是因为网络黑灰产拥有大量的真实IP，《2023互联网黑灰产研究年度报告》显示，2023年风险IP的数量达到了602.2万，较2022年上升了88.47%；另一方面，防火墙要精准识别伪装IP，而不能对真实用户的正常IP造成影响。

“我们采取的对策是‘以彼之道，还施彼身’。”马工介绍，WAF系统内有一套规划分析的子系统，该子系统的功能是通过观察账号的连续性来锁定异常账号。因为，正常的登录在一段时间内是稳定的，如果某个账号在短时间内漂移了多个IP，就会暴露它的异常，从而进行精准的识别和拦截。

随着最后一轮攻击被击退，“绑匪”放弃了新一轮的尝试，这辆“公交车”终于恢复了正常。这个过程仅仅持续了几个小时。

无处不在的“绑匪”

顺利击退“绑匪”后，A公司仍心有余悸。公司曾花重金投入网络和数据安全，给核心的业务数据做了层层防护，却差点在招聘官网“翻车”。

熟悉黑灰产攻击套路的马工却一点也不意外。“招聘简历本来就是个人数据泄露的重灾区，A公司又是业内领先的企业，收到的简历都相对优质，再加上招聘官网存在未鉴权的API接口，被黑灰产盯上是早晚的事”，他分析说。

事实上，倒卖个人简历以牟利的黑灰产业链历史一样久远。早在2005年，《新闻晨报》就曾报道，上海一些高校学生在不同公司的招聘网站上投简历后，没收到意向公司的面试通知，却接到了一些小公司打来的电话。学生追问下得知，这些公司获得他们简历的途径都是“通过另外一家公司花钱买来的”。

近二十年后，包括招聘简历在内的公民个人信息泄露，仍然是数字时代悬而未决的难题，并且有愈演愈烈的趋势。而诱使不法分子铤而走险的，是巨大的牟利空间。央视“315”晚会曾曝光过，在倒卖简历的聊天群中，只需支付7元便可以买到一份某招聘平台上的求职者简历。

不仅如此，简历贩子们甚至可以提供“定制化”的服务——购买者可选择随机方式获取简历，每份2.5元；也可选择“卡（挑选）”年龄和性别，比如卡20至35岁的女性求职者，每份4元……

这些“绑匪”如同一片阴云笼罩在互联网产业这片本该生机勃勃的田野上。“网络黑灰产早已是无处不在了，比如营销作弊薅羊毛、AI换脸诈骗、虚假账号欺诈等等，防不胜防”，马工说。

尤其是随着AI等新技术的应用，隐私与安全环境迎来了巨大的变化，每一个个体、每一个硬件、每一次传输，都有可能被黑灰产盯上。作为网络安全从业者，马工深知当前环境下，呼吁企业投入大量成本去保护用户数据和个人信息所面临的的挑战，但他仍希望企业可以率先行动起来。

“这注定是一场艰难而漫长的博弈，但企业先行动起来，就迈出了关键的第一步”，他说。

- END -

原文始发于微信公众号（腾讯安全）：春招简历“大劫案”