金融駭客組織FIN7以資安公司的名義招兵買馬，並以滲透測試的名義發動勒索軟體攻擊

駭客為了能從網路攻擊中拿到更多錢，他們尋求廉價的打手，來從事網路攻擊，手段是宣稱提供滲透測試服務的資安公司，設立幾可亂真的網站並開出職缺，但實際上，駭客打算借助這些不知情的IT專家，執行偵察與部署惡意軟體的工作。

資安業者Gemini Advisory在10月21日，揭露俄羅斯金融駭客組織FIN7近期的攻擊行動，該組織宣稱是名為「Bastion Secure」英國資安公司，並發布求才訊息，目的是要發動勒索軟體攻擊。

事實上，FIN7以冒牌資安公司為幌子，聘雇不知情的資安人員發動攻擊，這不是第一次。美國在2018年起訴3名成員時，就揭露該組織曾設立名為Combi Security的假公司，佯稱提供各種資安服務，但實際上，該公司網站上列出的客戶，不少是該組織的受害者。

求職者面試時察覺有異而向資安廠商舉發

這起攻擊行動究竟如何被發現？Gemini Advisory接獲錄取Bastion Secure職務的人士通報此事，進而著手進行調查。

從Bastion Secure的網站來看，這家資安公司正在尋求專精C++、Python、PHP的程式設計師，以及系統管理人員和逆向工程師等人才。該公司不只在自己的網站上求才，也在求職網站上，張貼徵才訊息。

但舉報此事的人指出，該公司在面試過程中，就交付他數項測試工具，並表明正式錄取後，就會在工作的期間用到。

然而，經過進一步分析通報者提供的工具之後，Gemini Advisory發現，它們是攻擊套件：Carbanak與Lizar（亦稱Tirion），是駭客組織FIN7慣用的工具，目的是感染POS系統與發動勒索軟體攻擊。

Bastion Secure接著要求這位應徵者，執行攻擊行動，他驚覺事情不單純，才向Gemini Advisory通報。

根據Bastion Secure公布的薪資條件來看，人員一旦錄取，得到的薪水並不高，每個月僅約為800至1,200美元，而且，這是時下後蘇聯國家的IT人員普遍薪資水平。相較於和其他參與攻擊的駭客分贓，這樣的人力成本也顯得相當低廉。

從上述的薪資來看，該名人士很可能是急著找工作，才會一時大意到FIN7應徵，此種現象突顯出，資安人材若沒有合適的環境發揮所長，也有可能會被犯罪組織吸收，而對社會帶來威脅。

資安人員求職應更加謹慎，留意公司的背景資訊

關於駭客組織設立的Bastion Secure公司，實際上，真的存在嗎？

若在搜尋引擎輸入這家公司名稱， 很可能會看到兩家名字相似的企業： 一是視訊監控設備業者「Bastion Security Products Ltd」（甫被併購並更名為Ecamsecure），或者是保全系統業者「Bastion Security Group LLC」，此時，多數人都很有可能誤以為存在一家名為Bastion Secure的公司。

不過，研究人員根據網站上的辦公室地址進行確認， 結果發現這些據點並不存在。再者，這網站其實是複製另一家資安公司「Convergent Network Solutions Ltd」的網站而來，若點選網站選單，不少連結會出現HTTP 404的錯誤訊息，內容卻是俄文。

金融駭客組織FIN7二度佯裝成資安公司，以此招募不知情的求職者來發動攻擊。駭客宣稱他們是英國公司，但公司網頁的錯誤訊息卻出現俄文，顯示架設網站的人士是使用此種語言。

為了不讓同樣事情再度發生，成為歹徒共犯，資安人員找工作時，應多加留意公司來歷。