Pasta spies and private eyes, and are you applying for a ghost job?
31:17 Share

许多人被指控恶意中伤他人。总的信息来源包括一家意大利面制造商员工的详细信息。

好吧，不是食谱，而是那些东西，对吧？

《粉碎安全》第 392 集：意大利面、香料和私人关系，以及申请幽灵工作。与卡罗尔·泰里奥和格雷厄姆·克鲁利一起。大家好，欢迎收听《粉碎安全》第 392 集。我叫格雷厄姆。

克鲁利和卡罗尔。

今天是个非常特别的日子，在这个可怕的日子里，记录的日子。哦，因为记住，50 英尺的夜晚。这就是为什么每个人都在想 11 月 5 日的原因吗？这就是为什么世界……

……正在燃烧。是的，这正是我不想谈论的 IT。我想结束这个节目。但首先，我想感谢我们的赞助商：1Password、Vanta 和 Flashpoint。他们的支持帮助我们免费提供这个节目。现在，格雷厄姆，今天的主题是什么？

我可能会谈论发生在意大利的间谍丑闻。

好的，我将深入探讨所有这些以及本期《粉碎安全》节目中更多关于幽灵工作的主题。

现在，各位安全专家，让我带你们去美丽的意大利。我们都爱意大利。美味的食物、精美的建筑、友善的人们、宜人的天气。

它是世界上最好的国家之一。美丽的海岸线。是的，真是太棒了。

看起来像一只靴子。还有什么可说的呢？你真的……

……在亲身经历时，真的能感受到吗？

不，你真的很难从那儿看出。这并不容易看出。必须放大。

让它放大到很高。好吧。

不幸的是，坏消息来了，据称黑客窃取了一些该国最杰出人物（包括政治家）的机密数据。他们甚至声称访问了意大利总统塞尔吉奥·马泰利（Sergio Mattarella）的电子邮件内容。因此，警方已逮捕了四名与该间谍和黑客丑闻有关的人。被捕的人中包括一位前超级杯警官。

超级杯是什么？

超级杯是指……一位非常重要的警察。在本例中，这位高级警官因其对黑手党团伙的调查、在拯救肾脏受害者中的成功而闻名。

所以他是一位非常、非常、非常重要的警察。就是这样。

他还逮捕了另一位名叫 Nzo Kaleda 的人物，他与匿名运动有关。他声称过去曾入侵过五角大楼，而领导这个黑客团伙的人被怀疑编制了文件，编制了文件，不亚于此。

好的。

就像纸上谈兵一样。是的，人们会说，“你能收集一些信息吗？”“哦，是的，我们可以做到。”因此，他们非法从高度敏感的国家安全数据库中收集数据，以满足客户的要求。

他们不是想弄清楚他喜欢抽哪种雪茄，你知道，作为圣诞礼物，对吧？但我的意思是，是的。

那将是极端犯罪，而不是为了圣诞节给某人买什么礼物，而是为了拦截圣诞老人的电子邮件，看看人们在圣诞节愿望清单上写了什么。也许。因此，有一个名为 Equalize 的私人调查公司，由这位前超级杯警官经营。

据称，这家公司是这场丑闻的核心，据称它非法访问了政府的国家安全数据库。这家私人调查公司从 2018 年到今年早些时候都访问了这些数据库。你开玩笑吗？五年来……

……他们默默地记录着所有经过的事情。

在警察的窃听器中。据称，Nzo Kaleda 在工作期间窃取了 80 万人的信息。看起来这家……

……公司，它被描述为近年来最令人震惊的政府数据泄露事件之一。所以你可能会想，他们是如何访问这些高度敏感的安全数据库的？

是的。

你正在思考这个问题。

是的，是的，我做得很好。好的，好的。

我将告诉你们，根据政治家（他们在当天报道了这个故事）的说法，卡莱达的团队正在为内政部创建和维护数据库。

在 Equalize 的幌子下。

他们说，“我们可以帮你解决这个问题。”但是到了晚上，他们据称下载了数千名意大利人的私人信息，包括总统和前总理马特奥·伦齐。

以及什么？还删除了日志。因此，没有人能看到这一切正在发生。

事实上，据称，卡莱达在这些窃听器上被记录下来，并且数据库是由他的人员设计的，他说，由科切雷斯（Cocheres）的那些家伙设计的。这些是我的伙计们。你们已经设置了这些窃听器，它们在物理服务中拥有 IT，并且我们拥有远程访问。特伦。

是的。所以，这是一个巨大的阴谋。是的，好的。是的。

许多人被指控从包括一家意大利面制造商员工的详细信息在内的信息来源中窃取信息。

好的，不是食谱，而是……

……食谱中的一些员工。以及意大利能源公司 ERG。还有三家意大利主要报纸的记者和一位流行歌手。

好的。

然后这些数据被出售给了客户。因此，据称，自 2009 年以来，那些说“你有没有数据”或用它来敲诈 IT 的人，据称是企业家和政治家，他们据称在欧洲赚了数百万美元的贿赂。

基本上。我知道你做了……因为我有你的电子邮件，给我 5 万美元。

或者他们是否从想要这些数据的人那里得到了报酬。在一个据称被记录下来的对话中，这位超级杯警官或前超级杯警官说，他有一些视频显示了成员 Ruby（心偷贼）是舞者。他特别关注他在 17 岁时遇到的女性。这位前超级杯警官被记录下来，声称他有一些视频显示了布尔森（Burleson）的恶行。

所以他至少在节目中提到过她。杰兹，那些……

……被捕的人中包括一位名叫梅西亚·伊奥·坎普·诺沃的领导人。对我来说很容易说。现在，他要么是私人侦探，要么是黑客，这取决于你阅读哪家报纸。也许现在都是这样。他告诉处理此案的法官，他担心自己的安全和家人的安全，因为他表示，“我代表 Equalize 收集了很多数据并撰写了报告，我可能在高层或低层有敌人，谁知道呢，但无论如何，他因此而担心。”

是的，啊，是的，你应该这样做，因为你错过了……是的，是的。

这涉及许多有权势的……

……人，是的，而现在你实际上……

……不仅要关注你从谁那里获取数据的人，还要关注要求数据的人，对吧？那些付钱的人是谁？私人调查……

……公司来挖掘丑闻。数百人。因此，如果他们获得了大量电子邮件……

……以及其他记录、财务记录和各种信息，这些信息可能会令人尴尬。到目前为止，已有 60 人与这次泄露事件有关。因此，可能还有更多人，不仅仅是意大利。正如我之前提到的，据称有程序员为这个团伙工作，地点是所有地方的库切斯特。因此，如果检察官正确，我们就有私人调查公司从政府数据库中窃取高度敏感信息，包括我们的政治家、企业家、奥运运动员、流行明星以及能源公司。

和能源公司。

以及能源公司和面粉制造商。我们不能忘记他们。

对吧？是的。

他们为什么要这样做？IT。福克。你认为是谁？

不知道。你有没有……

……任何怀疑？没有。

对不起。好的？外星人。所以他们为外星人工作？

不，不，奇怪的是，到目前为止没有暗示。好的，好的，几……

……但哪些类型泄露给了意大利媒体？很明显，每个人都在泄露所有信息。意大利媒体从一位警官那里获得了大量泄密信息。

而且，据称 Equalize 的客户还包括以色列情报机构。你可能不会感到惊讶。我的意思是，坦率地说，我对此……

……并不比……

……没有客户。好的。

嗯，谁被提到……

……疲劳。

墙上的什么，你知道，好的，哇。好的。

所以很有趣。

他们发表评论了吗？

嗯，Politico 要求发表评论。

很好，他们似乎……

……提交了书面请求。我不知道这是否意味着他们写了一封信或其他什么，我不知道，我认为……

……如果他们要求大量数据，他们会把它写下来。

这位专家还没有回应。

好的。是的，但你知道……

……这是一个刚刚爆发的新闻故事，还有更多调查要做。看起来规模很大。这让我觉得有趣，因为这就像一个主要局限于当地的事情，你可以以某种方式忽略它。但我很好奇其他国家是否也存在类似的情况，一些政府机构是否将某些数据库的管理外包给了可能在非工作时间访问这些数据并以其他方式获利的人。

好的，这太离谱了。我要说的是，梵蒂冈以某种方式要求信息，感觉……

……对我来说，这比政治敌人获得这些信息更不危险。

你是一个可爱的人，格雷厄姆，可能非常、非常无辜。但我认为任何强大的组织都有能力做可怕的事情。有时我想知道他们打算用这些信息做什么。也许他们不会在黑暗中打电话给你。

不，不，我怀疑他们可能会说，“你真的想这样做吗？”限制这些记录的审查。嗯，让我向你们展示这种温和的胁迫。

你想当教皇吗？你想当一个……我们有一些关于你的信息。所以意大利政治家，理解开放的怀抱，如果你想的话，意大利的姿态，他们会张开双臂。是的，这是一个巨大的黑客事件，到目前为止被捕的人拒绝回答负责此案的法官的问题。

看看这将如何发展，因为随着指控变得越来越严重，我认为他们将面临压力，可能会透露一些真正发生的事情，以及格雷厄姆，你本周的主题是什么？

本周，我将讨论幽灵工作职位。你听说过吗？

这是指你公司发布的实际上并不存在的职位吗？

是的。

你很接近了，好的。你为什么要这样做？

我完全不知道，因为，你知道，我猜我一段时间以来一直在寻找全职工作，我没有花时间在 LinkedIn 上，但我似乎发现缺乏积极的信号，我想听听你的意见。好的。所以，对吧？好的。

所以，对于那些不知道的人，正如格雷厄姆所建议的那样，幽灵工作是指一个组织发布的职位，但该职位要么不存在，要么已经被填补。所以，想象一下，我们有一个名叫凯夫的虚构朋友，他找到了完美的职位，花所有时间打磨他的简历，详细撰写求职信，以增加获得面试的机会。

同时……

……他只是在转圈，因为实际上没有工作可做。

所以，对他来说，时间浪费了，对吧？是的，是的。

这是完全浪费时间，对吧？你知道，如果发生在我身上，我会感到沮丧，对吧？我会感到有点恼火。

有些公司发布职位，因为他们必须发布职位，但他们公司内部已经有人了。所以，我不知道这是否是发布职位的法律要求，但他们实际上已经知道他们想要谁了。如果发生这种情况，那很烦人。但这与……

……似乎有所不同。你知道，我在想，这会很小众，对吧？这会很小众。

它并不那么小众。犯罪？不，我的完美简历。因此，他们最近发表了一项研究，称 81% 的招聘人员承认发布了幽灵工作。81%。

为了展示他们真的很受欢迎，招聘机构……我将谈到这一点。

你开始在脑海中思考原因，好的，简历构建器，好的，他们说 2024 年 40% 的公司承认发布了虚假职位。所以几乎……好的。

我有一个不同的理论。这可能是什么。

好的，这可能是什么。

好的，这可能是什么。他们还发现 30% 的公司目前正在发布实际上并不存在的职位。

对吧？好的。

为什么公司会这样做？格雷厄姆，说说你的想法。

这是招聘机构在做，还是发布职位的公司？

通常两者都有，经常是人力资源部门，或者高管层，例如首席执行官、副总裁，如果他们与公司关系紧张，或者……

……招聘代理商。一些理论，好的。第一，你有一个非常糟糕的部门，对吧？这就像大多数首席执行官一样。

你必须让他相信你很忙，对吧？你不想让他走得太远。你不想让他走进来。同样，你们在做什么？你们坐在那里修指甲。

所以，你开始发布幽灵工作，并不断试图让首席执行官相信公司做得很好，我们很努力，我们正在寻找合适的人。哦，天哪。

是的，你知道，但我们很活跃。至少我们正在做一些事情。老板。所以，这是孩子们吗？

这是一个很好的理论。

是的，我认为这并不是……

……它不在我的清单上。我的清单上有很多。

另一个理论是，你是一家招聘机构，你想说你有很多工作，所以你发布了虚假职位，以便更多人注册你的服务，并提供他们的资格，以便他们将来在你的真实职位广告中使用，但与此同时，他们发布了诱人的虚假职位。

好的，这很接近。非常接近。所以，好的，让我们补充一些。

是的，好的。

让我补充一些。然后我们会回来。好的，好的。其中之一是建立一个候选人池，以防人员变动。

对吧？好的，好的。所以，如果有人接受了这份工作，一周半后就辞职了。

是的，我无法相信他们不让我在办公室吃甜甜圈。我得走了。我要走了。

还有收集简历，做一些数据挖掘。

对吧？

了解市场，看看是否有特定技能可用。所以，你可能会想，“我们有多少个链接项目可用？”以及了解薪资期望，例如，如果你想要这份工作年薪 6 万美元，你可能会将其定为 7 万 2 千美元，以营造增长印象。这基本上是为了吸引投资者、保持积极的公众形象，或者看起来很活跃，即使你正在经历招聘冻结。这似乎……

……虽然不是这样，是的，但还有两个让我感到震惊的。好的，好的。

继续。所以，第一点……

……参加。我们很震惊。你可能一点也不震惊。你比我更冷静。为了让员工相信额外的资源即将到来，而你从未打算填补这个职位。你知道有多少人调查了这一点。

不可能。

十分之六，60%。我认为那是 61%。所以超过 60% 的人这样做是为了这个原因。

是的，也许你……你让同事……是的，你让同事，他们说，“你能代替你的同事吗？”免费。我们正在招聘。我们正在招聘。

你只是继续……你，你的薪资包，继续工作。

我们找不到合适的人，但我们绝对正在招聘。

好的，这很荒谬。这在哪里？明白了吗？十分之六，60% 以上的调查。

是的。他们还表示，这样做是为了让员工感到焦虑。就像让你的员工感到紧张。这是高员工保留率的秘密。谁知道？

这总是关于……职位。不要开始要求加薪，因为我们……

……正在招聘，对吧？我们正在招聘。就像，“老板，为什么我的职位出现在招聘网站上？”嗯，只是想知道。因此，简历构建器似乎表示发布幽灵工作对收入生产力有积极影响。

令人惊讶的是，他们表示员工士气……我心想，“真的吗？”当一位过度劳累的员工意识到没有缓解措施时，他们会说，“哦，我爱这个人。我爱这家公司。我爱他们对待我的方式。”

其中一个服务，这听起来像是所有这些公司都在进行调查。我说，“等等，等等。”60% 的公司都在这样做。我感觉就像……什么都没有。

不，我认为应该关注候选人，对吧？所以所有这些大工作就像在服用药物，寻找自己生命中的挚爱一样，他们花大量时间申请根本不存在或不会被填补的职位。调查显示，80%的受访公司承认这样做，这很糟糕。但我认为这似乎不是违法的，对吧？

好的，我明白这很复杂。

你知道，尤其以美国为例，你会有州法律，但IT很奇怪，因为联邦贸易委员会法禁止商业中的不公平或欺骗行为。那么，故意发布虚假职位广告怎么能不违反这一规定呢？

在职位空缺的情况下，发布广告不是违规吗？不，我知道，但这就像在广告，广告一些你无法理解的东西。你喜欢那样。是的，你如何在英国使它成为非法行为？

你知道，我找到的最好的地方可能是就业机构法，该法要求就业机构就其服务透明化，并禁止不公平行为。所以，在我看来，在广告上大写红色字体写上“虚假职位，请勿申请”可能会有帮助。而且，我听说在LinkedIn上这是一个大问题。

然后我想知道LinkedIn是否关心这个问题，对吧？因为在他们的平台上，他们是否有任何识别可疑内容的方法？显然他们有。

哦，基本上现在这就像一个西部世界，一方掌握所有筹码，而卑微的求职者则被摆布。你对虚假职位能做些什么？你几乎什么都做不了。

我看到的建议是寻找模糊的描述，因此，缺乏关于责任、谎言和资格的具体细节的职位列表，可能是虚假职位，可能是长期未更新的职位。我也从其他人那里听说过。所以，未更新超过30天的职位通常被认为是虚假职位。

对，以及...

重复的职位列表。所以，如果一个职位频繁出现或被重复发布多次，这可能表明它并没有积极地...

...被填补。难道公司重新发布这些广告要花很多钱吗？我的意思是，他们是否真的那么关心员工士气，但他们...但他们好，但他们的...

...员工士气，因为在某些情况下，他们似乎只是想制造紧张感，以找到替代者。无论如何，我认为这不是一个很好的公司运营方式。

你不认为这...

...在0到10的“酷”等级中得分很低。它更接近于零。

这些网站——Smashing Security、Flashpoint 2024——是安全领域ATS（申请跟踪系统）的一年，与以往不同。社会安全事件持续增加。现在，地缘政治不稳定性带来了新的风险和不确定性。去年，勒索软件攻击增加了惊人的84%，数据泄露事件增加了34%。

结果，全球数百万美元的经济损失和安全威胁，这就是Flashpoint发挥作用的地方。Flashpoint使组织能够做出关键决策，以保护其人员和资产安全。他们怎么做到的？

通过将尖端技术与世界级分析团队的专业知识相结合，以及Flashpoint屡获殊荣的威胁情报平台，您可以访问关键数据、情报、警报和分析，所有这些都在一个地方。Flashpoint是全球关键业务和政府信任的平台，可以访问业界最佳的威胁数据和情报。今天访问flashpoint.io。

无论您是扩大规模还是完善公司的安全计划，展示最佳安全实践并建立信任比以往任何时候都更加重要。Vanta自动化合规性，从SOC 2到ISO 27001等等，节省您的时间和金钱，同时帮助您建立客户信任。

此外，您可以通过自动化问卷调查来简化安全审核，从而展示您的安全态势，并赢得客户信任，所有这些都由Vanta AI提供支持。全球超过7000家公司，例如Asian Flow Health和Cora，使用Vanta来管理风险并实时证明安全性。访问vanta.com/smashing即可获得1000美元的Vanta。

那是vanta.com/smashing。但是1000美元的...快速提问。您的最终用户是否始终（我的意思是，始终，没有例外）在公司拥有的设备和IT批准的应用程序上工作？我不这么认为。

所以我的下一个问题是，当您的公司数据存储在所有这些未经管理的设备和应用程序上时，如何保护它？OnePassword拥有一个解决方案，称为扩展访问管理。OnePassword扩展访问管理可帮助您保护每个应用程序和每个设备上的每个登录。

因为它解决了问题。传统的IAM和MDM无法触及。自己去onepassword.com/smashing看看吧。那是onepassword.com/smashing。感谢OnePassword团队对本节目以及...欢迎回来，我们最喜欢的节目部分，我们喜欢称之为...

...本周的精选。

本周，本周。因为本周是节目后的部分，每个人都会分享他们觉得有趣的故事、书籍、电视节目、电影、唱片、播客、网站或应用程序，无论他们想分享什么。它不必一定是与安全相关的。

最好不是。好吧，我本周的精选是...它与安全无关。

很好。所以，在录制节目的当天，美国人将前往投票站。今天不仅仅是男性。是的。

我非常罕见。

当然，将来有人会收听这个节目。在美利坚合众国投票结束后，有人会收听这个节目。但是，如果您想，如果您想，请记住2020年、2021年等混乱的旧日子。我有一个可能相关的播客。这是一个由BBC Sounds播出的播客，由BBC Jane's Gabbi O'Gatehouse制作的播客，名为《即将到来的风暴》。

我真的很喜欢它。

是的。你听过吗？

是的，我听过一些。

它非常好。它探讨了2021年1月华盛顿方向的背景。但它不仅仅是回顾QAnon阴谋论和互联网上令人不快的讨论论坛。它以一种更广泛的方式回顾过去，追溯到500年前的审判、瑜伽老师，一直到矩阵、技术浏览和竞选国会议员以废除联邦政府。所有这些都是...是的。

由BBC Jane's Gabbi O'Gatehouse制作。我听过第一季，它很棒。我不知道为什么我做了一个...我们来谈谈...

第二季现在...我没有听过第一季。我一直在听...我一直在听第二季。

他的声音很棒，制作得非常好，就像很多BBC播客一样，老实说。所以它很有趣。它很严肃。有时它会谈论一些令人不安的话题，但我认为如果更多人听，那可能是一件好事。它不仅仅是一个播客。

它也是一本书，我没有读过，但我很想读，但根据播客判断，它会是一本很棒的书。无论如何，我的播客推荐是《即将到来的风暴》播客，我真的很喜欢它。你应该听听它，这是我的...

...本周的精选。

科拉，你的本周精选是什么？

很好。我不知道以前是否发生过这种情况。我没有和你一样的精选，但它非常相似。哦，所以我有BBC播客。所以很好。

节目中是否有你希望...

...由约翰·朗森发布的赞助商？

哦，是的。

所以他感兴趣...

是的。

他是一位记者和作者，几十年来一直热衷于处理数字时代文化战争。

这非常相似。这非常相似。

我知道，所以如果有人喜欢你的，他们也会喜欢我的。我的播客推荐是《即将到来的风暴》的第二季。它是一个独立的节目，你可以随时收听，每集都讨论一个热门话题或问题，其中善意的人以某种方式变成了极端分子。

所以从...

...基督教原教旨主义、反疫苗运动、比尔·普雷特抗议活动，他都涉及到了，他似乎很想知道人们为什么做他们做的事情，以及是什么导致了他们的决定。所以，很多其他故事都有你可能读到的标题，而他会填补故事的细节。

这几乎就像我们没有在节目中讨论我们要讨论的内容。酷。在我们录制节目之前。

是的，我知道它与...以及...这也很奇怪。格雷厄姆，我在我的笔记中写了这个，约翰。他有一个奇怪的声音。

这似乎有点不公平。他有一个独特的嗓音。

好的，公平。他有一个不寻常的声音，我喜欢，但我可以想象有些人可能不喜欢。

所以，其他人也有独特的嗓音，人们可能不喜欢。

是的，格雷厄姆。

是的，他们很棒。

所以，这些故事经过精心研究，以一种奇怪而引人入胜的方式讲述。如果这听起来像你的菜，你可以从你的播客应用程序中找到它。这是BBC的《事情分崩离析》，这是我的本周精选。

这有多奇怪？等等。好吧，这结束了本周的节目。你可以在Twitter上关注我们，@SmashinSecurity。没有g，是@SmashinSecurity，别忘了确保你永远不会错过Smashing Security的任何一集，在你的播客应用程序中，比如Apple Podcasts、Spotify和Pocket Casts。

非常感谢我们的赞助商Vanta、OnePassword和Flashpoint，以及我们的赞助商。感谢所有支持，让这个节目免费，包括赞助信息，以及整个节目目录，超过391集。查看Smashing Security文档...

直到下次再见。谢罗，再见，再见。

不能称约翰的声音为“奇怪”，因为他永远不会出现在播客中。现在我们看到他听到这个，可能会很生气。

但他并不认为你是奇怪的。

你认为你是奇怪的？我是奇怪的。

你认为你是奇怪的？我是奇怪的。

是的，我认为你应该说“我”，而不是“你”。

是的，好的，你是最正常的人。

我见过很多。

是的，我们确实。再见。