Ki1shan/Zorvyn-Internship-Scam

# 🚨 Zorvyn 实习骗局 — 技术调查报告     ## ⚠️ 免责声明 本报告仅出于**教育普及和公众警告**目的而发布。在本次调查期间，未执行任何有害或未经授权的操作。所有调查结果均是通过对作为实习生向我提供的系统进行被动观察和合法的参数测试获得的。 ## 概述 最初看似是在 **"Zorvyn FinTech Pvt. Ltd."** 的一份正规的网络安全分析师实习工作，通过系统的技术分析被证实是一个结构严密的实习骗局。 该骗局结合了： - 社会工程学（虚假录用通知、经理沟通、仪表盘） - 客户端 Web 伪造（无真实后端） - 针对学生的基于报销的支付陷阱 本代码库包含了完整的调查过程——电子邮件记录、屏幕截图以及技术分析——旨在帮助他人识别并防范类似骗局。 ## 证据文件 | 文件 | 描述 | |------|-------------| | `Your Offer Letter...pdf` | 虚假录用通知（承诺 ₹45,000/月的薪资） | | `Welcome to the Team...pdf` | 建立虚假合法性的入职电子邮件 | | `Please Complete Your Welcome Kit Form...pdf` | 借虚假入职之名进行数据收集 | | `Your Project Overview and Training Task...pdf` | 引导购买软件的任务分配 | | `Follow Up on Pending Task and Software Reimbursement.pdf` | 为诱导付款而作出的报销承诺 | | `Your Welcome Kit Has Been Ordered...pdf` | 用于建立信任的虚假物流信息 | | `Your Welcome Kit is Packed and Ready to Ship...pdf` | 持续的虚假发货模拟 | | `Your Signed Offer Letter Submission is Pending.pdf` | 索要个人数据的施压手段 | | 屏幕截图 | 平台分析 — URL 篡改、Localhost 暴露、虚假模块 | ## 调查方法 我没有盲目信任该平台，而是以渗透测试人员的身份对其进行了检测： - 观察系统行为和 UI 模式 - 分析 URL 结构和参数处理 - 测试参数篡改和访问控制 - 通过行为分析验证后端是否存在 - 交叉核对电子邮件工作流和域名历史记录 ## 技术发现 ### 发现 1 — 基于报销的支付陷阱 该公司要求实习生预先购买软件，并承诺通过其门户网站进行报销。 **危险信号：** 正规公司绝不会要求实习生进行预先购买。没有书面记录或官方政策文件的报销承诺是典型的社会工程学诱饵。 ### 发现 2 — 基于 URL 的身份注入（失效的访问控制） 报销门户通过 URL 参数传递完整的用户身份信息： ``` /reimbursements/approved?full_name=KISHAN&email=kishan@gmail.com&employee_id=ZFT-1234&software=... ``` **执行的测试：** 直接在 URL 中修改了 `full_name`、`email` 和 `employee_id` 的值。 **结果：** 更改立即反映在页面上——姓名、电子邮件和金额全部更新。 **影响：** - 零后端验证 - 完全由客户端控制的系统 - 任何用户都可以冒充任何身份 - 失效的访问控制 (OWASP A01) ### 发现 3 — Localhost URL 暴露 该平台泄露了内部开发 URL： ``` http://localhost:3003/... ``` **影响：** - 开发环境与用户所见未作分离 - 没有正规的生产部署 - 强烈表明后端是虚假或未完成的 ### 发现 4 — 无真实后端（SQL 注入无效结果） 标准的 SQL 注入探测没有返回任何错误，也没有出现异常行为——这并非因为安全防护到位，而是因为： 该系统完全是客户端模拟的。这证实了不存在任何真实的后端基础设施。 ### 发现 5 — 虚假的仪表盘模块 | 模块 | 宣称功能 | 现实情况 | |--------|-----------------|---------| | Logistics | "Welcome kit 已发货" | 无追踪 ID，无快递集成 | | Webmail | 公司收件箱 | "7-8 天内激活" — 永远不会激活 | | Referrals | 推荐系统 | 被锁定，依赖于虚假的 Webmail | | Reimbursement | 支付门户 | 仅限客户端，无真实支付 | 每个模块的存在纯粹是为了构建视觉上的合法性——它们都没有功能性的后端。 ### 发现 6 — 域名轮换 该平台在交互中途更换了域名： ``` Original: zorvyn.org / zorvyn.co Shifted: zorvyn.live ``` **意义：** 在运营过程中切换域名是诈骗操作者常用的手段，旨在逃避检测、重置信誉，并避免被搜索引擎或欺诈数据库标记。 ### 发现 7 — 心理操纵序列 该骗局在触发支付之前，遵循一套蓄意建立信任的序列： ``` Step 1: Offer letter sent (₹45,000 salary) Step 2: Welcome email + manager introduction Step 3: Dashboard access granted Step 4: Welcome kit "ordered" and "shipped" Step 5: Task assigned (software required) Step 6: Software purchase requested Step 7: Reimbursement promised via fake portal Step 8: No payment made ``` 在财务陷阱被触发之前，每一个步骤都在不断增加心理上的投入。 ## 技术总结 | 组件 | 宣称情况 | 现实情况 | |-----------|---------|---------| | Authentication | 安全登录 | 脆弱 / 可绕过 | | Backend | 完整的 Web 平台 | 不存在 — 客户端模拟 | | Data Handling | 安全存储 | URL 参数 — 无服务器验证 | | Database | 用户记录 | 不存在 | | Logistics | 真实快递 | 虚假追踪，无集成 | | Webmail | 公司邮件 | 永远不会激活 | | Infrastructure | 生产平台 | Localhost 泄露，未完成 | | Security | 企业级 | 不存在 | ## 影响评估 **严重程度：严重** - **财务方面** — 学生为软件付款却得不到报销 - **数据方面** — 通过虚假表单收集个人数据（姓名、电子邮件、地址、银行详细信息） - **心理方面** — 长期操纵在陷阱触发前制造了情感上的投入 - **声誉方面** — 以学生的名义创建了虚假的就业记录 ## 结论 ``` ⚠️ CONFIRMED INTERNSHIP SCAM This is not a legitimate company or internship program. Zorvyn FinTech Pvt. Ltd. operates a fully structured social engineering + payment exploitation scheme targeting cybersecurity students and job seekers. ``` ## 需警惕的危险信号 如果您遇到类似的实习录用机会，请注意以下几点： - 要求报销任何软件或设备的费用 - 录用通知上标明高薪但工作内容模糊 - URL 参数控制着页面上显示数据的门户网站 - "7-8 天内激活"却从未激活的 Webmail - 没有真实追踪信息的 Welcome kit - 在您参与过程中更改的域名 - 主管仅通过电子邮件沟通，从不进行视频通话 ## 核心经验 - 务必独立核实公司的注册信息和实际地址 - 测试报销门户——正规的门户不会将您的数据放在 URL 中 - Localhost URL 泄露到生产环境中是一个极其明显的危险信号 - 如果没有真实的后端，精美的 UI 毫无意义 - 社会工程学攻击是通过长期建立信任然后再下手的 ## 作者 **Kishan N** 攻击性安全工程师 | 网络安全研究员 在发现该平台行为中的可疑模式后，运用渗透测试方法调查了该骗局。公开发布以保护其他学生免受同样的陷阱伤害。 *有时最有价值的安全课程并非来自实验室——而是来自那些试图欺骗你的人。*

标签：ESC4, ESC8, OSINT, Web安全, 人力资源诈骗, 伪冒身份, 参数篡改, 域名轮换, 学生诈骗, 安全取证, 安全意识, 安全教育, 实习诈骗, 客户端操纵, 开源情报分析, 技术调查, 搜索语句（dork）, 数据展示, 欺诈分析, 求职欺诈, 社会工程学, 红队, 网络威胁情报, 网络安全, 网络欺诈, 网络犯罪, 蓝队分析, 虚假后端, 钓鱼诈骗, 防御分析, 隐私保护, 黑产曝光