Как распознать и избежать мошенничества при поиске работы (особенно в крипте и Web3)
Мошеннические схемы в вакансиях становятся всё хитрее. Этот гайд поможет вам вовремя заметить признаки обмана и защитить свои данные и активы.
Признаки скам вакансии (на что обратить внимание):
- Слишком высокая зарплата: Предложение значительно выше рыночного для указанной квалификации и опыта.
- Требуют запустить их код или установить ПО: Особенно для тестового задания или перед полноценным собеседованием, часто это способ распространить вредоносное ПО.
- Подозрительные профили и сайт: Профили "рекрутеров" в соцсетях выглядят неактивными, фейковыми (проверьте фото через Google Images!). Сайт компании сырой, создан недавно или сразу просит подключить кошелёк.
- Странности в общении: Категорический отказ от видеозвонка, чрезмерная спешка и давление с целью заставить вас быстро принять решение.
Как обычно выглядит схема обмана:
Вы получаете приглашение на собеседование в LinkedIn или находите перспективную вакансию на Hirify — всё выглядит вполне реально и профессионально. Часто мошенники ищут разработчика под предлогом "завершения DApp" или "помощи с почти готовым Web3 NodeJS проектом".
После короткого первичного общения, которое могут попытаться быстро перевести в Telegram, вам предложат "собеседование" (зачастую без видео со стороны "работодателя") или сразу перейдут к "тестовому заданию". Оно обычно включает требование клонировать репозиторий (часто новый, с небольшим количеством коммитов, иногда являющийся форком другого репозитория) или установить кастомный софт по предоставленной "конфиденциальной" инструкции. Иногда создается искусственная срочность, например, заявлением, что код доступа к системе или заданию "действует ограниченное время".
В процессе вас могут попросить предоставить информацию о вашей ОС или указать адрес криптокошелька — якобы для "будущей зарплаты" или "получения NFT для доступа". Запуск предоставленного кода или программы (где вредоносный элемент может быть скрыт в npm-пакетах или обфусцированных скриптах) может инициировать незаметную фоновую активность или даже открыть окно терминала. Конечная цель — получить несанкционированный доступ к вашим локальным криптокошелькам и вывести средства. После успешной атаки "работодатель", как правило, исчезает.
Как защитить себя:
- Не запускайте незнакомый код или ПО: Вместо этого предложите провести live coding сессию или попросите задачу, не требующую запуска их файлов на вашем устройстве.
- Тщательно проверяйте репозитории: Обращайте внимание на малое количество коммитов, обфусцированный (запутанный) код или отсутствие профильного кода (например, Solidity для Web3-проекта).
- Изучайте профили и компанию: Ищите информацию о компании и её представителях в интернете. Проверяйте отзывы и активность.
- Используйте отдельный "чистый" кошелёк: Если для тестового задания необходимо взаимодействие с крипто-инфраструктурой, используйте кошелёк, на котором нет ваших основных активов.
- Сообщайте о подозрениях: Если вакансия кажется мошеннической, сообщите об этом в службу поддержки платформы, где вы её нашли.
ВАЖНО: Если всё же нужно протестировать код
Если вы всё же решили протестировать подозрительный код или ПО, обязательно делайте это в изолированной среде: используйте "песочницу" (sandbox) или виртуальную машину, на которой нет доступа к вашим личным данным и основным кошелькам.
Мошенники постоянно совершенствуют свои методы. Будьте бдительны и критически оценивайте каждое предложение — это ключевой шаг для защиты ваших финансов и данных.
Ссылки и полезные ресурсы:
- EVM Blacklist (тут постят некоторые профайлы скамеров)
- Поиск работы в крипте | ОСТОРОЖНО, МОШЕННИКИ!!! Как "работодатель" может забрать у вас все деньги?!
- Мошенничество с вакансиями в криптовалюте раскрыто: поддельное приложение 'GrassCall' опустошает кошельки
- Trying to raise awareness on this common scam for web3 devs
- linkedin web3 fake companies interviewers try to scam you, techdevnest and techvantage