Как распознать и избежать мошенничества при поиске работы
Мошеннические схемы в вакансиях становятся всё хитрее, особенно в IT-сфере. Этот гайд поможет вам вовремя заметить признаки обмана и защитить свои данные и активы.
🚨 КРИТИЧЕСКИ ВАЖНО!
- Никогда не заходите под своими аккаунтами Google, Apple, Госуслуги, GitHub или любыми другими на платформы по просьбе работодателей
- Не запускайте подозрительные репозитории и код из тестовых заданий — они могут содержать вредоносное ПО, которое ворует данные и криптокошельки. Не скачивайте APK-файлы на Android
- Никогда не переводите деньги работодателю "для оформления", "для залога", "для верификации аккаунта", "пополнения счета торгового бота", "доступа к фриланс-бирже" или под любым другим предлогом. Не покупайте обучение под видом вакансии
- Не подключайте криптокошельки к ботам и не давайте доступ к ним. Не торгуйте NFT в подозрительных приложениях
- Не отправляйте коды подтверждения, пароли, seed-фразы или любые другие данные для доступа к вашим аккаунтам или кошелькам
Признаки скама по тексту вакансии (можно заметить сразу):
- Слишком высокая зарплата для должности: Предложение значительно выше рыночного. Например, "модератор чатов 60-80k₽", "тестировщик без опыта 100k₽", "удаленный помощник 150k₽".
- Слишком вкусные обещания: "Всему научим", "Без опыта", "Менторы помогут", "Можно с минимальным опытом" — для позиций, которые обычно требуют квалификации.
- Нетребовательная работа за большие деньги: Простые задачи (модерация, тестирование без знаний, "клики по ссылкам") с завышенной зарплатой.
- Расплывчатое описание обязанностей: Акцент на "легкий заработок", "работа из дома", "гибкий график", но непонятно, что именно делать.
- Упоминание криптовалюты/NFT/торговли: Если это не специализированная вакансия в криптокомпании.
- Слишком быстрый найм: "Начать сегодня", "Срочно нужны люди", "Набор ограничен" — искусственное давление.
- Подозрительные профили и сайт: Профили "рекрутеров" в соцсетях выглядят неактивными, фейковыми (проверьте фото через Google Images!). Сайт компании сырой, создан недавно или сразу просит подключить кошелёк.
Красные флаги в процессе общения:
- Требуют запустить их код или установить ПО: Особенно для тестового задания или перед полноценным собеседованием, часто это способ распространить вредоносное ПО. Просят скачать APK-файл на Android.
- Просят войти в их "корпоративные" платформы: Требуют авторизации через Google, Apple, Госуслуги, GitHub или другие аккаунты на подозрительных сайтах — цель украсть доступ к вашим аккаунтам.
- Просят любые переводы денег: Верификация платежом, пополнение торгового бота, доступ к фриланс-бирже, торговля NFT в их приложении, или продажа обучения под видом вакансии.
- Странности в общении: Категорический отказ от видеозвонка, чрезмерная спешка и давление с целью заставить вас быстро принять решение. Переводят общение в Telegram сразу.
- Искусственная срочность: "Код доступа действует 24 часа", "Предложение только сегодня", "Нужно решить прямо сейчас".
Как обычно выглядит схема обмана:
Вы получаете приглашение на собеседование в LinkedIn или находите перспективную вакансию на Hirify — всё выглядит вполне реально и профессионально. Часто мошенники ищут разработчика под предлогом "завершения проекта", "помощи с почти готовым приложением" или "срочной доработки системы".
После короткого первичного общения, которое могут попытаться быстро перевести в Telegram, вам предложат "собеседование" (зачастую без видео со стороны "работодателя") или сразу перейдут к "тестовому заданию". Оно может включать:
- Клонирование подозрительного репозитория (часто новый, с небольшим количеством коммитов)
- Установку кастомного софта по "конфиденциальной" инструкции
- Авторизацию на их "корпоративной платформе" через ваши личные аккаунты
- Предоставление доступа к вашим аккаунтам "для тестирования интеграций"
Иногда создается искусственная срочность, например, заявлением, что код доступа к системе или заданию "действует ограниченное время".
В процессе вас могут попросить предоставить различную личную информацию — от данных об ОС до авторизации в ваших аккаунтах якобы "для настройки рабочей среды". Запуск предоставленного кода или программы (где вредоносный элемент может быть скрыт в npm-пакетах или обфусцированных скриптах) может инициировать незаметную фоновую активность. Авторизация на их платформах через ваши аккаунты даёт им полный доступ к вашим данным. Конечная цель — получить несанкционированный доступ к вашим аккаунтам, данным, а в случае с криптовалютными кошельками — и к средствам. После успешной атаки "работодатель", как правило, исчезает.
О тестовых заданиях и работе без предоплаты:
Тестовые задания без оплаты — это ваш личный выбор. Будьте готовы к тому, что вас могут не взять на работу после выполнения задания, или задание может оказаться способом получить бесплатную работу. Это не всегда мошенничество, но риск есть.
⚠️ Работа без предоплаты
Никогда не начинайте работу без хотя бы частичной предоплаты. Это один из главных признаков мошенничества. Случаи, когда обещают "выплаты раз в неделю" или "в конце месяца", а потом исчезают после того, как вы выполнили работу — типичная схема обмана.
Адекватные работодатели понимают ценность вашего времени и всегда готовы обсудить условия предоплаты или аванса, особенно для фриланса и удаленной работы.
Опасные офлайн-вакансии: принудительный труд и трафикинг
В последние годы участились случаи, когда людей заманивают на «работу» в страны Юго-Восточной Азии (Таиланд, Мьянма, Камбоджа, Лаос), Ближнего Востока и Африки, после чего забирают документы и принуждают к труду. Это не просто мошенничество — это торговля людьми.
Как это обычно выглядит:
- Вакансия с высокой зарплатой, офлайн-работа в экзотической стране
- Нет информации о компании или она минимальна — только email или Telegram
- Обещают оплатить перелёт и проживание
- Просят приехать лично, иногда через посредников
- После приезда забирают паспорт «для оформления» и не возвращают
Как защитить себя:
- Никому не отдавайте паспорт и документы — ни работодателю, ни посреднику, ни «помощнику»
- Тщательно проверяйте работодателя до выезда: ищите отзывы, проверяйте юридическое лицо, сайт, LinkedIn
- Сообщите близким точный адрес, название компании и контакты, куда вы едете
- Храните копии документов в облаке и у доверенного лица
- Если с вами уже произошла подобная ситуация — обращайтесь в посольство вашей страны и местную полицию
Как защитить себя:
- Не запускайте незнакомый код или ПО: Вместо этого предложите провести live coding сессию или попросите задачу, не требующую запуска их файлов на вашем устройстве.
- Тщательно проверяйте репозитории: Обращайте внимание на малое количество коммитов, обфусцированный (запутанный) код или несоответствие описанию проекта.
- Изучайте профили и компанию: Ищите информацию о компании и её представителях в интернете. Проверяйте отзывы и активность.
- Проверяйте рекрутера: Если сомневаетесь, попросите ссылку на LinkedIn профиль или другую профессиональную соцсеть. Настоящие рекрутеры обычно имеют развитый профиль с историей работы и контактами. Да, в Telegram с этим сложнее, но легитимные рекрутеры готовы подтвердить свою личность.
- Никогда не используйте основные аккаунты: Если для тестового задания требуется авторизация, создайте отдельные тестовые аккаунты без доступа к важным данным.
- Не предоставляйте паспортные данные и документы: Не отправляйте скан паспорта, СНИЛС, ИНН и другие документы до официального оформления. Мошенники могут использовать их для кражи личности и оформления займов на ваше имя.
- Требуйте предоплату перед началом работы: Легитимные работодатели всегда готовы обсудить условия частичной предоплаты.
- Сообщайте о подозрениях: Если вакансия кажется мошеннической, сообщите об этом в службу поддержки платформы, где вы её нашли.
ВАЖНО: Если всё же нужно протестировать код
Если вы всё же решили протестировать подозрительный код или ПО, обязательно делайте это в изолированной среде: используйте "песочницу" (sandbox) или виртуальную машину, на которой нет доступа к вашим личным данным, аккаунтам и важным файлам.
Мошенники постоянно совершенствуют свои методы, используя новые технологии и психологические приёмы. Будьте бдительны и критически оценивайте каждое предложение — это ключевой шаг для защиты ваших данных, аккаунтов и финансов.
Ссылки и полезные ресурсы:
- EVM Blacklist (тут постят некоторые профайлы скамеров)
- Поиск работы в крипте | ОСТОРОЖНО, МОШЕННИКИ!!! Как "работодатель" может забрать у вас все деньги?!
- Мошенничество с вакансиями в криптовалюте раскрыто: поддельное приложение 'GrassCall' опустошает кошельки
- Trying to raise awareness on this common scam for web3 devs
- linkedin web3 fake companies interviewers try to scam you, techdevnest and techvantage
- Скам-центры в Юго-Восточной Азии: принудительный труд и мошенничество (Медуза)
- KK Park — скам-компаунд в Мьянме с принудительным трудом (Wikipedia)