Как распознать и избежать мошенничества при поиске работы
Мошеннические схемы в вакансиях становятся всё хитрее, особенно в IT-сфере. Этот гайд поможет вам вовремя заметить признаки обмана и защитить свои данные и активы.
🚨 КРИТИЧЕСКИ ВАЖНО!
Никогда не заходите под своими аккаунтами Google, Apple или любыми другими на подозрительные платформы по просьбе работодателей! У вас пытаются угнать аккаунт — это мошенники!
Признаки скам вакансии (на что обратить внимание):
- Слишком высокая зарплата: Предложение значительно выше рыночного для указанной квалификации и опыта.
- Требуют запустить их код или установить ПО: Особенно для тестового задания или перед полноценным собеседованием, часто это способ распространить вредоносное ПО.
- Просят войти в их "корпоративные" платформы: Требуют авторизации через Google, Apple, GitHub или другие аккаунты на подозрительных сайтах — цель украсть доступ к вашим аккаунтам.
- Подозрительные профили и сайт: Профили "рекрутеров" в соцсетях выглядят неактивными, фейковыми (проверьте фото через Google Images!). Сайт компании сырой, создан недавно или сразу просит подключить кошелёк.
- Странности в общении: Категорический отказ от видеозвонка, чрезмерная спешка и давление с целью заставить вас быстро принять решение.
Как обычно выглядит схема обмана:
Вы получаете приглашение на собеседование в LinkedIn или находите перспективную вакансию на Hirify — всё выглядит вполне реально и профессионально. Часто мошенники ищут разработчика под предлогом "завершения проекта", "помощи с почти готовым приложением" или "срочной доработки системы".
После короткого первичного общения, которое могут попытаться быстро перевести в Telegram, вам предложат "собеседование" (зачастую без видео со стороны "работодателя") или сразу перейдут к "тестовому заданию". Оно может включать:
- Клонирование подозрительного репозитория (часто новый, с небольшим количеством коммитов)
- Установку кастомного софта по "конфиденциальной" инструкции
- Авторизацию на их "корпоративной платформе" через ваши личные аккаунты
- Предоставление доступа к вашим аккаунтам "для тестирования интеграций"
Иногда создается искусственная срочность, например, заявлением, что код доступа к системе или заданию "действует ограниченное время".
В процессе вас могут попросить предоставить различную личную информацию — от данных об ОС до авторизации в ваших аккаунтах якобы "для настройки рабочей среды". Запуск предоставленного кода или программы (где вредоносный элемент может быть скрыт в npm-пакетах или обфусцированных скриптах) может инициировать незаметную фоновую активность. Авторизация на их платформах через ваши аккаунты даёт им полный доступ к вашим данным. Конечная цель — получить несанкционированный доступ к вашим аккаунтам, данным, а в случае с криптовалютными кошельками — и к средствам. После успешной атаки "работодатель", как правило, исчезает.
Как защитить себя:
- Не запускайте незнакомый код или ПО: Вместо этого предложите провести live coding сессию или попросите задачу, не требующую запуска их файлов на вашем устройстве.
- Тщательно проверяйте репозитории: Обращайте внимание на малое количество коммитов, обфусцированный (запутанный) код или несоответствие описанию проекта.
- Изучайте профили и компанию: Ищите информацию о компании и её представителях в интернете. Проверяйте отзывы и активность.
- Никогда не используйте основные аккаунты: Если для тестового задания требуется авторизация, создайте отдельные тестовые аккаунты без доступа к важным данным.
- Не предоставляйте личные данные: Настоящие работодатели не просят личную информацию до официального оформления.
- Сообщайте о подозрениях: Если вакансия кажется мошеннической, сообщите об этом в службу поддержки платформы, где вы её нашли.
ВАЖНО: Если всё же нужно протестировать код
Если вы всё же решили протестировать подозрительный код или ПО, обязательно делайте это в изолированной среде: используйте "песочницу" (sandbox) или виртуальную машину, на которой нет доступа к вашим личным данным, аккаунтам и важным файлам.
Мошенники постоянно совершенствуют свои методы, используя новые технологии и психологические приёмы. Будьте бдительны и критически оценивайте каждое предложение — это ключевой шаг для защиты ваших данных, аккаунтов и финансов.
Ссылки и полезные ресурсы:
- EVM Blacklist (тут постят некоторые профайлы скамеров)
- Поиск работы в крипте | ОСТОРОЖНО, МОШЕННИКИ!!! Как "работодатель" может забрать у вас все деньги?!
- Мошенничество с вакансиями в криптовалюте раскрыто: поддельное приложение 'GrassCall' опустошает кошельки
- Trying to raise awareness on this common scam for web3 devs
- linkedin web3 fake companies interviewers try to scam you, techdevnest and techvantage