Jak bezpiecznie szukać wymarzonej pracy? Przede wszystkim nie daj się naciąć!

avlab.pl 5 miesięcy temu
Zdjęcie: Jak bezpiecznie szukać wymarzonej pracy? Przede wszystkim nie daj się naciąć!


Ponad 350 000 PLN rocznie, praca zdalna i 30 dni płatnego urlopu, a wszystko to za pracę jako młodszy analityk danych. Ta i wiele innych ofert mogą być fałszywe, jak te przykłady – stworzone tylko po to, by nakłonić niczego niepodejrzewające ofiary do przekazania swoich danych. Fałszywe oferty krążące w internecie bywają bardzo dobrze spreparowane, oszuści posuwają się choćby do „skonstruowania” osobowości i życia zawodowego rekruterów lub osób z działów HR, czasami kradnąc w tym celu rzeczywiste dane. Cyberprzestępcy drobiazgowo planują takie działania, a ich końcowym celem jest wykorzystanie zebranych danych do osiągnięcia jakiejś formy zysku – pieniężnego lub innego. Mogą więc w kolejnych krokach wyłudzać dane do bankowości elektronicznej lub np. opłaty np. za fikcyjne szkolenia wdrażające czy „pakiety startowe”, albo pozyskiwać nielegalnie dane osobowe, aby sprzedawać je dalej, na czarnym rynku danych.

Aby chronić się przed tego typu akcjami, warto znać mechanizmy i strategie, po jakie sięgają atakujący.

Uwaga na fałszywych rekruterów

Użytkownicy niestety bardzo często ujawniają zbyt wiele o sobie w internecie, zwłaszcza w miejscach takich jak portale społecznościowe czy grupy dyskusyjne. Może to ułatwić oszustom pozyskiwanie danych – czy to poprzez bezpośredni zakup danych uwierzytelniających (pochodzących z wycieków) do kont czy też zbieranie danych udostępnionych na różnych stronach internetowych w sieci (tzw. web scraping).

Istnieją techniki pozyskiwania informacji o ludziach i firmach na podstawie ogólnodostępnych źródeł (tzw. OSINT), które pomagają w gromadzeniu danych z profili użytkowników i ich aktywności w sieci. Odpowiednio dobrane oprogramowanie umożliwia wyszukiwanie informacji o osobach lub firmach online, ułatwiając łączenie i mapowanie relacji między stronami internetowymi, kontami, e-mailami, lokalizacjami i nie tylko. W rezultacie konstruowanie profili, mających na celu zainteresowanie użytkowników fałszywymi ofertami pracy, w celu dalszego gromadzenia danych, a w konsekwencji np. uzyskania dostępu do firmowej poczty e-mail czy innych ataków socjotechnicznych, staje się łatwiejsze niż kiedykolwiek. Z drugiej strony, narzędzia OSINT mają również pozytywne zastosowanie – dzięki nim można sprawdzić, ile informacji o sobie udostępnia użytkownik w sieci oraz w jakim stopniu jest przez to narażony na ewentualne ataki.
Kamil SadkowskiAnalityk laboratorium antywirusowego ESET

Uwaga na fałszywe ogłoszenia

Cyberprzestępcy wykorzystują fałszywe oferty pracy w różny sposób. Mogą wysyłać wiadomości bezpośrednio do osób poszukujących pracy (np. za pośrednictwem komunikatorów, na chatach i forach internetowych czy poprzez wiadomości e-mail) i dołączać złośliwy link lub załącznik do wiadomości. Ogłoszenia o pracę mogą do złudzenia przypominać te zamieszczane na portalach rekrutacyjnych, dzięki czemu „propozycje” oszustów wyglądają bardziej realistycznie. Bywa, iż na dalszym etapie zażądają informacji o koncie bankowym lub innych danych, co zawsze powinno być sygnałem alarmowym.

Zrzut ekranu ogłoszenia o pracę. Czy to oszustwo?

Jak upewnić się, iż masz do czynienia z prawdziwą ofertą rekrutacyjną?

  • Sprawdź, czy firma i osoba istnieją – zwróć uwagę na nazwę firmy, adres oraz to, czy jest zarejestrowana jako podmiot gospodarczy, obecna w internecie i czy można o niej znaleźć np. wzmianki prasowe.
  • Zweryfikuj profile firmy/rekrutera w mediach społecznościowych – poszukaj np. błędów gramatycznych, dziwnych informacji w postach i braku stałej aktywności online (fałszywe profile mogą nie prowadzić długoterminowej, regularnej obecności online). Możesz skontaktować się z firmą bezpośrednio i sprawdzić czy rzeczywiście prowadzi rekrutację na to stanowisko.
  • Poszukuj komentarzy i reakcji od prawdziwych ludzi – rekomendacji od poprzednich pracodawców i współpracowników, certyfikatów, autentycznych reakcji na posty innych itp.
  • Zwróć uwagę na bezpieczeństwo witryny – fałszywe strony mogą nie posiadać prawidłowego certyfikatu i nie szyfrować połączeń za pośrednictwem HTTPS.
  • Zweryfikuj linki, jakie otrzymujesz od firmy/rekrutera – podejrzenia powinny budzić błędy ortograficzne i literówki.
  • Reaguj na podejrzane prośby – żadna firma nie poprosi o podanie numeru konta bankowego, skanu dowodu tożsamości itp. podczas rozmowy kwalifikacyjnej. O ile nie jesteś już pracownikiem (i nie spotkałeś się ze zweryfikowanymi przedstawicielami działu HR), podawanie takich informacji jest zabronione.
  • Twoją czujność powinny także wzbudzić literówki w samej ofercie pracy – fałszywe strony internetowe mogą zawierać wiele literówek lub błędów gramatycznych, stylistycznych lub celowych zmian znaków, które mogą być niezauważalne na początku i mają służyć podszywaniu się pod istniejące marki (na przykład używanie „0racle” zamiast „Oracle”).
  • Uważaj na wyjątkowo atrakcyjne oferty – jeżeli oferta zawiera informacje o wyjątkowo atrakcyjnym wynagrodzeniu, nieadekwatnym do obowiązków czy odpowiedzialności – najprawdopodobniej jest oszustwem.
Idź do oryginalnego materiału