Szukasz pracy w tych miejscach? To może drogo cię kosztować
Poszukujący pracy widząc ogłoszenie: zarobki 350 tys. zł rocznie, praca zdalna i 30 dni płatnego urlopu myślą, że znaleźli pracę marzeń. Niestety oferty obiecujące gruszki na wierzbie za podstawowe stanowisko mogą okazać się fałszywe, stworzone tylko po to, aby wyłudzić dane osobowe. Eksperci ESET przestrzegają przed falą oszustw, w ramach której cyberprzestępcy cynicznie wykorzystują poszukujących zatrudnienia.
Poszukiwanie nowej pracy bywa sporym wyzwaniem, ponieważ na kandydatów czyha niejedna pułapka. Dlatego konieczna jest umiejętność odróżnienia prawdziwych ofert od tych przygotowanych przez cyberprzestępców. Niestety prócz autentycznych, w przestrzeni internetowej znaleźć można bowiem także fałszywe ogłoszenia.
Wiele osób poszukuje pracy w niewłaściwy sposób
Profesjonalne portale z ogłoszeniami o pracę mają praktyki, procesy i zabezpieczenia, zwiększające ochronę użytkowników przed takimi sytuacjami. Jednak wiele osób szuka zatrudnienia także w inny sposób, np. za pośrednictwem mediów społecznościowych, grup, na forach, czy przez networking.
Fałszywe oferty krążące w takich miejscach bywają bardzo dobrze spreparowane, oszuści posuwają się nawet do skonstruowania osobowości i życia zawodowego rekruterów lub osób z działów HR, czasami kradnąc w tym celu rzeczywiste dane - podaje ESET, laboratorium antywirusowe.
I wskazuje, że cyberprzestępcy drobiazgowo planują takie działania, a ich końcowym celem jest wykorzystanie zebranych danych do osiągnięcia jakiejś formy zysku pieniężnego lub innego. Mogą więc w kolejnych krokach wyłudzać dane do bankowości elektronicznej lub np. opłaty za fikcyjne szkolenia wdrażające czy pakiety startowe albo pozyskiwać nielegalnie dane osobowe, aby sprzedawać je dalej, na czarnym rynku danych. By chronić się przed tego typu akcjami, warto znać mechanizmy i strategie, po jakie sięgają atakujący.
Fałszywe ogłoszenia i rekrutacje
Użytkownicy bardzo często ujawniają zbyt wiele o sobie w internecie, zwłaszcza w miejscach takich jak portale społecznościowe czy grupy dyskusyjne. Może to ułatwić oszustom pozyskiwanie danych, czy to poprzez bezpośredni zakup danych uwierzytelniających pochodzących z wycieków do kont, czy też zbieranie danych udostępnionych na różnych stronach internetowych w sieci (tzw. web scraping).
Istnieją techniki pozyskiwania informacji o ludziach i firmach na podstawie ogólnodostępnych źródeł (tzw. OSINT), które pomagają w gromadzeniu danych z profili użytkowników i ich aktywności w sieci - mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
I dodaje, że odpowiednio dobrane oprogramowanie umożliwia wyszukiwanie informacji o osobach lub firmach online, ułatwiając łączenie i mapowanie relacji między stronami internetowymi, kontami, e-mailami, lokalizacjami i nie tylko. W rezultacie konstruowanie profili, mających na celu zainteresowanie użytkowników fałszywymi ofertami pracy, w celu dalszego gromadzenia danych, a w konsekwencji np. uzyskania dostępu do firmowej poczty e-mail czy innych ataków socjotechnicznych, staje się łatwiejsze niż kiedykolwiek.
Z drugiej strony, narzędzia OSINT mają również pozytywne zastosowanie, bo dzięki nim można sprawdzić, ile informacji o sobie udostępnia użytkownik w sieci oraz w jakim stopniu jest przez to narażony na ewentualne ataki – wyjaśnia Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Cyberprzestępcy wykorzystują fałszywe oferty pracy w różny sposób. Mogą wysyłać wiadomości bezpośrednio do osób poszukujących pracy np. za pośrednictwem komunikatorów, na chatach i forach internetowych czy poprzez wiadomości e-mail i dołączać złośliwy link lub załącznik do wiadomości.
Ogłoszenia o pracę mogą do złudzenia przypominać te zamieszczane na portalach rekrutacyjnych, dzięki czemu propozycje oszustów wyglądają bardziej realistycznie. Bywa, że na dalszym etapie zażądają informacji o koncie bankowym lub innych danych, co zawsze powinno być sygnałem alarmowym - wskazują eksperci ESET.
Więcej wiadomości na temat rynku pracy można przeczytać poniżej:
Kroki, które pozwolą odróżnić prawdziwą ofertę rekrutacyjną od fałszywej
Oto jak sprawdzić, czy ma się do czynienia z prawdziwą ofertą rekrutacyjną:
- Należy sprawdzić, czy dana firma i osoba istnieją – nazwa firmy, adres oraz to, czy jest zarejestrowana jako podmiot gospodarczy, obecna w internecie i czy można o niej znaleźć np. wzmianki prasowe.
- Należy zweryfikować profile firmy/rekrutera w mediach społecznościowych – należy poszukać np. błędów gramatycznych, dziwnych informacji w postach i braku stałej aktywności online. Można skontaktować się z firmą bezpośrednio i sprawdzić, czy rzeczywiście prowadzi rekrutację na to stanowisko.
- Należy poszukać komentarzy i reakcji od prawdziwych ludzi – rekomendacji od poprzednich pracodawców i współpracowników, certyfikatów, autentycznych reakcji na posty innych itp.
- Należy zwrócić uwagę na bezpieczeństwo witryny – fałszywe strony mogą nie posiadać prawidłowego certyfikatu i nie szyfrować połączeń za pośrednictwem HTTPS.
- Należy zweryfikować linki, które otrzymuje się od firmy/rekrutera – podejrzenia powinny budzić błędy ortograficzne i literówki.
- Należy reagować na podejrzane prośby - żadna firma nie poprosi o podanie numeru konta bankowego, skanu dowodu tożsamości itp. podczas rozmowy kwalifikacyjnej. Podawanie takich informacji jest zabronione.
- Czujność powinny także wzbudzić literówki w samej ofercie pracy – fałszywe strony internetowe mogą zawierać wiele literówek lub błędów gramatycznych, stylistycznych lub celowych zmian znaków, które mogą być niezauważalne na początku i mają służyć podszywaniu się pod istniejące marki (na przykład używanie „0racle” zamiast „Oracle”).
- Należy uważać na wyjątkowo atrakcyjne oferty – jeśli oferta zawiera informacje o wyjątkowo atrakcyjnym wynagrodzeniu, nieadekwatnym do obowiązków czy odpowiedzialności – najprawdopodobniej jest oszustwem.
