Привет, Хабр! Я - Александр Черных, HR-директор «Диасофт».
Несколько недель назад ко мне один за другим начали приходить соискатели - и не с резюме, а с претензиями. Мол, ваши рекрутеры просили выйти из личного iCloud и зайти в какой-то «корпоративный». Какой, блин, корпоративный iCloud?
Выяснилось: кто-то от имени «Диасофт» ведет полноценный найм в Telegram - с вакансиями, тестовыми заданиями и прочими атрибутами рядового рекрутмента. Только вместо оффера человек получает заблокированный телефон и требование выкупа.
Увы, не мы одни столкнулись с этими активностями. Я позвал коллег - Артема Барбакова из eXpress, Асю Маркевич, опытного HDR, Марию Семенову из «Базара» и юриста Екатерину Пухову - и у каждого нашлись свои кейсы. Мы разобрали, как устроены эти схемы, почему закон пока бессилен. А в конце каждый дал конкретные советы на личном опыте - как не вестись и не встрять. Потом сами посмотрите.
Кому лень читать лонгрид - смотрите полную запись на Rutube, а спорить и задавать вопросы приходите в Telegram-канал Департамент разработки, где уже собралось большое сообщество разработчиков и единомышленников. Текст ниже — он подготовлен «по следам Бременских музыкантов»: в режиме расшифровки разговора за нашим круглым столом, и как бы со стороны.
Заодно и на себя из чужих тапочек посмотрю.
«Зайдите в наш корпоративный iCloud» - анатомия схемы
«Негодяи, выдавая себя за рекрутеров нашей компании в Telegram-каналах, приходят к соискателям и предлагают подозрительно привлекательные условия на джуниорские позиции в области тестирования. Но чтобы попасть на эту позицию, нужно проявить себя в тестовых заданиях. А выполнить их можно одним-единственным образом: срочно выйти из своей учетки в iCloud, зайти в некую "корпоративную" учетку и скачать оттуда программное обеспечение. Девушка, соискательница на позицию тестировщика, вошла в эту учетку - и потеряла контроль над своим устройством и своим iCloud. Последний раз, когда я видел скриншоты ее переписки с этими людьми, они требовали несколько сотен долларов за то, чтобы вернуть учетку. Это было очень неприятно», - сообщил с мест Александр Черных, HR-директор «Диасофт».
Тот же сценарий - в совершенно другой компании.
«Я называю это - пришла беда, откуда не ждали. Мы полгода боролись с фродерами, которые накручивают опыт в резюме, тщательно придумывали, как менять тестовые задания - а беда пришла с другого фланга. Мы никогда не думали, что под видом именно нашей компании на рынке будут представляться некие рекрутеры и открывать вакансии, вести подбор, проводить настоящие собеседования от нашего лица - вплоть до момента, когда просят выйти из iCloud. Слава богу, кандидат сам нашел действующего рекрутера через официальную почту и контакты на сайте, пришел к нам, выслал все скрины и спросил: это ваш человек? Я попыталась связаться с мошенником и уточнила, что за вакансии он помогает нам закрывать. Знаете, что он мне ответил? "Да, я помогаю вам искать фулстек-уборщика". На этом я поняла, что дальше вести коммуникацию не стоит», - рассказала Ася Маркевич, HRD.
Речь не только про iCloud. Мошенники адаптируют схемы под контекст - от фейковых аккаунтов до дипфейков руководителей.
«Сегодня я внезапно становлюсь участником чата, который называется как одна из организаций, где я работал. В этом чате "генеральный директор", которого я очень хорошо знаю, пишет мне приветствие и начинает: есть срочный вопрос, были ли конфликты между сотрудниками. Я понимаю, что это фрод, но думаю - интересно, куда мысль зайдет. Позвонил реальному руководителю, мы посмеялись, он рассказал, как украли его лицо, были даже какие-то звонки с ним. Тренд уходить от банковских схем и переходить к более креативным способам мошенничества набирает обороты уже какое-то время. Где-то присылаются документы о том, что на компанию возбуждено уголовное дело. Где-то - просят перейти по ссылке, что-то заполнить. А сейчас это добирается до профессии рекрутеров», - отметил Артем Барбаков, HRD платформы eXpress.
А вот Мария Семенова столкнулась с атакой еще два года назад - и не через вакансию, а через клон Telegram-аккаунта.
«Телеграм моего рекрутера полностью скопировали и начали писать в базу людей, с которыми она вообще не работала. Это были наши бывшие сотрудники, они уже не работали в компании лет десять. Полностью скопировали фамилию и имя, один символ в Telegram отличался. Бывший гендиректор вдруг якобы заводит на них уголовное дело. Благо, эти люди сразу пришли ко мне и спросили: а кто это? Проблема в том, что наши аккаунты копируют - и могут слить базу людей, которые у нас уже работали», - рассказала Мария Семенова, HRD компании «Базар».
При этом мошенники действуют не хаотично - они вкладываются в продвижение, и именно это делает фейковые вакансии неотличимыми от настоящих.
«Они прекрасно понимают, что делают - заходят в десяток каналов за деньги. Эти коммерческие объявления выглядят привлекательнее обычных, потому что в представлении соискателя никто не будет размещать платное объявление, чтобы мошенничать. И люди на это клюют. Погоня за красивым входным билетом приводит в ад», - подчеркнул Черных.
Как рекрутеры приучили рынок к мессенджерам - и почему HeadHunter не спасает
Первая реакция: если все так опасно, зачем вообще искать работу в Telegram? Но ответ не так прост - в мессенджеры соискателей вывела сама индустрия рекрутмента.
«В нулевые ты брал трубку и звонил кандидату с рабочего телефона. Фейк был минимален - у тебя была рабочая почта и рабочий городской номер. Когда ближе к 2020 году рынок перевалился на сторону кандидата, все изменилось. Кандидат уже по тому, как вошел рекрутер, как он ему написал и где он ему написал, выбирал, с кем продолжит общаться. Поэтому мы стали приходить в личку. У нас были кандидаты, у которых слот на созвон - через три недели. И он тебе еще кидал ссылку на свой календарь: займи, пожалуйста, мой слот. И не факт, что звонок вообще произойдет. Мы действовали в рамках рынка. Мы хотели быть привлекательным работодателем, хотели быстрее связываться с кандидатами. И я знаю по отзывам: кандидаты сами не жалуют коммуникацию на HeadHunter. Они сами инициируют и просят перейти в мессенджеры», - объяснила Ася Маркевич, HRD.
У рекрутеров есть и вполне прагматичная причина уходить в Telegram.
«Чат в HeadHunter у тебя заполнен еще больше, чем мессенджер. Когда делаешь отказы на резюме, они тоже высвечиваются в чатах. И найти нужного кан��идата среди восьмисот диалогов, перемешанных с отказами, - нереально. Мне проще написать кандидату в Telegram. К тому же мы сейчас перестали звонить без предупреждения. Не всегда удобно взять звонок - человек может быть на совещании, если еще работает, но ищет работу. Сначала пишешь, согласовываешь время - это культура нынешней деловой коммуникации», - добавила Мария Семенова, HRD компании «Базар».
Но дело не только в удобстве рекрутеров - сильных кандидатов на HeadHunter часто просто нет.
«Зачастую те, кто нам нужен, на HeadHunter отсутствовали. Их резюме как класс не существует - ни на HeadHunter, ни на SuperJob, нигде. Человек просто не ищет работу, он ждет, что его будут хантить. И мы его хантили - через LinkedIn, через личный сайт, через те контакты, которые он сам где-то оставил. Если он выложил резюме в Telegram-канале, то Telegram - самый очевидный путь. В бытность моей работы в бигтехе через HeadHunter я закрывал, дай бог, процентов тридцать позиций. Все остальное - альтернативные источники, которые иногда вообще не предполагали наличие резюме», - рассказал Артем Барбаков, HRD платформы eXpress.
Итог: рекрутеры массово работают в мессенджерах - и этим пользуются мошенники. Но даже HeadHunter - не крепость.
«Ты как физическое лицо можешь зарегистрироваться на HeadHunter, поставить любое ИП и вообще не верифицироваться. Это раз. А два - даже если у тебя есть компания и ты верифицировался, это не значит, что ты ведешь реальный найм. Ты можешь разместить вакансию - а это дешевле, чем сейчас запустить Яндекс.Директ, - и собирать контакты в маркетинговых целях. Сейчас очень много фейковых вакансий. Люди пользуются персональными данными, которые скачивают с HeadHunter, как маркетинговым ресурсом», - отметила Семенова.
В эту воронку затягивает прежде всего начинающих специалистов - и не случайно.
«Любой карьерный консультант сейчас говорит: нужно вести более персонализированную коммуникацию с рекрутерами. Все джуны не проходят фильтр и авторазбор откликов - откликнулся и через секунду получил автоотклик. Консультанты твердят: тебе нужно пройти эту воронку, и единственная возможность - общаться напрямую, искать HR-ов, писать им лично. Если мне кандидат нашел мою Телегу и написал - я ему обязательно отвечу, потому что молодец, дошел в личку. И вот как раз эти самые джуны попадают в сети мошенников за счет этих же советов», - подчеркнула Маркевич.
Но зона риска не ограничивается джунами.
«Мы доблестно скатились в разговор про джунов, а на самом деле любой специалист может попасться. Сеньоры, может, меньше всего подвержены риску, но мидлы точно так же живут на разных площадках - это не только Telegram, это и LinkedIn, где тоже можно написать что угодно, и на жалобу не отреагируют. И есть вещь пострашнее: мошенники ведь могут придумать совершенно несуществующую компанию и выдавать ссылки на фейковые сайты. В этих случаях некому узнать, что кто-то кем-то притворяется, - потому что самой компании не существует. Если человек год ищет работу и тут находит вакансию мечты, даже прошел собеседование, и ему говорят: осталось анкету заполнить - и оффер твой, а денег тьма, - шанс, что он заполнит анкету, введет данные и отправит фото паспорта, очень большой. Это вопрос культуры безопасности, а не только отслеживания брендов», - резюмировал Барбаков.
Мошенники разрушают не только конкретные судьбы - они подрывают доверие ко всей отрасли рекрутмента.
«Давайте будем откровенны: последние полгода из трех кандидатов, в лучшем случае, двух удается замотивировать заполнить анкету. "Это мои персональные данные, вы возьмете на меня кредит, ничего заполнять не буду." Тестовые задания, переход по ссылке - боже упаси. А в сферах, где проверка - не каприз бизнеса, а необходимость, в той же финансовой, коллеги серьезно жалуются: без проверки взять человека на работу нельзя, а анкеты люди заполнять отказываются, потому что ожидают мошенничества», - добавил Барбаков.
«Статья 272, 273, 163… и тишина» - почему закон не работает
Формально статей хватает. На практике - компания, чей бренд украли, даже не считается потерпевшей.
«Действия мошенников могут быть квалифицированы по нескольким статьям. Это статья 272 УК - неправомерный доступ к компьютерной информации. Статья 273 - создание, использование и распространение вредоносных программ. Если, получив незаконным способом конфиденциальную информацию, мошенники начали шантажировать и вымогать деньги - добавляется статья 163, вымогательство. Квалификация всегда идет по совокупности преступлений. Но сразу оговорюсь: судя по официальной статистике МВД, раскрываются такие преступления крайне редко», - пояснила Екатерина Пухова, юрист в сфере fintech.
Если мошенники использовали в фейковой вакансии товарный знак компании, это тоже состав - но попробуй докажи.
«Незаконное использование средств индивидуализации, к которым относится товарный знак, - это самостоятельный состав, статья 180 Уголовного кодекса. Если объявление о вакансии было размещено с использованием вашего товарного знака, основания для обращения есть», - уточнила Пухова.
Основания есть - а результата нет. Одна из компаний пыталась обратиться в полицию по реальному кейсу.
«Мы пробовали обращаться в правоохранительные органы. Это был Волгоград, по месту нахождения нашего ООО. Нам сказали: у нас таких случаев еще не было. Это первый кейс, и они не понимают, на основании какой статьи мы можем подавать заявление, - потому что мы не жертвы. Страдает только наш HR-бренд, и то это надо еще доказать. Мы в тот момент думали о конкретном пострадавшем кандидате, очень хотелось ему помочь - и помочь не получилось. Нам сказали, что мы первые с таким запросом», - рассказала Ася Маркевич, HRD.
Проблема системная: МВД физически не справляется с потоком обращений по цифровому мошенничеству.
«Когда я представляю, с каким экспоненциальным ростом обращений по вопросам информационной безопасности столкнулось МВД за последнюю пару лет, я не понимаю, как с этим работать. Штат подразделений в области информационной безопасности не растет. Людей с нужной квалификацией в таком количестве для подобной работы правоохранительным органам просто негде взять. А мы приходим и говорим: в Telegram кто-то выдал себя за нашу компанию и увел теле��он у невиновного человека, теперь шантажирует на 300 долларов. Что будет делать сотрудник подразделения полиции? Я затрудняюсь ответить, как он должен действовать», - признал Александр Черных, HR-директор «Диасофт».
При этом юридически серая зона касается не только мошенников, но и легальных участников рынка.
«С точки зрения права отношения соискателя и работодателя в новой информационной среде - это терра инкогнита. Когда мы на HeadHunter открываем резюме, мы в своем праве. Но начиная с момента, когда мы выкачали его на локалу и сохранили для обработки, по-хорошему нужно сразу получить у соискателя прямое согласие на обработку персональных данных. Это происходит далеко не всегда. А соискатели оставляют свои данные в системах, которые с точки зрения законодательства вообще пограничные: группы в мессенджерах, Telegram-каналы. И как нам с ними безопасно взаимодействовать - не очень понятно», - добавил Черных.
Не платить, не молчать, проверять - памятка от экспертов
Мошенник рассчитывает, что жертва заплатит - потому что три сотни долларов за возврат контроля над телефоном, в котором у тебя вся жизнь, может показаться неприятной, но неизбежной тратой. Но это ловушка.
«Сейчас факт оплаты можно приравнять к финансированию терроризма. Если с вас потребовали двести рублей, а потом выяснилось, что с этого счета переводили куда-то не туда - вы, спасая свой телефон за тысячу рублей, можете получить уголовное дело просто на ровном месте. Не платить - ни в коем случае. Это вопрос личной безопасности», - предупредил Артем Барбаков, HRD платформы eXpress.
А если деньги все-таки списали?
«Вне зависимости от суммы - пять тысяч, тысяча рублей, неважно - обязательно сообщайте банку и пишите заявление в полицию. Есть 161-й федеральный закон, по которому на банк возложена обязанность по антифроду, а Банк России ведет базу счетов, использованных мошенниками. Эту базу пополняют в том числе по сведениям от МВД. Даже если ваше конкретное дело не раскроют - ваше обращение станет основой для системной работы», - объяснила Екатерина Пухова, юрист в сфере fintech.
Но лучший инструмент - не дать мошеннику шанса.
«Никаких специальных чудес не бывает. Если вакансия предлагает в два раза больше денег за рядовую работу, да еще ведет ее какое-то малоизвестное агентство - крайне большая вероятность, что это мошенники. Не ведитесь. Если вам говорят, что надо срочно подключиться к какой-то учетной системе - не подключайте туда личные устройства. Задайте вопрос: что за компания хочет, чтобы я у российского работодателя подключился к iCloud и что-то оттуда скачал? Если вакансия кажется сомнительной - сходите на HeadHunter, проверьте, представлена ли там компания. Если нет - что-то тут не так. Позвоните в саму компанию, попросите руководителя службы подбора или директора по персоналу. Он с вами поговорит, обязательно найдет время. И помните: бесплатный сыр бывает только в мышеловке», - обратился к соискателям Александр Черных, HR-директор «Диасофт».
Мошенники делают качественные подделки - могут прислать и договор, и согласие на обработку данных, и что угодно. Формальные документы - не гарантия.
«Мошенник изначально настроен на то, чтобы вас обмануть. Для этого он может подготовить и проект соглашения, и согласие на обработку персональных данных - все что угодно. Самый большой вклад - это ликбез. Рассказывайте о схемах, которые есть на рынке. Публикуйте на сайтах компаний информацию о том, какой источник является официальным для подачи резюме, давайте ссылку на профиль компании на HeadHunter - чтобы соискатель мог удостовериться, что общается с реальным представителем», - подчеркнула Пухова.
Проверять работодателя нужно не только ради подготовки к собеседованию.
«Я советую как можно больше собирать информации о компании, на которую идете. Смотреть не только соцсети и сайт - смотреть выписки, выручку, проверять ИНН, читать отзывы. Нет ли банкротства, нет ли судебных дел. Сейчас это все в открытом доступе. Дело уже не в том, насколько ты будешь готов к собеседованию, - а в том, чтобы не нарваться на мошенников», - добавила Мария Семенова.
Отдельная линия обороны - Telegram, где происходит большинство атак.
«Обращайте внимание на ник. У многих мошенников в нике стоит HR - потому что настоящий HR не рождается сразу, он постепенно в него превращается. Проверяйте, есть ли этот рекрутер на странице компании, например на Хабр Карьере - там все рекрутеры представлены с фото. Мошенники смотрят популярный стек и размещают вакансии под него - зайдите на сайт компании и проверьте, есть ли этот стек в ее технологиях. К нам, например, приходили потенциальные жертвы со стеком, которого у нас нет и никогда не было. И защитите свои аккаунты: двойная идентификация в Telegram, тройная - все, что доступно. Меняйте пароли почаще», - заключила Ася Маркевич, HRD.
И последнее - то, что может сделать каждый прямо сейчас.
«Когда находите вакансию в Telegram - проверьте, когда был создан профиль рекрутера и когда в нем менялось имя. Если профилю два часа или два дня, если день назад он сменил имя - вероятность, что дальше будет что-то неприятное, стремится к бесконечности. И еще: шанс, что компания задублировала вакансию на своем сайте или на HeadHunter, - большой. Сравните. Возможно, мошенники просто взяли реальную вакансию и увеличили зарплату в два раза. Если чувствуете, что что-то не так - откликнитесь на вакансию на HeadHunter и предложите перенести коммуникацию в чат площадки. Это безопасно. Крупная компания там точно верифицирована, и вряд ли кто-то вложит кучу денег, чтобы полностью задублировать весь профиль», - рекомендовал Барбаков.
В ИТ мы привыкли думать о безопасности как о системном подходе: уязвимости, патчи, пентесты. Но здесь основная опора мошенников - социальная инженерия. И патча не существует, единственный работающий фаервол - личная бдительность.
Именно поэтому мы собрали этот материал и именно поэтому просим: если через вас проходила подобная схема или вы придумали, как ее детектить на раннем этапе, - напишите в комментариях. Возможно, комьюнити-фикс окажется эффективнее любого официального апдейта.