Lead Project & Delivery Manager, VP R&D Михайло Костинський розповів, як стикнувся із шахраями в процесі співбесіди. Скамери намагаються заманити провідних айтівців обіцянками надвисоких зарплат.
Lead Project & Delivery Manager, VP R&D Михайло Костинський розповів, як стикнувся із шахраями в процесі співбесіди. Скамери намагаються заманити провідних айтівців обіцянками надвисоких зарплат.
«Скам на співбесіді. Цікаво? Мені було також цікаво, тож хто шукає, той обовʼязково знайде. Кілька днів тому додається до мене в LinkedIn Ахмед — біздев з азійської неприбуткової компанії, працюють в айгеймінгу, профіль виглядає достатньо професійно. Ну ок, додаю. Через пару хвилин — пише мені в особисті. Каже, є цікава пропозиція, зарплата прям ВАУ, проєкт цікавий тощо», — розповідає фахівець.
Такі солодкі обіцянки айтівця насторожили. «Я такий: хм, вже щось підозріле, такі зарплати від холодного контакту в Linkedin? Але цікаво ж, думаю — ладно, відправлю йому резюме (а раптом це реальна пропозиція і я почну заробляти дуже багато)», — розповідає Михайло.
Отримавши резюме, нібито роботодавець запропонував Костинському обрати час для співбесіди. «Ну окей, обрав на завтра. Перед дзвінком гуглю компанію — існує, все виглядає більш-менш нормально. Думаю: ну, а раптом це реальний шанс? Може, дійсно крута робота?», — описує розвиток подій айтівець.
Наступного дня, за словами Михайла, Ахмед запізнюється на дзвінок на 10 хвилин. «Без камери. Питає щось дуже формальне, типу для галочки. Я відповідаю так само — відчуття, що то не справжня співбесіда, а просто щось незрозуміле. І тут бах — каже: от лінк на Bitbucket, скачай проєкт, подивись і запусти у себе, — описує свій досвід здивований айтівець. — Я в ступорі: по-перше, я не розробник, вакансія не розробника. По-друге, з чого б це запускати код від незнайомця на першій же розмові?».
Українець відповів, що наразі не має можливості запустити проєкт. «Кажу, що в мене нема налаштованого середовища, ну і взагалі, це якось дивно. Але він починає тиснути, каже, що важливо. Я вже все зрозумів — запахло скамом. Кажу: добре, налаштую і напишу. На цьому попрощались», — повідомляє Михайло.
Після цього він звернувся до друга який розуміється на коді. «Він заглядає в код, дивиться… А там — вредоносний код, маскується через пробіли, ніби нічого немає. І ще хотів стягнути всі мої дані на якийсь сервер у країні 404. От і казочці кінець. Оферу не буде, але зате є досвід», — резюмує Михайло.
Він закликає спільноту: якщо на співбесіді хтось просить вас щось запускати у себе локально — дуже раджу подумати двічі, а краще десять разів.Активуйте, щоб переглянути збільшене зображення.
Виявляється, подібний досвід серед українських айтівців не унікальний.
Senior Software Engineer Сергій Сікачов розповів у коментарях до допису Михайла, що нещодавно мав аналогічний досвід. «Зазвичай такі рекрутери задають занадто прості питання і не зважають на відповіді. Мене врятувало те, що я вже чув про такий вид скаму. Я вручну перевірив, але не побачив пробілів, потім AI знайшов цей код, я його побачив через less next.config.js у терміналі й тільки потім проскролив в IDE. Там в тому коді воно завантажує з AWS на компʼютер троян, який висить запущеним і парсить усілякі приватні ключі й хтозна-що ще. Тепер у мене правило: не установлювати ніякі проєкти з GitHub без перевірки й не робити ніяких тестових завдань на базі вже існуючих репозиторіїв».
System Administration Specialist Віталій Духновський радить завантажувати запропоновані непевні файли на віртуалку, яка не має виходу в інтернет, і потім прикидатись «дурником», що нічого не працює.
А айтівець Станіслав Тімар пропонує потерпілим пропонувати таким роботодавцям оптимізувати код. «А для початку роботи вимагайте оплату та передавайте адреси криптогаманців кіберполіції», — зазначає він.
Більше реакцій айтівців на ситуацію тут.
