Карьерный нарост: мошенники массово атакуют ищущих работу россиян

В мае и июне 2025 года мошенники использовали шесть новых схем, направленных на тех, кто ищет работу. Об этом рассказали в компаниях по кибербезопасности. Аферисты присылают тестовые задания, файлы которых содержат вирусы, похищающие с компьютера данные жертвы, или приглашения на фейковые онлайн-собеседования — чтобы принять участие, необходимо перейти по ссылке. Как правило, они распространяются через Telegram-каналы, посвященные поиску работы. О том, какие еще схемы применяют мошенники и как проверить достоверность вакансии, — в материале «Известий».

Как атакуют россиян

Во II квартале 2025 года значительно выросли объем и вариативность атак на пользователей, находящихся в поиске работы, сообщили «Известиям» в компаниях по кибербезопасности. Только за май-июнь появились не менее шести новых мошеннических схем в этой сфере, уточнили в российском сервисе разведки уязвимостей и утечек данных DLBI.

В частности, в мае начала активно использоваться схема с тестовыми заданиями, файлы которых содержали «зловреды-стилеры», похищавшие с компьютера жертвы данные авторизации и пароли. Украденная информация использовалась для взлома почтовых ящиков и Telegram-аккаунтов, а также продавалась на черном рынке.

— В июне появились фальшивые онлайн-собеседования, — рассказали в сервисе. — Жертва направлялась на поддельную страницу Google Meet, где вводила данные авторизации и лишалась доступа ко всем ресурсам, где была авторизована, в первую очередь, Gmail. Параллельно появились еще три новые схемы с загрузкой зловредов.

В одной из них, ориентированной на IT-специалистов, требовалось скомпилировать из исходников тестовое задание. В другом случае предлагалось загрузить на свое устройство программу, якобы проверяющую компьютер. При этом во всех случаях загружался вирус, похищающий все возможные данные.

— Разновидностью последней схемы стала проверка компьютера Apple, наличие которого было одним из требований вакансии, — объяснили специалисты сервиса. — Для этого требовалось войти в переданный мошенником аккаунт iCloud. После этого он удаленно блокировался, а за разблокировку требовалось заплатить от $100–500.

Во всех мошеннических схемах ссылки на поддельные вакансии распространялись через Telegram-каналы, посвященные поиску работы. Чуть реже такие предложения о работе размещались на популярных рекрутинговых сайтах. Их отличительным признаком был немедленный перевод коммуникаций с откликнувшимся соискателем в Telegram.

Подобные атаки реализует хакерский кластер Lazer Werewolf, известный также под названиями Lazarus и Hidden Cobra, отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин. Группа специализируется преимущественно на кибершпионаже, не исключая при этом использования программ-шифровальщиков. В качестве целей атакующие выбирают правительственные учреждения, а также военную, финансовую, аэрокосмическую, медицинскую и IT-отрасли.

— Для получения первоначального доступа к целевым организациям группировка распространяет фишинговые письма с вредоносными вложениями или ссылками, — рассказал он. — В своих кампаниях Lazer Werewolf связывается с жертвами через LinkedIn, Telegram и WhatsApp под видом предложения о работе. Чтобы вызвать доверие пользователей, атакующие предлагают выполнить тестовые задания или подготовиться к собеседованию по видеосвязи.

Для этого злоумышленники просят загрузить вредоносное ПО, якобы необходимое для видеоконференции. Затем запускается процесс заражения, благодаря которому хакеры получают доступ к данным. С начала 2025 года мошенники опубликовали в Telegram и на теневых форумах 2 тыс. объявлений о вакансиях, сообщили в компании.

Какие схемы используют мошенники

Недавно была обнаружена мошенническая кампания, когда россиян атаковали через WhatsApp под видом работодателей, сказал Олег Скулкин. Злоумышленники предлагали пользователям зарабатывать на маркетплейсах. Для этого нужно было просматривать карточки товаров, оставлять на них отзывы и ставить оценки. Однако, чтобы начать «работать», необходимо было пополнить баланс. Под этим предлогом мошенники убеждали жертву сообщить им свои банковские данные и номер телефона.

Весной 2025 года была зафиксирована еще одна схема обмана, отметил руководитель Kaspersky GReAT в России Дмитрий Галов: под видом Android-приложения для удаленной работы распространялась вредоносная программа — троян Mamont.

— Атакующие создали несколько сайтов, имитирующих карьерные страницы популярных сервисов доставки с предложением удаленной работы, выполнять которую, по легенде, надо было в отдельном приложении, — сказал он «Известиям».

Если человек соглашался с условиями работы и заполнял анкету на поддельном сайте, с ним в мессенджере должен был связаться «менеджер» и прислать приложение для работы. Однако под видом легитимной программы пользователю присылали Mamont.

В конце 2024 года злоумышленники попытались атаковать одну из российских компаний под видом работодателей, добавил Олег Скулкин. Предположив, что на компьютере одного из сотрудников может находиться ценная информация, группировка Squid Werewolf отправила жертве фишинговое письмо с предложением рассмотреть вакансию в реальной промышленной организации. По задумке злоумышленников, пользователь должен был открыть вложение и так запустить вредоносное ПО.

— Атакующие охотно используют тему поиска работы, поскольку она всегда актуальна, — подчеркнул эксперт. — Подобное прикрытие злоумышленники используют как в фишинговых кампаниях, направленных на пользователей, так и в сложных целевых атаках.

Соискатели представляют довольно уязвимую группу, потому что заинтересованы в выполнении тестового задания.

— Они без особых сомнений переходят по фишинговым ссылкам, запускают вредоносные файлы, — отметил директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар»:1 Александр Вураско. — В основном целью злоумышленников является доступ к аккаунтам жертв — кража логинов, паролей. Это могут быть как личные аккаунты, так и корпоративные. В последнем случае атака куда опаснее.

Нередки случаи, когда злоумышленники мониторят резюме организации, которую планируют атаковать, а потом рассылают сотрудникам предложение о работе и тестовое задание.

Как избежать обмана

Сокращения в креативных отраслях экономики повышают предложение на рынке труда, особенно в сегменте удаленной работы, отметил основатель DLBI Ашот Оганесян. При этом соискатели не обладают достаточным уровнем грамотности в области информационной безопасности, а еще — они нередко находятся в стрессовом состоянии.

— Дополнительную проблему создает то, что многие такие соискатели уже работают в нескольких местах и заражение их рабочего компьютера стилером приводит к утечке учетных данных в информационных ресурсах сразу нескольких компаний, — добавил он.

Мошенники влияют на психологическое состояние жертвы, подлавливая его на невнимательности или оказавшись с ним в нужный момент «один на один», отметил руководитель направления кибербезопасности EdgeЦентр Максим Большаков.

— Как правило, это диалог наедине, который редко обсуждается в семье сразу, обычно уже после случившегося, — сказал он. — А ведь именно коммуникация и взгляд на проблему со стороны способен противостоять как старым, так и новым видам мошенничества.

Чтобы не попасться на мошенников при поиске работы и научиться вычислять обман, важно знать основные признаки мошеннических схем и соблюдать простые меры предосторожности. Насторожить должно расплывчатое описание вакансии, малый объем конкретики, отсутствие четкого списка обязанностей или требований, слишком высокая зарплата без требований опыта или определенной квалификации, обещание «работы мечты» при минимальных усилиях.

— Кроме того, это отсутствие официальных контактов: нет корпоративной почты, указан только телефон или мессенджер, сайт одностраничный, с фейковыми отзывами и полное отсутствие данных о деятельности в интернете, — добавил эксперт. — Быстрое одобрение: вас «берут» на работу без полноценного собеседования или проверки документов. А если компания ищет сотрудников только через такие каналы — почти наверняка это мошенники.

Важно убедиться и в надежности источника информации о вакансии, подчеркнула частный рекрутер для бизнеса Екатерина Нестерова.

— Если вы узнали о ней через Telegram-канал, не забудьте проверить, действительно ли размещена вакансия на сайте компании или как минимум на рекрутинговых сайтах — например, на hh.ru, где подробно заполнен профиль работодателя и вы четко понимаете, чем занимается компания, — сказала она. — Второй шаг — попросить рекрутера или представителя компании рассказать о вакансии: состав команды, особенности корпоративной коммуникации. Чем подробнее рекрутер раскрывает детали позиции, тем выше вероятность, что перед вами не мошенник.

Также, по словам эксперта, стоит помнить, что основная задача рекрутера при коммуникации с кандидатом — выявить соответствие базовым требованиям вакансии. Поэтому он будет спрашивать про ваш опыт, мотивацию, ожидания от новой работы.

— И только потом есть смысл решать тестовое задание. Все этапы общения с рекрутером должны быть последовательными, — указала она. — Я сама сталкивалась с подозрительными просьбами разместить вакансии от своего имени, но сразу пресекала такие взаимодействия.

По мнению Ашота Оганесяна, количество и вариативность атак на соискателей будет расти и, возможно, до конца года достигнет такого уровня, что практически парализует поиск удаленной работы в России.