Przejdź do treści
Słownikbezpieczenstwoportfeleseed-phraseryzyko

Employment scam

Oszustwo rekrutacyjne, w którym fałszywa oferta pracy lub onboarding służy do wyłudzenia pieniędzy, danych tożsamości, dostępu do kont albo informacji o portfelu.

Czym jest oszustwo rekrutacyjne

Employment scam oznacza oszustwo rekrutacyjne. Atakujący udaje rekrutera, hiring managera albo firmę z branży krypto.

Kontakt może przyjść przez LinkedIn, Telegram, Discord, email albo fałszywy formularz. Wiadomość często wygląda profesjonalnie i obiecuje zdalną pracę, wysokie wynagrodzenie albo szybki proces.

Celem jest skłonienie ofiary do płatności, instalacji złośliwego oprogramowania, podania danych osobowych albo wykonania operacji związanej z portfelem.

Typowe elementy ataku

Fałszywy rekruter
Profil podszywa się pod pracownika realnej firmy albo tworzy wiarygodną tożsamość.
Opłata z góry
Ofiara ma zapłacić za sprzęt, szkolenie, weryfikację albo aktywację konta.
Fałszywy portal
Strona onboardingowa wyłudza dane, dokumenty albo hasła.
Portfel
Scam może wymagać podłączenia portfela, podpisu albo przesłania środków testowych.
Malware
Proces rekrutacji może wymagać pobrania pliku, aplikacji albo zadania technicznego ze złośliwym kodem.

Czerwone flagi

  • Firma prosi o zapłatę przed rozpoczęciem pracy.
  • Rekruter naciska na szybkie działanie i przenosi rozmowę na prywatny komunikator.
  • Adres email albo domena różni się od oficjalnej domeny firmy.
  • Proces wymaga seed phrase, klucza prywatnego albo podpisu w portfelu.
  • Oferta obiecuje bardzo wysokie wynagrodzenie przy minimalnej weryfikacji.
  • Zadanie rekrutacyjne wymaga uruchomienia nieznanego pliku z internetu.

Dlaczego krypto jest częstym motywem

Atakujący zakładają, że osoby zainteresowane krypto są przyzwyczajone do portfeli, giełd i transferów cyfrowych. To ułatwia wplecenie płatności albo portfela w fałszywy onboarding.

W Web3 część realnych procesów rekrutacyjnych rzeczywiście odbywa się przez Discord, Telegram albo GitHub. Scam wykorzystuje tę nieformalność i miesza ją z presją czasu.

Najbezpieczniejsza praktyka to niezależne sprawdzenie firmy, domeny, profilu rekrutera i kanału kontaktu przed wykonaniem jakiejkolwiek płatności albo instalacją pliku.

Najczęstsze błędne założenia

  • Wiadomość z LinkedIna nie gwarantuje prawdziwej rekrutacji.
  • Profesjonalna strona onboardingowa może być fałszywa.
  • Prawdziwa firma nie potrzebuje seed phrase ani prywatnego klucza kandydata.
  • Opłata za sprzęt, szkolenie albo aktywację konta to bardzo silny sygnał oszustwa.
  • Zadanie techniczne z plikiem wykonywalnym może być próbą instalacji malware.

Praca nie wymaga seed phrase

Żaden legalny proces rekrutacyjny nie powinien wymagać seed phrase, klucza prywatnego, płatności z góry ani podpisania podejrzanej transakcji portfelem.

Najczęstsze pytania

Tak. Scam może wyłudzić seed phrase, skłonić do podpisu, zainstalować malware albo nakłonić do wpłaty środków na fałszywą platformę.

Wejdź na oficjalną stronę firmy, sprawdź domenę email, porównaj profil na LinkedIn i skontaktuj się przez oficjalny kanał, zamiast odpowiadać tylko w prywatnym czacie.

Legalny pracodawca zwykle nie wymaga płatności z góry od kandydata. Taka prośba jest silnym sygnałem oszustwa.

Nie podawaj danych, nie podpisuj nic portfelem, przeskanuj urządzenie, zmień hasła z bezpiecznego sprzętu i sprawdź aktywne sesje oraz approvale.

Źródła i dalsza lektura