В 2025 году российский рынок труда, как и везде, напоминает не просто конкурентное поле, а скорее минное поле, где каждый шаг может привести к неприятным последствиям. И речь не только о жесткой конкуренции за вакансии. Речь о том, что на этом поле активно орудуют хищники, чья цель — не предложить вам работу, а обобрать до нитки. Я говорю о фишинге, который мимикрирует под сервисы для создания резюме и поиска работы. За 20 лет в IT, из которых добрая половина посвящена информационной безопасности, я насмотрелся всякого. Но то, что происходит сейчас, это уже высший пилотаж.
Осторожно, двери закрываются, или как выглядит типичный разводняк
Раньше фишинг был топорным: кривые письма, ссылки с опечатками. Сегодня мошенники работают куда тоньше. Поддельные сервисы по созданию резюме или сайты-агрегаторы вакансий выглядят настолько убедительно, что даже опытный глаз не сразу отличит подделку. Они копируют дизайн популярных ресурсов вроде HeadHunter или SuperJob до мельчайших деталей. Иногда даже используют элементы их фирменного стиля, шрифты, цветовые схемы. Но есть нюансы, на которые стоит обратить внимание:
- Доменное имя: Это первое, что вы должны проверять. Не просто пробежаться глазами, а вчитаться в каждую букву. Вместо
hh.ruможет бытьhhr-job.ru,hh.online,hh-resume.com. Или, что еще хитрее, поддомены, например,resume.hh-office.ru. На первый взгляд выглядит безобидно, ноhh-office.ru— это уже не официальный домен. Мой личный лайфхак: если название сайта не 100% совпадает с тем, что вы привыкли видеть, или содержит лишние дефисы, точки, цифры — это уже повод насторожиться. - Качество контента: Часто на таких сайтах можно найти мелкие орфографические ошибки, странные формулировки в пользовательских соглашениях или описаниях услуг. Это не всегда заметно, но иногда бросается в глаза.
- Обещания: Если сервис обещает «мгновенное трудоустройство», «гарантированный доход», «резюме, которое увидят ВСЕ работодатели за 5 минут» — это маркер. Слишком хорошо, чтобы быть правдой.
Кейс из личной практики: «Уникальное резюме за 99 рублей»
Несколько месяцев назад ко мне обратился знакомый, который «попал на бабки». Он искал работу, наткнулся на рекламу сервиса, обещавшего создать «идеальное резюме», которое якобы автоматически рассылается топовым работодателям. Сайт выглядел прилично. Знакомый заполнил все поля, загрузил фотографию. В конце ему предложили «активировать» резюме за символические 99 рублей. Мол, это для верификации и доступа к «премиум-функциям». Он ввел данные своей карты Сбербанка. И тут началось. Сначала списали 99 рублей, потом через минуту — 2500, потом еще 5000. В итоге за час у него с карты улетело почти 15 тысяч, пока он не заблокировал ее через приложение.
Что произошло? Платежный шлюз на сайте был поддельным. Он выглядел как официальный шлюз Сбербанка (зеленый логотип, знакомые поля), но адресная строка браузера выдавала sber-pay-online.ru вместо pay.sberbank.ru. Это классический пример. Мошенники не просто собирают данные карты, они сразу же пытаются совершить несколько транзакций. Иногда они просят ввести SMS-код, мотивируя это «верификацией» или «подтверждением платежа», а на самом деле это код подтверждения списания крупной суммы. Запомните: если после ввода данных карты просят подтвердить платеж в 1 рубль или 1 копейку через SMS-код — это 100% разводняк. Ни один банк не требует подтверждения таких микроплатежей через код.
За что охотятся мошенники?
Их интересует не только ваша карта. Список шире:
- Персональные данные: ФИО, дата рождения, адрес, паспортные данные, ИНН, СНИЛС. Это золотая жила для последующей продажи в даркнете или для оформления микрозаймов на ваше имя.
- Учетные данные: Логины и пароли от вашей почты, аккаунтов на реальных job-сайтах, социальных сетей. Если вы используете один и тот же пароль везде (а многие так делают, не будем лукавить), то, получив доступ к одному аккаунту, они получают ключи от всех ваших цифровых дверей.
- Финансовые данные: Номера карт, CVC/CVV, данные для онлайн-банкинга.
- Документы: Сканы паспорта, дипломов, трудовых книжек. Часто просят «для верификации личности» или «для проверки службой безопасности перед собеседованием».
Лайфхаки сисадмина: как не встрять
Как человек, который 20 лет ковыряется в железе, сетях и софте, могу дать несколько конкретных советов, которые не всегда найдешь в общих рекомендациях:
- Проверка SSL-сертификата: Зеленый замочек в адресной строке и
https://— это хорошо, но не панацея. Сегодня любой школьник может получить бесплатный SSL-сертификат от Let’s Encrypt. Важно не просто наличие замочка, а то, на кого выдан сертификат. Кликните на замочек, посмотрите детали сертификата. Если он выдан на какое-то странное имя или организацию, не имеющую отношения к известному сервису, это тревожный звонок. Официальные крупные сервисы обычно используют сертификаты от известных центров (например, DigiCert, GlobalSign), выданные на имя юридического лица компании. - Анализ ссылок: Если вам присылают ссылку на «вакансию» или «форму резюме» в мессенджере (Telegram, WhatsApp) или по почте, не кликайте сразу. Наведите курсор на ссылку (не нажимая!) и посмотрите, куда она ведет. Если URL в всплывающей подсказке отличается от того, что написано в тексте ссылки, это фишинг. Или, если вы на Android/iOS, долгое нажатие на ссылку обычно показывает ее полный адрес.
- «Пальпация» сайта через DevTools: Для продвинутых пользователей: нажмите F12 в браузере (или Ctrl+Shift+I) и откройте «Инструменты разработчика» (DevTools). Перейдите на вкладку «Network» и перезагрузите страницу. Посмотрите, куда идут запросы, какие скрипты подгружаются. Если там есть странные внешние ресурсы, которые не имеют отношения к job-сайту (например, скрипты с доменов, не связанных с компанией), это повод насторожиться. Аналогично, на вкладке «Sources» можно посмотреть исходный код, иногда там видны зашитые ссылки на внешние ресурсы для сбора данных.
- Whois-проверка домена: Зайдите на любой whois-сервис (например,
whois.domaintools.comилиnic.ru/whois/) и вбейте доменное имя подозрительного сайта. Посмотрите дату регистрации домена. Если он зарегистрирован неделю назад, а позиционирует себя как крупный сервис с многолетней историей — это 100% скам. - Виртуальная машина или «песочница»: Если вы работаете с очень чувствительной информацией или вам прислали крайне подозрительную ссылку, которую «надо проверить», используйте виртуальную машину (например, VirtualBox или VMware Workstation Player) или специализированные сервисы-песочницы. Это позволяет открыть ссылку в изолированной среде, не подвергая риску вашу основную систему.
- Телефонные звонки и мессенджеры: Мошенники часто предпочитают общаться через Telegram, WhatsApp, а не по официальной корпоративной почте. Если «HR-менеджер» или «работодатель» настаивает на общении исключительно в мессенджере, это красный флаг. Всегда старайтесь найти официальные контакты компании на их реальном сайте и связываться через них.
- «Левые» вакансии: Если вам прилетело предложение о работе, на которую вы не откликались, а зарплата в два раза выше рынка и требования минимальны — это, скорее всего, ловушка. Особенно, если оно пришло с почты типа
hr.company@gmail.com. - Парольная гигиена: Используйте менеджер паролей (LastPass, Bitwarden, KeePass). Генерируйте уникальные и сложные пароли для каждого сервиса. Это спасет вас, если один из сервисов, где вы регистрировались, окажется скомпрометирован.
- Учет данных: Ведите простой текстовый файл или таблицу, куда вы отправляли свои резюме и данные. В какой-то момент, когда на вас будут выходить, вы сможете свериться: «Я точно откликался на эту вакансию на этом сайте?» Это поможет отсеять unsolicited phishing.
Отказ от ответственности
Данная статья основана на личном опыте автора и наблюдениях в области кибербезопасности. Информация предоставлена исключительно в ознакомительных целях и не является юридической или финансовой консультацией. При возникновении подозрений на мошенничество всегда обращайтесь в правоохранительные органы и в службу безопасности своего банка.
