מגפת הקורונה גרמה לשינויים רבים בשוק העבודה, בהם אפשרות עבודה מהבית ומתן דגש לצרכים המשתנים של העובדים. אולם גם עלייה גדולה בכמות מחפשי התעסוקה בכל העולם.

עם העלייה בכמות מחפשי התעסוקה חלה עלייה משמעותית גם בהונאות הקשורות לקבלה לעבודה.

במדריך זה ניגע בהונאות ומתקפות נפוצות המנצלות את הפלטפורמות השונות למציאת עבודה, ובראשן הרשת החברתית העסקית Linkedin, הנחשבת לאמינה מאוד בעיני המשתמשים בה.

ה-FTC האמריקאי (Federal Trade Commission) מונה מספר סוגים של "עבודות" מהן כדאי להימנע, שכן הן בדרך כלל הונאות. ה-FTC נותן כמה כללי אצבע חשובים, שמהווים אינדיקציה לכך שיכול להיות שהצעת העבודה שראיתם הינה הונאה:

• עבודה בה דורשים מכם תשלום על "הכשרה". ככלל, עבודה בה אתם נדרשים לתשלום כלשהו מראש בסבירות גבוהה תהיה הונאה.
• עבודה בה אתם מקבלים צ'ק ותפקידכם הוא להעביר חלק מהכסף הזה הלאה, כאשר ההפרש הוא "השכר" שלכם. הרעיון כאן הוא שהצ'ק מזויף, ועד שתקלטו את זה כבר תעבירו לנוכלים כסף ששייך לכם.
• חברות השמה אינטרנטיות שמבטיחות לכם שהן ימצאו עבורכם עבודה, אך גובות על כך תשלום מראש.

סימנים חשובים נוספים המעידים שייתכן שהעבודה שמוצעת לכם הינה הונאה:

• אם מבקשים מכם המון פרטים אישיים מראש, וספציפית פרטי חשבון בנק, צילום תעודת זהות ופרטים רגישים נוספים. ייתכן שרוצים לגנוב את זהותכם.
• אתם לא מוצאים באינטרנט או בלינקדאין פרטים על החברה שהציעה לכם את העבודה, או שלחלופין הפרטים שמצאתם ב-Linkedin נראים לכם לא אמינים.
• אם קיבלו אתכם לעבודה בלי ראיון.
• בדרך כלל, נוכלים לא ירצו לראיין אתכם פנים אל פנים. חשדו בראיון שמתבצע אך ורק בהתכתבות.
• העבודה שהציעו לכם רחוקה מאוד מהכישורים שלכם ומקורות החיים שלכם ב-Linkedin.
• העבודה שהציעו לכם לא קיימת באתר הרשמי או בעמוד ה-Linkedin הרשמי של החברה.
• ישנן שגיאות כתיב או כל פרט מוזר אחר בפנייה אליכם.
• קיבלתם לינק שנראה לכם חשוד? מאדם שאין לכם שום קשר עסקי איתו? שלא ברור לכם מדוע שלחו לכם אותו? חשדו.
• אם ההונאה התרחשה באמצעות Linkedin, חשוב לדווח להם על כך בלינק הבא.

נמשיך למספר סוגים של הונאות עבודה שכדאי להיזהר מהן.

ייתכן שרבים מהמחזיקים בחשבון Linkedin קיבלו פנייה מ"משאבי אנוש" של חברה גדולה כלשהי על כך שהם מחזיקים בניסיון והיכולות המושלמים עבור עבודה מסוימת.

הנוכלים יעשו לרוב שימוש בשם של חברה מוכרת, בעלת פריסה רחבה בעולם (על מנת שיוכלו "להציע" עבודה לאנשים רבים במקומות רבים ככל האפשר), וייתכן שאף יתחזו לעובד אמיתי של החברה ויעתיקו פרטים מחשבון ה-Linkedin האמיתי שלו.

בלינק ניתן למצוא כמה דוגמאות של Linkedin להונאות פישינג. שימו לב שהדוגמא המתארת את הבקשה לקבלת פרטי התחברות ל-Linkedin אינה הונאת עבודה, אלא פשוט ניסיון פישינג פשוט.

מכאן, "הצעת העבודה" תעודד אתכם לעשות בין השאר את אחד מהדברים הבאים:

• תקבלו PDF עם פרטי התפקיד, המעודד את הנתקף למלא פרטים בקישור מצורף. הפרטים יכללו פרטי חשבון בנק ופרטים אישיים, לטובת מתקפות spear-phishing או גניבת זהות בעתיד.
• יתבצע ניסיון לגרום לנתקף לשלם מראש על הכשרה מקצועית.

אפשרות נוספת היא שימוש בחשבונות Linkedin שנפרצו על מנת לשלוח קישור למסמך Google Docs לכאורה, שמטרתו היא גניבת פרטי ההתחברות ל-Google, באמצעות עמוד פישינג שנראה זהה לעמוד ההתחברות ל-Google (הונאה דומה יכולה להתבצע בכל שירות בין לאומי כגון השירותים של חברת Microsoft או SalesForce ועוד).

אם אתם חושדים בהונאה ב-Linkedin, אנו ממליצים להיכנס לעמוד הייעודי שלהם בנושא ולדווח להם על כל אירוע.

בנוסף להמלצות בתחילת ובסוף המדריך, אנו ממליצים לקרוא את המדריך שלנו על פישינג למידע רב נוסף בנושא.

באירוע מעניין שפורסם לאחרונה על ידי חברת eSentire, האקרים ניסו להדביק משתמשי Linkedin בנוזקה באמצעות הצעות עבודה מזויפות. ההאקרים בנו מיילים ייעודיים לפי פרופיל ה-Linkedin של הנתקף, כך שאם למשל תפקידו בפרופיל מוגדר כ-Senior Analyst – Banking, תיעשה אליו פנייה עם קובץ zip מצורף, ששמו יהיה Senior Analyst – Banking Position.

כאשר הנתקף יפתח את הקובץ, תותקן אצלו נוזקה מסוג Backdoor שתאפשר גישה עתידית למחשב על ידי ההאקרים.

כיצד ניתן להיזהר?

• אל תפתחו קבצים מצורפים עם סיומת .zip אלא אם אתם בטוחים שאתם יודעים מהיכן הם הגיעו. האקרים אוהבים להשתמש בקבצי Zip מכיוון שאנטי-וירוסים של אימיילים לרוב לא יסרקו את מה שנמצא בתוכם.
• חשדו כאשר מישהו מעתיק את הגדרת התפקיד המדויקת שלכם בשביל להציע לכם עבודה.
• התקינו מוצר אבטחה איכותי על המחשב והסמארטפון. על פי חברות האבטחה, מוצריהן יודעים לטפל גם באירועים מסוג זה.

אנו ממליצים לקרוא את המדריך שלנו על הגנה על המחשב האישי, למידע נוסף כיצד להגן על עצמכם מפני נוזקות.

• התחילו במזעור נזקים:
  • נתתם פרטי כרטיס אשראי? בטלו אותו בהקדם.
  • העברתם כסף? נסו לבטל את ההעברה באמצעות הבנק או האמצעי דרכו העברתם את הכסף. לצערנו, במקרים רבים לא יהיה ניתן להשיב את הכסף שאבד.
  • חושבים שהותקנה לכם נוזקה במחשב? נתקו את המחשב מהאינטרנט והריצו סריקה של אנטי-וירוס.
  • נתתם פרטים אישיים רבים? נסו להיזכר אילו פרטים נתתם, והתייעצו איתנו מה ניתן לעשות בנושא.
• דווחו על ההונאה לפלטפורמה בה היא בוצעה (לדוגמה Linkedin).
• הגישו תלונה במשטרה.
• אנו ממליצים להיכנס לעמוד העזרה הראשונה שלנו למידע רב כיצד לנהוג במצבים בהם נפגעתם.
• עדיין לא הסתדרתם? מוזמנים לפנות אלינו ב-hello@block.org.il.

הונאות עבודה נמצאות בעלייה. הן פשוטות, ונוגעות במרכיב חשוב בחיים של כולנו – היכולת להתפרנס.

להלן מספר טיפים נוספים שיעזרו לכם לא ליפול בהונאות הללו:

• היכנסו להגדרות של Linkedin, והיו בטוחים שאתם לא מאפשרים דברים שאינכם מעוניינים בהם כמו מתן הרשאות צפייה חופשיות בפרופיל שלכם. ספציפית, שימו לב להגדרות Visibility, Communications ו-Data Privacy:
  
• קיבלתם הצעת עבודה? ודאו באתר הרשמי או בדף ה-Linkedin הרשמי של החברה שהציעה לכם את העבודה, שהם אכן מחפשים מישהו לתפקיד שלכם.
• בצעו חיפוש על החברה שהציעה לכם עבודה באינטרנט. בעולם של היום כמעט לכל חברה לגיטימית יהיה דף אינטרנט מסודר.
• מה שנשמע טוב מכדי להיות אמיתי – כנראה אינו אמיתי.
• היזהרו כשאתם ממלאים טפסים אינטרנטיים. אם המעסיק רוצה שתמלאו טופס לפני הראיון, היזהרו שלא להכניס בו פרטים אישיים כגון פרטים פיננסיים או פרטים אישיים רגישים שיאפשרו לו לגנוב את זהותכם.
• אמנם חזרנו על זה מספר פעמים, אבל זו אחת השיטות המובילות של הנוכלים: לעולם אל תשלמו מראש עבור עבודה, הכשרה או כל דבר דומה!
• שימו לב לכתובת המייל ממנה קיבלתם את הפנייה, והיו בטוחים שהמייל נשלח מהבן אדם "הנכון", ושאף אחד לא מוליך אתכם שולל.

בהצלחה!