Fałszywe oferty pracy IT: jak nie dać się wyłudzić na rekrutacji

Przez
Nikola Olszewski
-
0
34
3/5 - (1 vote)

Nawigacja:

Dlaczego branża IT jest celem fałszywych ofert pracy

Popyt na specjalistów IT i wysokie stawki jako magnes dla oszustów

Branża IT od lat ma niedobór doświadczonych specjalistów, a stawki za godzinę pracy potrafią kilkukrotnie przewyższać inne sektory. Ten rozdźwięk między popytem a podażą przyciąga nie tylko uczciwych pracodawców, ale też osoby szukające szybkiego zarobku na cudzym zaufaniu.

Oszust widzi, że programista, tester czy devops może zarobić dużo i relatywnie szybko. Wystarczy przygotować fałszywe ogłoszenie, podszyć się pod znaną firmę technologiczną, obiecać stawkę „z górnej półki” i liczyć, że część kandydatów prześle dane, zapłaci za „sprzęt” lub kliknie w podesłany link. Skala naborów do IT sprawia, że nawet niski procent „skuteczności” może zrekompensować nakład pracy oszusta.

Dodatkowym bodźcem jest presja po stronie kandydatów. Ktoś szuka lepszej stawki, zmiany projektu, pracy zdalnej z dowolnego miejsca. Silna motywacja finansowa często osłabia czujność. Jeśli pojawia się oferta z widełkami dwa razy wyższymi niż średnia rynkowa, część osób od razu myśli: „trzeba spróbować”, zamiast najpierw zapytać: „czy to w ogóle ma sens”.

Rekrutacje zdalne i międzynarodowe – idealne tło dla scamów

Branża IT jako jedna z pierwszych przeszła masowo na rekrutacje online. Rozmowy na Zoomie, testy na platformach, komunikacja na Slacku – to standard. Ten standard bardzo ułatwia życie oszustom rekrutacyjnym, bo zniknęły naturalne bariery weryfikacji, jak spotkanie w biurze czy podpisywanie dokumentów na miejscu.

Rekrutacje międzynarodowe jeszcze bardziej utrudniają ocenę wiarygodności. Firma „z Niemiec”, „ze Szwajcarii” czy „z USA” brzmi dla wielu osób atrakcyjnie i prestiżowo, a jednocześnie jest trudniejsza do sprawdzenia. Kandydat często nie zna rejestrów firm w innych krajach, nie kojarzy lokalnych domen ani standardów umów. To stwarza komfortowe środowisko dla podmiotów podszywających się pod realne zagraniczne brandy.

Oszust może wysyłać identyczne wiadomości do kandydatów z wielu krajów. W treści pojawia się nazwa znanego produktu lub technologii, nazwa miasta, które coś mówi odbiorcy, i ogólne hasła o „dynamicznym rozwoju”. W praktyce wszystko jest kopiowane z jednej szablonowej wiadomości, a jedynym realnym celem jest skłonienie osoby do podania danych lub zainstalowania fałszywego „narzędzia do testów”.

Przyzwyczajenie do szybkiej komunikacji na LinkedIn i komunikatorach

Specjaliści IT są przyzwyczajeni, że codziennie dostają wiadomości od rekruterów. LinkedIn, e-mail, Slack, czasem WhatsApp czy Telegram. Krótkie zaproszenie, obietnica ciekawego projektu, link do kalendarza lub prośba o CV – taki przepływ stał się tłem dnia pracy i niewiele osób analizuje każde zaproszenie w detalach.

Fałszywi rekruterzy na LinkedIn wykorzystują ten szum komunikacyjny. Tworzą profile z profesjonalnie wyglądającym zdjęciem, kopiują opisy z prawdziwych kont, dopisują kilka nazw znanych korporacji. Przy kilkunastu wiadomościach dziennie kandydat często nie sprawdza, czy profil ma historię aktywności, czy ma realnych wspólnych znajomych i czy publikowane treści nie są przypadkową mieszanką.

Do tego dochodzą komunikatory mniej formalne, jak Telegram czy WhatsApp. Część firm rzeczywiście ich używa, ale dla oszusta to jeszcze lepszy kanał. Numer telefonu łatwiej zmienić, historia profilu jest minimalna, a użytkownicy przywykli, że działają tam „różni ludzie z branży”. W takim środowisku zdecydowanie łatwiej przemycić scam na rekrutację zdalną.

Oszustwa na prestiżową firmę i „znaną markę”

Jednym z najczęstszych schematów jest podszywanie się pod globalne marki technologiczne – duże software house’y, znane produktowe SaaSy, marki sprzętowe. Kuszące logo ma przełamać naturalną ostrożność kandydata. Jeśli rekruter mówi „rekrutuję dla Google/Meta/Microsoft”, wiele osób automatycznie zakłada, że kontakt jest poważny.

Scam może wyglądać niewinnie: e-mail z adresem łudząco podobnym do firmowego, profil na LinkedIn z użyciem logotypu, landing ze skopiowanym designem strony kariery. Kandydat widzi znajomą identyfikację wizualną i nie dopytuje o detale, np. o domenę, adres biura, formę umowy czy realny proces rekrutacji w tej konkretnej firmie.

Oszust nie zawsze od razu prosi o pieniądze. Czasem w pierwszym kroku zbiera jak najwięcej danych: pełne CV, linki do repozytoriów, profil GitHuba, a nawet listingi dostępów do narzędzi. Później te informacje można sprzedać lub wykorzystać w bardziej zaawansowanych atakach, np. phishing podszywający się pod rekrutację, ale już celujący w przejęcie kont deweloperskich.

Najczęstsze typy fałszywych ofert pracy w IT

„Praca zdalna z wysoką stawką za proste zadania”

Typowy scenariusz: ogłoszenie na grupie Facebook, w wiadomości prywatnej czy na anonimowym forum. Tytuł krzyczy „Programista / tester – praca zdalna, 50–100 euro za godzinę, proste zadania, brak doświadczenia wymagany tylko zapał”. W treści mało konkretów, dużo ogólników i nacisk na to, że „każdy da radę”.

W takim ogłoszeniu często brakuje kluczowych danych:

  • konkretnej nazwy stanowiska (np. „IT specialist” zamiast „Java Developer” czy „QA Engineer”);
  • jasnego opisu technologii, z którymi będzie praca;
  • informacji o projekcie poza „międzynarodowy klient z branży e-commerce”;
  • pełnych danych firmy – jest jedynie imię lub nick.

Po pierwszym kontakcie szybko pojawia się propozycja rejestracji na „platformie roboczej”, wpłaty kaucji lub zainstalowania oprogramowania rzekomo potrzebnego do wykonywania zadań. Zdarza się też, że kandydat ma wykonać serię mikro-zadań, które w rzeczywistości są elementem większego, komercyjnego projektu, za który nikt mu nigdy nie zapłaci.

„Projekt pilny, podpisujemy od razu”

Drugi popularny model to komunikat: „mamy krytyczny projekt, klient chce kogoś zatrudnić praktycznie od zaraz, szybka decyzja, minimum formalności”. Brzmi znajomo – w IT często rzeczywiście pojawiają się pilne potrzeby. Oszuści bazują na tym, że presja czasu obniża czujność.

Fałszywe oferty pracy IT tego typu mają kilka wspólnych cech:

  • mało etapów rekrutacji (czasem tylko jedna rozmowa na komunikatorze, bez wideo);
  • brak sensownego testu technicznego albo test bardzo ogólny, niewspółmierny do wysokości proponowanej stawki;
  • silny nacisk na szybkie przesłanie danych, podpisanie dokumentu lub akceptację „warunków wstępnych”.

Często po tej rozmowie kandydat otrzymuje do podpisu dokumenty, które wyglądają jak umowa, ale są napisane tak nieprecyzyjnie, że realnie niczego nie gwarantują. Może pojawić się tam zapis o obowiązku opłacenia wstępnej konfiguracji sprzętu, licencji na oprogramowanie albo wpłaty „bezzwrotnej zaliczki na rezerwację miejsca w projekcie”.

„Musisz tylko opłacić szkolenie lub sprzęt”

Jedna z najbardziej szkodliwych form oszustwa rekrutacyjnego polega na tworzeniu fałszywych „programów szkoleniowych” z obietnicą gwarantowanego zatrudnienia po zakończeniu kursu. Kandydat ma tylko pokryć koszt szkolenia, licencji czy pseudo-certyfikatu, a potem „na pewno dostanie pracę”, często u konkretnego, znanego klienta.

Schemat bywa podobny:

  • ogłoszenie lub wiadomość prywatna obiecująca „pewną pracę po kursie”;
  • brak jednoznacznej umowy z przyszłym pracodawcą – jest tylko deklaracja organizatora szkolenia;
  • presja, że „mamy tylko kilka miejsc, musisz się zdecydować dziś/jutro”;
  • opłata wstępna – czasem niewielka, czasem znacząca, zawsze „konieczna, by zabezpieczyć miejsce”.

Ostatnia odmiana to prośba o opłacenie z góry sprzętu służbowego lub narzędzi. „Kup laptopa/model telefonu X w naszym sklepie partnerskim, my potem zwrócimy koszty” – to klasyczny sygnał, że coś jest nie tak. Uczciwe firmy zapewniają sprzęt na swój koszt albo rozliczają realne, udokumentowane wydatki po podpisaniu jasnej umowy.

„Agencja”, która szuka tylko danych, a nie pracy

Na rynku pojawiają się też podmioty udające małe agencje rekrutacyjne. Mają prostą stronę, czasem profil na LinkedIn, a w ogłoszeniach zachęcają do „dołączenia do bazy kandydatów IT” lub „programu talentów”. W praktyce głównym celem jest zbudowanie jak największej bazy CV, a nie realne pośrednictwo pracy.

Takie podmioty:

  • nie mają jasnych informacji o klientach, z którymi współpracują;
  • rzadko publikują konkretne oferty – raczej ogólne formularze zgłoszeniowe;
  • nie potrafią odpowiedzieć na szczegółowe pytania o warunki projektów;
  • czasem „odsprzedają” dane kandydatów innym, bez jasnej zgody.

To jeszcze nie zawsze klasyczny scam, ale z perspektywy bezpieczeństwa i prywatności jest to poważny problem. Wyłudzanie danych kandydatów IT bywa wstępem do późniejszych ataków phishingowych, podszywania się pod rekruterów lub kradzieży tożsamości.

Sygnały ostrzegawcze w treści ogłoszenia

Brak przejrzystych danych firmy

Pierwsza rzecz, którą warto przeanalizować, to to, co ogłoszenie mówi o samym pracodawcy. Fałszywe oferty pracy IT bardzo często ukrywają, dla kogo realnie rekrutują. Pojawia się ogólny opis typu „klient z branży finansowej z Europy Zachodniej”, ale brak nazwy firmy, adresu strony, a tym bardziej danych rejestrowych.

Jeśli ogłoszenie jest publikowane przez rzekomą agencję, a na stronie tej agencji:

  • nie ma numeru NIP/KRS ani pełnej nazwy spółki,
  • brakuje polityki prywatności i informacji o przetwarzaniu danych,
  • zakładka „Kontakt” zawiera tylko formularz bez adresu fizycznego,

to już mocny sygnał ostrzegawczy. Dodatkowo podejrzane jest, gdy ogłoszeniodawca unika podania nazwy klienta nawet na prywatnej wiadomości po wstępnej rozmowie.

Ogólnikowe wymagania technologiczne i opis obowiązków

Uczciwe ogłoszenie w IT zawiera konkret: stos technologiczny, wersje kluczowych narzędzi, zakres obowiązków, typ projektu. Oszustowi zależy raczej na szerokim zasięgu niż na dopasowaniu, dlatego treść bywa bardzo ogólna typu:

  • „znajomość jednego z popularnych języków programowania”;
  • „pracowałeś z bazami danych – będzie to atutem”;
  • „doświadczenie z systemami Linux lub Windows mile widziane”.

Obowiązki również bywają opisane ogólnikowo: „udział w rozwoju systemu”, „wsparcie zespołu w realizacji zadań”, „praca nad innowacyjnymi rozwiązaniami”. Brakuje konkretów o tym, czy praca polega na rozwoju czy utrzymaniu, czy mowa o produkcie czy projekcie dla klienta, jak wygląda współpraca z zespołem.

Widełki płacowe, które nie trzymają się realiów

Widełki płacowe same w sobie nie są problemem – wręcz przeciwnie, ich brak bywa irytujący. Problem pojawia się, gdy w treści ogłoszenia pojawia się komunikat „zarobki nieograniczone”, „do ustalenia”, „bardzo atrakcyjne”, ale nie ma żadnego konkretu ani przedziału. Przy jednoczesnym opisie prostych zadań to sygnał, że ktoś próbuje grać na chciwości lub marzeniach, nie na realnych warunkach.

Odwrotnym, równie podejrzanym przypadkiem są stawki rażąco odbiegające w górę od rynku, przy minimalnych wymaganiach. Jeśli ktoś oferuje początkującemu deweloperowi konsulting za kilkaset euro dziennie bez konieczności wykazania się portfolio, trzeba bardzo dokładnie sprawdzić, z kim jest rozmowa, zanim wyśle się jakiekolwiek dane.

Błędy językowe, formatowanie i kopiowane szablony

Nie każde ogłoszenie z błędem oznacza scam. Jeśli jednak ogłoszenie ma:

  • liczne błędy językowe charakterystyczne dla automatycznego tłumacza,
  • mieszankę różnych stylów (część tekstu po polsku, część po angielsku, bez sensu),
  • dziwne odstępy, powtarzające się akapity, chaotyczne użycie wielkich liter,

to warto włączyć większą czujność. Oszuści często kopiują fragmenty z innych ogłoszeń, mieszają je i publikują hurtem w wielu miejscach. Przez to tekst wygląda niespójnie – opis teamu z jednej firmy, narzędzia z drugiej, a wymagania z trzeciej.

Dobrym testem jest skopiowanie fragmentów ogłoszenia i wklejenie ich do wyszukiwarki. Jeśli ten sam blok tekstu pojawia się w wielu kontekstach, pod różnymi „firmami”, często nawet w innych krajach, to powód, by dokładniej przyjrzeć się nadawcy.

Presja czasu i emocji w treści ogłoszenia

Nietypowe wymagania dotyczące płatności i narzędzi

Presja finansowa często pojawia się już w ogłoszeniu. Kandydat ma z góry wiedzieć, że „standardem” jest samodzielne pokrycie kosztów czegoś, co normalnie finansuje pracodawca.

Charakterystyczne są sformułowania:

  • „wymagamy gotowości do pokrycia kosztów szkolenia wdrożeniowego”;
  • „konieczny zakup licencji na nasze narzędzie rekrutacyjne”;
  • „kandydat pokrywa koszt pierwszego miesiąca narzędzi, później zwrot”;
  • „obowiązkowa opłata aktywacyjna konta pracownika”.

To nie są zwykłe benefity czy „budżet szkoleniowy”. Jeśli jakakolwiek płatność ma być warunkiem dopuszczenia do rekrutacji lub rozpoczęcia pracy, sytuacja jest co najmniej podejrzana.

Podobnie z narzędziami technicznymi: niestandardowe komunikatory, „autorskie” platformy do zadań, które wymagają instalacji pliku .exe z nieznanego źródła, to powód, by się zatrzymać.

Nieadekwatne prośby o dane już na etapie ogłoszenia

Bezpieczne ogłoszenie zwykle zawiera link do formularza lub prośbę o CV. Oszukańcze konstrukcje przesuwają granice dużo dalej już w pierwszym kroku.

W treści ogłoszenia lub pierwszej wiadomości mogą pojawić się oczekiwania, by przesłać:

  • skan dowodu osobistego lub paszportu „do wstępnej weryfikacji tożsamości”;
  • pełne dane adresowe z numerem PESEL lub odpowiednikiem;
  • zrzuty ekranu z paneli w pracy (Jira, GitLab, CRM), rzekomo jako „dowód doświadczenia”;
  • hasła jednorazowe lub tokeny dostępowe „do połączenia z systemem testowym”.

Takie wymagania nie mają uzasadnienia na etapie czytania ogłoszenia czy pierwszego kontaktu. W uczciwych procesach dokumenty tożsamości pojawiają się dopiero przy podpisywaniu umowy i nigdy nie są wysyłane przez przypadkowe komunikatory.

Rozmowa rekrutacyjna w nowoczesnym biurze IT
Źródło: Pexels | Autor: Tima Miroshnichenko

Jak weryfikować firmę i rekrutera krok po kroku

Sprawdzenie podstawowych danych rejestrowych

Punkt startowy to zawsze dane firmy. Nawet jeśli mowa o zagranicznym podmiocie, da się zweryfikować jego istnienie.

Praktyczny schemat:

  • odszukaj pełną nazwę spółki, adres i numer rejestrowy (NIP, KRS, odpowiedniki zagraniczne);
  • sprawdź firmę w oficjalnych rejestrach (KRS, CEIDG, odpowiedniki w danym kraju);
  • porównaj adres ze strony WWW z tym w rejestrze – rozbieżności są czerwonym światłem;
  • sprawdź domenę e-mail (czy to firma, czy darmowy dostawca typu Gmail, Outlook).

Jeśli rekruter unika przesłania pełnej nazwy spółki lub twierdzi, że „formalnie to klient pośrednika” bez możliwości weryfikacji – lepiej odpuścić.

Weryfikacja rekrutera w serwisach zawodowych

Prawdziwy rekruter zwykle ma ślad w sieci. Minimum to rozsądnie uzupełniony profil w serwisie typu LinkedIn.

Sprawdź kilka rzeczy naraz:

  • historię zatrudnienia – czy jest spójna, czy nie zmienia się co kilka miesięcy w dziwne „firmy”;
  • liczbę i jakość połączeń – świeże konto z kilkoma znajomymi jest mniej wiarygodne;
  • aktywność – czy osoba publikuje, komentuje, ma rekomendacje;
  • zgodność danych kontaktowych z tym, co podaje w ogłoszeniu (mail, domena, stanowisko).

Można też wejść na stronę firmy i sprawdzić, czy dana osoba jest wymieniona w sekcji „Zespół” albo na blogu jako autor. Brak jakiegokolwiek potwierdzenia nie musi oznaczać oszustwa, ale przy innych czerwonych flagach wzmacnia podejrzenia.

Kontakt przez oficjalne kanały

Gdy coś budzi wątpliwości, najlepiej zbudować „drugą ścieżkę” kontaktu. Nie opierać się tylko na jednym komunikatorze.

Przydatne kroki:

  • napisz na oficjalny adres HR z domeny firmy, pytając, czy dana osoba faktycznie prowadzi rekrutację;
  • zadzwoń na numer z oficjalnej strony, poproś o połączenie z działem rekrutacji;
  • w przypadku agencji – zapytaj firmę-klienta (jeśli jest znana z nazwy), czy współpracuje z tym pośrednikiem.

Jeśli firma odpowiada, że nie prowadzi takiej rekrutacji lub nie zna tej agencji, sytuacja jest jasna. Brak odpowiedzi przy jednoczesnej presji „rekrutera” na szybkie decyzje to kolejny sygnał, że lepiej się wycofać.

Sprawdzenie opinii i wzmiankowań w sieci

Firmy aktywnie rekrutujące w IT rzadko są zupełnie anonimowe. Zwykle pojawiają się w serwisach z opiniami, na forach, w social mediach.

Warto:

  • przeszukać nazwę firmy + „opinie”, „rekrutacja”, „oszustwo”;
  • sprawdzić, czy nie ma ostrzeżeń na grupach branżowych (Facebook, Slacki, Discordy);
  • przejrzeć ogłoszenia tej samej firmy na różnych portalach – czy są spójne.

Brak opinii to nie wyrok, może chodzić o mały software house. Ale kombinacja: brak opinii, świeża domena, agresywna presja na dane i płatności – to raczej mieszanka, którą lepiej omijać.

Minimalna „due diligence” przed wysłaniem dokumentów

Zanim wyślesz CV lub portfolio, dobrze wykonać choć krótki check-list. To kilka minut, które może oszczędzić tygodni problemów.

Prosty zestaw pytań kontrolnych:

  • czy znam pełną nazwę firmy i mogę ją zweryfikować w rejestrach;
  • czy mam potwierdzenie, że rekruter faktycznie z nią współpracuje;
  • czy rozumiem, dla jakiego mniej więcej projektu rekrutują (branża, typ produktu);
  • czy nie proszą o dane wykraczające poza typowe CV i dane kontaktowe.

Jeśli na któreś z tych pytań odpowiedź brzmi „nie” lub „to niejasne”, rozsądniej jest najpierw doprecyzować, niż wysyłać komplet informacji.

Fałszywe rekrutacje a wyłudzanie danych osobowych i dostępu

Jakie dane są dla oszustów najbardziej wartościowe

Nie chodzi tylko o imię i nazwisko. Wyłudzone w trakcie rekrutacji informacje składają się w pełen obraz, który potem można monetyzować.

Szczególnie cenne są:

  • pełne dane adresowe, PESEL, numery dokumentów – do kradzieży tożsamości;
  • dane pracodawców, nazwy systemów, w których pracujesz – do projektowania ataków na firmy;
  • screeny paneli administracyjnych, fragmenty konfiguracji – do rozpoznania infrastruktury;
  • adres e-mail i numer telefonu powiązany z kontami bankowymi czy serwisami płatniczymi.

Na pierwszy rzut oka wygląda to niewinnie: „prosimy o szczegółowe CV, żeby lepiej dopasować ofertę”. W praktyce ktoś może budować bazę celów do phishingu lub prób przejęcia kont.

Scenariusze phishingu podszywającego się pod rekrutację

Coraz częściej rekrutacja jest tylko „przykrywką” do kolejnego etapu oszustwa. Po zebraniu danych pojawiają się kolejne wiadomości, niby z tego samego źródła.

Typowe mechanizmy:

  • e-mail „od IT” proszący o zalogowanie się na niby-firmowej platformie (strona łudząco podobna do prawdziwej);
  • SMS z linkiem do „podpisania umowy on-line” poprzez fałszywy portal podpisu elektronicznego;
  • prośba o potwierdzenie tożsamości przez podanie kodu z aplikacji bankowej „w celu wypłaty zaliczki”.

Oszust wykorzystuje już zdobyte informacje (imię, nazwisko, stanowisko, nazwa firmy), żeby wiadomości wyglądały bardziej wiarygodnie. Bez kontekstu rekrutacji ofiara byłaby ostrożniejsza, tu jednak bariera czujności bywa obniżona.

Wyłudzanie dostępu do systemów i kodu

W IT celem bywa nie tylko portfel kandydata, ale też infrastruktura pracodawcy lub klienta. Fałszywy „zadanie testowe” może w praktyce być próbą zdobycia dostępu.

Przykładowe sytuacje:

  • prośba o zalogowanie się do „środowiska testowego” przy użyciu służbowych danych;
  • zadań polegających na „szybkiej diagnostyce” systemu, do którego kandydat ma dostęp w pracy;
  • prośba o przeklejenie fragmentów realnego kodu lub konfiguracji, żeby „sprawdzić styl pracy”.

Czasem gra jest subtelna – oszust nie poprosi wprost o hasła, ale skłoni do uruchomienia skryptu lub kontenera, który zbiera tokeny sesyjne, klucze z SSH czy konfiguracje VPN.

Ryzyko dla pracodawcy kandydata

Gdy kandydat jest już zatrudniony gdzie indziej, staje się potencjalnym wektorem ataku na obecnego pracodawcę. Oszust może chcieć „przemycić” z firmy dostęp, kod lub informacje biznesowe.

Sztuczki stosowane w takich przypadkach:

  • zadania „case study” łudząco podobne do systemów kandydata;
  • prośby o opis „jak jest to rozwiązane u was” z detalami architektury;
  • pytania o stosowane narzędzia bezpieczeństwa, polityki haseł, listy dostępu.

Odpowiedzialny kandydat nie przekazuje takich informacji, nawet jeśli są podane jako „neutralne” pytania techniczne. Jeśli ktoś naciska na szczegóły, których nie można publicznie opisać bez naruszenia tajemnicy służbowej, sygnał jest jednoznaczny.

Minimalizacja śladu danych przekazywanych w procesie

Nie zawsze da się uniknąć podawania danych, ale można je ograniczać i kontrolować.

Praktyczne zasady:

  • na etapie wstępnym wysyłaj CV bez numeru PESEL, skanów dokumentów, zdjęć dokumentów;
  • nie przekazuj haseł, tokenów, kluczy API ani konfiguracji z bieżącej pracy;
  • używaj adresu e-mail dedykowanego do rekrutacji, oddzielonego od bankowości i kluczowych usług;
  • jeśli korzystasz z managera haseł, nie zapisuj tam danych logowania do „testowych” platform o niejasnym statusie.

W razie wątpliwości lepiej dopytać, dlaczego dana informacja jest wymagana i czy naprawdę bez niej nie da się przeprowadzić kolejnego etapu. Uczciwy rekruter potrafi to rzeczowo uzasadnić.

Groźne praktyki „na granicy” – kiedy coś jest już oszustwem

„Prawie legalne” programy szkoleniowe

Istnieje szara strefa firm, które formalnie nie kłamią, ale budują przekaz w sposób mocno wprowadzający w błąd. Obiecują „wysokie szanse”, „duże prawdopodobieństwo”, „priorytet przy zatrudnianiu po szkoleniu”.

Ryzykowne sygnały:

  • brak gwarancji zatrudnienia w umowie, mimo obietnic w rozmowie;
  • uzależnienie „możliwości rekrutacji” od drogiego szkolenia;
  • brak jasnej informacji, jak wielu absolwentów faktycznie otrzymało pracę;
  • drobny druk z zapisami wyłączającymi odpowiedzialność za brak ofert.

Formalnie takie podmioty często działają legalnie, ale model biznesowy polega na sprzedawaniu nadziei. Z punktu widzenia kandydata różnica finansowa między tym a klasycznym scamem bywa niewielka.

„Testy zadań produkcyjnych” pod przykrywką rekrutacji

Firmy szukające darmowej pracy prezentują zadania jako „sprawdzian kompetencji”, podczas gdy kandydat realnie wykonuje fragment komercyjnego projektu.

Charakterystyczne elementy:

  • brak jasnego ograniczenia czasu testu, zadań przybywa po każdym kroku;
  • prośby o rozwijanie funkcjonalności opartej na realnych danych biznesowych;
  • brak feedbacku po zakończeniu, cisza lub formułka „tym razem wybór padł na innego kandydata”;
  • identyczne zadanie pojawia się wśród feature’ów firmy po kilku tygodniach.

Trudno z tym walczyć prawnie, ale można ustawić własne granice. Kilkanaście godzin nieodpłatnej pracy na zadaniu bardzo podobnym do realnego backlogu to sygnał, że coś z kulturą tej organizacji jest nie tak – niezależnie od tego, czy to już oszustwo w sensie prawnym.

Ukrywanie realnej formy współpracy i wynagrodzenia

Czasem problemem nie jest sam brak oferty, ale jej realne warunki. Kandydat widzi w ogłoszeniu „B2B / UoP”, „stawka do X”, a po kilku etapach okazuje się, że:

  • jest tylko działalność gospodarcza z ryczałtem,
  • stawka „do X” jest realna dla seniora, ale oferta jest na poziom mid/junior,
  • większość wynagrodzenia ma formę premii uznaniowej, zupełnie uzależnionej od „oceny klienta”.

Manipulowanie tytułem stanowiska i zakresem obowiązków

Naciągane ogłoszenia często grają tytułem. Na banerze „Senior”, w szczegółach realnie praca supportowa z ograniczonym wpływem na produkt.

Typowe przekłamania:

  • „Lead / Architect” przy obowiązkach typowego mida bez realnego decyzyjnego wpływu;
  • „Remote first”, a w ofercie końcowej obowiązkowe 3 dni w biurze „po okresie wdrożenia”;
  • „Full-time”, ale w umowie wpisane godziny „w zależności od potrzeb klienta”, bez górnego limitu.

Samo przesadzone nazewnictwo nie jest przestępstwem, ale jeśli zestawisz je z ukrywaniem realnych warunków, obraz zaczyna się zbliżać do świadomego wprowadzania w błąd.

Presja na szybkie decyzje i „okazje nie do powtórzenia”

Oszust, podobnie jak agresywny sprzedawca, zarabia na pośpiechu. Chce, żeby kandydat podjął decyzję, zanim zada niewygodne pytania.

Często stosowane triki:

  • odliczanie czasu: „musimy mieć decyzję dziś do 17:00, bo inaczej oferta przepada”;
  • straszenie konkurencją: „mamy jeszcze dwóch kandydatów, którzy już powiedzieli wstępne tak”;
  • odkładanie szczegółów: „szczegóły wpiszemy w aneksie, teraz liczy się szybka deklaracja”.

Zdrowa rekrutacja dopuszcza czas na przeczytanie umowy, konsultację z prawnikiem czy po prostu przespanie się z decyzją. Jeśli rozmówca reaguje nerwowo na prośbę o 1–2 dni namysłu, czerwone światło świeci bardzo jasno.

Niejasne lub fikcyjne „projekty u klienta”

W modelu body leasingu część szczegółów musi być niejawna. To jednak nie usprawiedliwia kompletnej mgły informacyjnej.

Wątpliwe elementy:

  • brak jakichkolwiek informacji o branży czy skali projektu („duży zachodni klient” i nic więcej);
  • ciągłe zmiany opisu: w jednym etapie fintech, w kolejnym e-commerce, potem „projekt wewnętrzny”;
  • brak możliwości zadania pytań osobie technicznej faktycznie pracującej przy projekcie.

Zdarza się też, że „klient” jest całkowicie wymyślony, a rekrutacja służy tylko do budowania bazy CV lub sprzedaży usług szkoleniowych. Gdy każda prośba o konkrety kończy się ogólnikami, lepiej uważać.

Jak reagować, gdy coś „pachnie” oszustwem

Podejrzenia pojawiają się często w trakcie rozmowy, gdy trudno od razu przerwać kontakt. Warto mieć prosty schemat działania.

Przydatne kroki:

  • ograniczyć dalsze ujawnianie danych – przejść na ogólny opis doświadczeń bez nazw klientów i systemów;
  • poprosić o przesłanie szczegółów mailowo: nazwy firmy, formy współpracy, widełek;
  • zasygnalizować, że musisz zweryfikować informacje i wrócisz z odpowiedzią następnego dnia;
  • nie instalować niczego i nigdzie się nie logować w trakcie rozmowy „na szybko”.

Sam fakt, że coś budzi niepokój, jest już informacją. Nie ma obowiązku kontynuowania procesu, jeśli czujesz, że druga strona naciska lub unika jasnych odpowiedzi.

Dokumentowanie podejrzanych sytuacji

Przy poważniejszym oszustwie przydają się dowody. Bez nich trudno zgłosić sprawę dalej lub choćby ostrzec innych w sposób konkretny.

Minimalny zestaw to:

  • zrzuty ekranu ogłoszenia z datą publikacji;
  • kopie maili i wiadomości z komunikatorów (z widocznymi nagłówkami/avsarem);
  • zapisy lub notatki z rozmów telefonicznych / online (data, kto, co obiecał);
  • nazwy profili na LinkedIn, adresy stron, numery telefonów.

Nie chodzi o obsesyjne archiwizowanie wszystkiego, ale o podstawowy „ślad”, który w razie czego można przekazać działom bezpieczeństwa, prawnikom czy administratorom serwisu ogłoszeniowego.

Gdzie zgłaszać fałszywe oferty i podejrzane rekrutacje

Samemu trudno walczyć z wyspecjalizowanymi oszustami. Zgłoszenia do właściwych miejsc realnie utrudniają im działalność.

Najczęstsze kanały:

  • dział bezpieczeństwa lub support portalu z ofertami pracy – z linkiem, opisem i dowodami;
  • dział bezpieczeństwa Twojej firmy, jeśli użyto brandu pracodawcy lub próbowano wyłudzić dane firmowe;
  • CSIRT NASK lub lokalne zespoły reagowania, gdy w grę wchodzi phishing, złośliwe oprogramowanie, fałszywe loginy;
  • policja / prokuratura – przy wyłudzeniach pieniędzy, kradzieży tożsamości, poważnych szkodach finansowych.

Na grupach branżowych można też opisać wzorzec działania (bez łamania regulaminów i bez niepotrzebnego „publicznego linczu”), co pomaga innym szybciej rozpoznać podobne schematy.

Bezpieczna komunikacja z rekruterami

Nawet uczciwy proces warto prowadzić tak, by ograniczyć ryzyko przechwycenia korespondencji lub nieautoryzowanego dostępu.

Kilka prostych zasad:

  • korzystaj z głównego kontaktu firmy (np. oficjalnego maila) przy pierwszym potwierdzeniu, że rekruter tam pracuje;
  • nie przesyłaj skanów dokumentów przez otwarte komunikatory bez szyfrowania end-to-end;
  • unikaj omawiania poufnych informacji na prywatnych kontach społecznościowych, jeśli nie jesteś pewien tożsamości rozmówcy;
  • dla linków do „platform rekrutacyjnych” zawsze ręcznie wpisz domenę w przeglądarce zamiast klikać w przesłany URL.

Proste nawyki mocno utrudniają życie tym, którzy bazują na impulsywnym klikaniu w pierwszy lepszy link „od HR”.

Świadome zarządzanie swoim profilem kandydata

Rekruterzy IT pracują głównie na danych publicznych: GitHub, LinkedIn, portale z CV. To także wektor podszyć.

Warto przejrzeć, co o tobie mówią otwarte profile:

  • czy adres e-mail w CV / na LinkedIn zgadza się z tym, którego faktycznie używasz do rekrutacji;
  • czy nie publikujesz zbędnych informacji o klientach i technologiach produkcyjnych;
  • czy na GitHubie / blogu nie zostawiłeś dawnych plików z kontaktami służbowymi.

Im mniej szczegółów o twojej infrastrukturze zawodowej w publicznej sieci, tym trudniej oszustowi zbudować bardzo wiarygodne, dopasowane pod ciebie story rekrutacyjne.

Rozsądne podejście do zadań rekrutacyjnych

Nie każde zadanie domowe jest złem. Problem zaczyna się, gdy wymagania są nieproporcjonalne do stawki i etapu rekrutacji.

Przy ocenie zadania pomocne pytania:

  • czy zakres pracy mieści się w 2–4 godzinach i ma jasno opisany cel;
  • czy zadanie można zrealizować na sztucznych danych, bez wprowadzania prawdziwych informacji biznesowych;
  • czy w treści nie ma elementów pozwalających łatwo wykorzystać rezultat komercyjnie (np. produkcyjna integracja z konkretną usługą klienta);
  • czy firma deklaruje feedback i realny termin odpowiedzi.

Jeśli zadanie wygląda jak fragment backlogu, jest „na wczoraj” i wymaga wielu godzin pracy, a jednocześnie brak zgody na późniejsze pokazanie go jako portfolio – znak, że ktoś przesuwa granice kosztem kandydata.

Ostrożność przy „ekskluzywnych” kontaktach headhunterskich

Doświadczonych specjalistów kuszą bezpośrednie wiadomości: „mam jedną, bardzo poufną ofertę, tylko dla wybranych”. Brzmi dobrze, bywa jednak jedynie przynętą.

Najpierw przyjrzyj się nadawcy:

  • czy profil rekrutera jest spójny (historia pracy, sieć kontaktów, rekomendacje);
  • czy firma pośrednicząca faktycznie istnieje, ma stronę, NIP, adres;
  • czy rekruter umie podać choć ogólny zakres projektu i wymagań technicznych, a nie tylko „top client z Europy Zachodniej”.

W jednej z popularnych sytuacji „headhunter” po kilku ogólnych wiadomościach wysyła link do „panelu kandydackiego”, który w rzeczywistości służy do zbierania danych logowania lub informacji o aktualnym pracodawcy.

Kiedy skonsultować się z prawnikiem lub działem HR

Przy bardziej skomplikowanych przypadkach warto nie działać samemu. Prawnik lub doświadczony HR szybko wychwyci zapisy lub zachowania, które laikowi umykają.

Szczególnie przydatna jest konsultacja, gdy:

  • masz otrzymać nietypową formę wynagrodzenia (np. wysoki udział w zyskach zamiast pensji podstawowej);
  • umowa zawiera bardzo szerokie NDA, zakaz konkurencji lub przeniesienie praw autorskich „do całej dotychczasowej twórczości”;
  • firma żąda podpisania dokumentów „od ręki” w trakcie rozmowy lub z minimalnym czasem na analizę.

Nawet krótkie spojrzenie profesjonalisty może uchronić przed wielomiesięcznymi konsekwencjami źle podpisanej umowy lub udziału w schemacie, który balansuje na granicy prawa.

Najczęściej zadawane pytania (FAQ)

Jak rozpoznać fałszywą ofertę pracy w IT?

Najczęstsze sygnały ostrzegawcze to: bardzo wysokie stawki przy braku konkretnych wymagań, ogólnikowy opis stanowiska („IT specialist”, „pracownik działu IT”) oraz brak jasnych danych o firmie (pełnej nazwy, adresu, NIP, strony www w wiarygodnej domenie).

Niepokoić powinny też nietypowe prośby: instalacja „specjalnego narzędzia” przed rozmową, rejestracja na dziwnej platformie, przesyłanie skanu dokumentu tożsamości czy numeru karty. Jeśli oferta brzmi „jak złapana w locie okazja życia”, a jednocześnie jest słabo opisana, lepiej ją zweryfikować lub odpuścić.

Czy rekruter może prosić o opłatę za sprzęt lub szkolenie przed zatrudnieniem?

W standardowej rekrutacji IT kandydat nie opłaca z góry ani sprzętu, ani licencji, ani „obowiązkowego” szkolenia. Koszt narzędzi i wdrożenia leży po stronie pracodawcy lub realnej firmy outsourcującej.

Prośba o przedpłatę za laptop, licencje, kurs czy „certyfikat wymagany do projektu” to klasyczny schemat wyłudzenia. Jeśli pojawia się presja czasu („oferta ważna do końca dnia”, „ostatnie miejsce w programie”), a jedynym warunkiem jest szybka wpłata – traktuj to jako mocny sygnał alarmowy.

Jak sprawdzić, czy rekruter z LinkedIn jest prawdziwy?

Sprawdź historię profilu: datę założenia konta, liczbę kontaktów, wcześniejsze miejsca pracy, rekomendacje, aktywność w postach i komentarzach. Nowy profil z kilkoma kontaktami i ogólnikowym opisem to ryzyko.

Porównaj dane z oficjalną stroną firmy (domena, adres e‑mail, nazwa działu HR). W razie wątpliwości napisz na ogólny adres HR z firmowej strony z pytaniem, czy dana osoba tam pracuje. Uczciwy rekruter nie będzie miał nic przeciwko takiej weryfikacji.

Czy ofertom „praca zdalna w IT bez doświadczenia za 50–100 euro/h” można ufać?

Jeśli oferta obiecuje bardzo wysoką stawkę przy braku wymagań technicznych („wystarczy zapał, nauczymy wszystkiego”) i nie podaje konkretnej technologii ani projektu, jest to niemal na pewno scam lub co najmniej mocno wątpliwa propozycja.

Początkujący w IT zwykle zaczynają od niższych stawek i jasno zdefiniowanych zadań. Hasła typu „proste zadania, każdy da radę, pełna zdalka, bardzo wysoka stawka” przy anonimowym ogłoszeniu to przepis na wyłudzenie danych lub darmową pracę nad czyimś projektem.

Jak bezpiecznie weryfikować zagraniczne oferty pracy IT?

Zacznij od podstaw: sprawdź firmę w rejestrach danego kraju (np. odpowiedniku KRS), zobacz, czy ma normalną stronę www w pasującej domenie, profile w sieciach społecznościowych i realne opinie pracowników (np. na Glassdoor, Kununu).

Porównaj proces rekrutacji z tym, co firma opisuje na swojej stronie „Careers”. Jeśli ktoś obiecuje „zatrudnienie w Google/Microsoft” po jednej rozmowie na Telegramie bez wideo i testu technicznego, jest to sprzeczne z rzeczywistymi procedurami tych firm.

Jakie dane mogę bezpiecznie podać w procesie rekrutacji, a jakich unikać?

Standardowo podaje się: CV (bez numeru PESEL i skanu dokumentu), linki do portfolio/GitHuba, numer telefonu, e‑mail oraz informacje o doświadczeniu i oczekiwaniach finansowych. Firmy mogą też poprosić o wykonanie zadania testowego, ale bez instalowania nieznanego oprogramowania.

Unikaj wysyłania skanów dowodu osobistego, paszportu, kart płatniczych, haseł, kluczy API, danych dostępowych do repozytoriów czy systemów produkcyjnych. Jeśli ktoś o to prosi na etapie „wstępnej weryfikacji”, traktuj to jako próbę wyłudzenia, a nie normalną rekrutację.

Co zrobić, jeśli odpowiedziałem na fałszywą ofertę pracy IT?

Jeśli przekazałeś tylko ogólne CV, po prostu przerwij kontakt i zgłoś ogłoszenie serwisowi, na którym je znalazłeś (LinkedIn, Facebook, portal z ofertami). Możesz też ostrzec społeczność w komentarzach lub w grupach branżowych.

Gdy wysłałeś skany dokumentów, dane karty lub wykonałeś przelew, skontaktuj się z bankiem (blokada karty, ewentualne chargebacki), rozważ zastrzeżenie dokumentu tożsamości (np. w systemie Dokumenty Zastrzeżone) i zgłoś sprawę na policję. Warto też zmienić hasła tam, gdzie mogły trafić do oszusta.

Poznaj powiązane treści: