Yılda 90.000 dolar, tam zamanlı evden çalışma ve 30 günlük ücretli izin, üstelik bunların hepsi kıdemsiz bir veri analisti olarak çalışmak için! İnanılmaz değil mi? Bunun gibi şüphelenmeyen kurbanları verilerini vermeye ikna etmek için yapılmış çok fazla sahte iş ilanları var.
Birçok işverenin işe alımları dondurduğu ya da eskisi kadar işe alım yapmadığı bugünlerde iş aramak oldukça zor olabilir. Ayrıca son zamanlarda yaşanan işten çıkarmalarla birlikte piyasada eskisinden çok daha fazla iş arayan insan var.
Yine de bu, firmaların iş ilanlarını tamamen durdurduğu anlamına gelmez; askıya alınmış pozisyonlar, bir şirket kimseyi aramasa da “hayalet iş” teklifleri olarak kalabilir.
Ancak sorun şu ki bu pozisyonlara meşru şirketlerden gelen teklifler olduğunu iddia eden sahte gönderiler de katılıyor ve iş panolarını aşırı dolduruyor. Dahası, bu ilanlar çok gerçekçi görünebilir çünkü dolandırıcılar genellikle bir işe alım görevlisinin veya İK personelinin kişiliğini ve profesyonel yaşamının sahtesini oluşturacak kadar ileri giderler, bazen bunu yapmak için insanların gerçek çevrimiçi verilerini çalarlar.
Neden? Her zaman olduğu gibi bu tür dolandırıcılıkların nihai amacı, toplanan verileri bir tür parasal veya diğer kazançlar elde etmek için kullanmaktır. Bu tür dolandırıcılar kurnaz olsalar da onları tespit etmek imkânsız değildir.
Sahte iş ilanları ve kimlikler inşa etmek
Daniel Cunha Barbosa tarafından daha önce yayımlanan WeLiveSecurity blog yazısında belirtildiği gibi insanlar özellikle LinkedIn gibi hem profesyonel bir sosyal medya hizmeti hem de bir iş panosu olarak hizmet veren sitelerde kendileri hakkında çevrimiçi ortamda çok fazla bilgi vermektedir. Bu durum dolandırıcıların veri toplamasını kolaylaştırabilir: İster çalınmış hesap kimlik bilgilerini satın alarak ister biraz web kazıma yaparak.
Örneğin, açık kaynaklı istihbarat (OSINT) araçları insanların çevrimiçi profillerinden ve faaliyetlerinden kolayca veri toplanmasına yardımcı olabilir. Maltego gibi yazılımlar, çevrimiçi kişiler veya şirketler hakkındaki bilgilerin ortaya çıkarılmasına yardımcı olarak herkesin web siteleri, hesaplar, e-postalar, konumlar ve daha fazlası arasındaki ilişkileri bağlamasına ve haritalandırmasına olanak tanır.
Sonuç olarak, iş e-postalarının ele geçirilmesi veya çeşitli sosyal mühendislik saldırıları gibi daha fazla suç işlemek amacıyla daha fazla veri toplamak için şüphelenmeyen kullanıcıları sahte ilanlara çekmeyi amaçlayan profiller oluşturmak her zamankinden daha kolay hale geliyor.
Öte yandan, OSINT araçları ile insanlar çevrimiçi ortamda ne kadar maruz kaldıklarını kontrol edebilirler, bu nedenle özellikle işverenlerinin güvenlik duruşlarını bozabilecek potansiyel tehditler hakkında bilgi ortaya çıkarmak amacıyla bunları kullanabilen güvenlik uygulayıcıları için olumlu bir uygulamaya da sahiptirler.
Sahte iş ilanları tespit etme
Sahte bir iş ilanı neye benzer? Sahte işverenler iş arayanlara doğrudan mesaj gönderebilir ve mesajın/e-postanın içine kötü amaçlı bir bağlantı veya ek ekleyebilir. Bunlara işe alım panolarındaki sahte iş ilanları da katılır ve pozisyonların daha gerçek görünmesini sağlar.
Dahası, başvuru sürecinin başlarında, sahtekârlar banka hesap bilgilerini veya sosyal güvenlik numaralarını isteyecek kadar ileri gidebiliyorlar ki bu her zaman herkesin aklında bir soru işareti oluşturmalıdır.
Dolayısıyla gerçek bir teklifle etkileşime geçmek üzere olup olmadığınızı teyit etmek için en iyi seçeneğiniz kontrol etmektir:
- Şirketin ve kişinin var olup olmadığını kontrol edin: Yasal işletme adı, adresi, kaydı, çevrimiçi varlığı ve potansiyel haber raporları.
- İşletmenin/işe alım yapan kişinin sosyal medya profillerini inceleyin: Dil bilgisi hataları, gönderilerinde garip tarih kesintileri ve sürekli çevrimiçi etkinlik eksikliği olup olmadığına bakın (sahte profillerin uzun vadeli düzenli bir çevrimiçi varlığı olmayabilir).
- Gerçek kişilerden gelen tepkilerine bakın: Önceki işverenlerden ve iş arkadaşlarından gelen tavsiyeler, sertifikalar, başkalarının paylaşımlarına verdikleri gerçek tepkiler vb.
- Diğer iş kurullarındaki gönderileri veya geçmiş faaliyetlere göz atın: Diğer kurullarda ne kadar çok gönderileri varsa gerçek olma olasılıkları o kadar yüksektir. Mümkünse yerel panolardaki gönderilerini de kontrol edin. Ancak bu gerçekliği garanti etmez.
Küçük hatalar da fark yaratabilir. Dolandırıcılar genellikle daha gerçekçi görünmek için şirket çalışma sayfalarını yeniden oluştururlar ancak bu sayfalar da bazı fark edilebilir niteliklere sahip olabilir:
- Web sitesi güvenliği: Sahte web sitelerinde HTTPS sertifikası olmayabilir, bu da güvensiz ve kötü niyetli bir sitenin işareti olabilir.
- Bağlantılar: Bunlar, yazım hataları gibi birçok belirti içerebilir. Ayrıca bağlantılar sizi belirtildiği gibi aynı konuma götürmek zorunda değildir. Bu nedenle tıklamadan önce bağlantının üzerine gelin ve aşağıdaki resimde görüldüğü gibi tarayıcı pencerenizin sol alt tarafındaki araç ipucunda amaçlanan konumu kontrol edin.
- Şüpheli sorular: Hiçbir şirket iş görüşmesi sırasında banka hesap numaranızı, sosyal güvenlik numaranızı, kimliğinizi veya benzer bilgileri istemez. Halihazırda bir çalışan değilseniz (ve doğrulanmış İK temsilcileriyle görüşmediyseniz), bu tür bilgileri istemeleri mümkün değildir.
- Yazım hataları: Sahte web sitelerinde çok sayıda yazım veya dil bilgisi hatası, üslup sorunları veya ilk başta fark edilmeyebilecek kasıtlı karakter değişiklikleri olabilir (örneğin “Oracle” yerine “0racle” kullanılması).
- Doğrulama: Mümkün olduğunda, who.is veya ScamAdviser.com gibi bir sitede alan adını hızlı bir şekilde kontrol edin, bu size sitenin kaydı, yaşı ve daha fazlası hakkında yararlı bilgiler verecek ve sahtekârlıkları tespit etmenizi kolaylaştıracaktır.
Bazı temel kılavuz bilgiler
İş dolandırıcılığına karşı korunmak birçok açıdan değerlendirilmelidir.
İlk olarak, kimlik dolandırıcılığının kurbanı olmamak için sosyal medyadaki gizlilik ayarlarınızı kısıtlayın ve herkese açık görünürlüğü olan herhangi bir hesap da dahil olmak üzere kişisel olarak tanımlanabilir bilgileri asla isteyerek çevrimiçi olarak sunmayın. Daha önce de belirtildiği gibi bunu yapmak OSINT araçları ve web kazıyıcıları kullanarak hakkınızda bir profil oluşturmayı çok daha kolay hale getirecektir.
Örneğin LinkedIn’de, profilinizin herkese açık mı yoksa özel mi (yalnızca diğer LI kullanıcıları tarafından görülebilir) olmasını istediğinizi ve ayrıca tam soyadınızı ve diğer bilgilerinizi kimlerin görebileceğini ayarlayabilirsiniz. Bu konuda daha fazla bilgiyi André Lameiras’ın makalesinde bulabilirsiniz.
İkinci olarak, potansiyel işvereninizi doğrulamadan asla bilgilerinizi vermeyin. Sahte bir iş ilanının kurbanı olmak oldukça kolaydır ancak ilanın detaylarındaki pürüzler bir ipucu olabilir.
Üçüncü olarak, doğrulanmamış veya güvenilmez görünen hesaplardan gelen rastgele e-postalara veya sahte iş teklifi içeren mesajlara karşı dikkatli olun.
Ve bir teklif çok cazip görünüyorsa (örneğin, hiç deneyim gerektirmezken ortalamanın üzerinde bir ücret veriyorsa), muhtemelen bir aldatmacadır. Herhangi birinin sahte bir iş ilanıyla karşılaşma olasılığı yüksektir, bu nedenle dikkatli olun ve mümkün olduğunca güvende kalmaya çalışın.