[Перевод] Безумное расследование разработчика: кто-то притворяется мной

562c0f28adf7b2278853f15d51eb6d74.png

Некоторые онлайн-сервисы — например, социальные сети — просят сообщать в их службы поддержки о случаях, когда пользователь выдает себя за другого человека. Зачастую на такие жалобы реагируют оперативно, и инциденты удается устранить до наступления серьезных последствий. Однако как быть, если кто-то решает присвоить себе не только часть ваших персональных данных, но и детали вашей биографии, трудовой стаж и карьерные достижения?

С подобной ситуацией столкнулся разработчик Коннор Тамблсон*: его данные были использованы для «фальшивого» трудоустройства неизвестных людей. В попытках раскрыть правду о мошенниках Коннор провел интернет-расследование и выяснил массу увлекательных подробностей. Читайте о них под катом.

*Обращаем ваше внимание, что позиция автора может не всегда совпадать с мнением МойОфис.

14 сентября 2022 года я получил письмо, которое сильно смахивало на мошенническое, но на самом деле оказалось от реального человека. Полный текст привожу ниже.

Привет, Коннор!

Пару дней назад человек, представившийся Марисом [отредактировано], нашел меня на GitHub, связался со мной и предложил должность старшего инженера-программиста, главной задачей которого является взаимодействие с клиентами. Все выглядело довольно странно, ведь я учусь в колледже, а студентам обычно не предлагают стажировку в качестве SWE. Но я принял это предложение, поскольку был уверен в своих способностях.

А вот чем Марис занимался на самом деле: он нашел вакансию, притворился настоящим разработчиком с опытом, соответствующим этой должности, и попросил меня пройти собеседование в качестве этого разработчика. В данном случае он нашел вакансию разработчика Laravel/React по контракту, изучил ее и решил стать вами, Коннор. Более того, он завел фальшивый адрес электронной почты, напоминающий ваш настоящий адрес (см. вложенный документ), для взаимодействия с клиентом.

Я не думаю, что это происходит очень часто, поскольку Марис притворяется разными разработчиками, наиболее подходящими для этой работы. Но, возможно, вам следует сообщить [отредактировано] о том, что происходит, клиенту.

Удачи! Эндрю.

Я уже собирался выбросить письмо в мусорную корзину, но к нему был приложен документ в формате Word. К счастью, мой ПК работает не под Windows, и я могу просто просматривать документы через Google, не опасаясь заразить систему.

Я прочитал вложение — и мне стало не по себе. Этот документ представлял собой шпаргалку для собеседования, подсказывающую, как вести себя в роли меня.

  • В документе была часть моих персональных данных.

  • В нем были сведения о моем образовании.

  • В нем были сведения о моей трудовой деятельности.

  • Он включал информацию о моих сертификатах.

  • И поддельное сопроводительное письмо.

  • В нем был указан фальшивый адрес электронной почты, который очень сильно напоминал мой настоящий адрес.

  • В нем содержалась информация о компании, где проводилось собеседование.

Коннор Тамблсон: подготовка к собеседованию
(Отредактированный файл PDF, переданный фальшивому Коннору Тамблсону, 120 Кб)
ConnorClientCheatsheet.pdf  

Чем дольше я читал документ, тем больше волновался. Кто-то серьезно поработал над тем, чтобы извлечь тонны правдивой информации из доступных источников и создать мой фальшивый профиль.

  • Кто-то создал почтовый ящик, просто добавив »2» в конец моего настоящего адреса электронной почты.

  • Кто-то нашел и указал адрес моего дома, выставленного на продажу в Тампе.

Поэтому я написал парню, приславшему мне письмо, чтобы получить больше информации. Переписка выглядела следующим образом:

Я. Все это кажется странным: к вам обращается некий человек и просит выступить в роли фальшивой личности, которой случайно оказался я, для получения работы?

Они. Да. И ко мне этот человек обратился потому, что настоящий разработчик плохо говорит по-английски и в ходе собеседования с клиентом по голосовой связи, безусловно, был бы выведен на чистую воду.

Итак, теперь у меня была вся нужная информация, чтобы пройти собеседование, назначенное фальшивому Коннору Тамблсону. Что я и сделал.

Собеседование по ZoomСобеседование по Zoom

Я присоединился к конференции Zoom раньше оговоренного времени, но клиент, к счастью, сразу же ответил мне. Я быстро объяснил, что, хоть я и настоящий Коннор, я не претендую на эту должность.

Я рассказал о том, что человек, которому предложили выступить в роли меня, оказался очень порядочным и переслал переписку мне. Я как раз просил работодателя предоставить сведения о фальшивом Конноре, когда события приобрели неожиданный поворот.

К разговору присоединился еще один Коннор Тамблсон, задержавшийся в переговорной Zoom. Представитель компании был великолепен: он позволил мне изменить имя, отключить видео, настроить аватар и оставаться на связи.

После этого он разрешил присоединиться к конференции человеку, говорившему со странным акцентом, который я не смог определить. Интервьюер начал разговор с лже-кандидатом, попросив его рассказать немного о себе.

В течение следующих двух минут самозванец зачитывал тот самый документ, который был прислан мне накануне, повторяя все изложенное в нем слово в слово, и утверждал, что его зовут Коннор Тамблсон. Выступить в роли меня наняли не Эндрю. Я думаю, что он отказался, и вместо него взяли кого-то другого.

Я больше не мог слышать, как самозванец выдает себя за меня, используя мою фотографию, мое имя и мои достижения, которых я достиг с таким трудом. Поэтому я включил камеру, вновь переименовал себя и спросил у поддельного Коннора Тамблсона, какого черта он делает.

Тот немедленно покинул Zoom.

Я еще пару минут поговорил с интервьюером, поблагодарив его за помощь. Затем я узнал, что кандидат был найден через Upwork — я попросил интервьюера прислать все доказательства и продолжил расследование.

9068d880c38097c191b1ab100d27691a.pngb7c63e05157368ba1c32d40fc6c0bdaf.pngcd66c916eb085cce18a99c85e7353be1.png

Компания, в которую обратился поддельный Коннор Тамблсон, связалась со мной и предоставила все фото, показанные выше, а также сведения об учетной записи самозванца в Upwork.

Благодаря этому я нашел свой фальшивый профиль в Upwork. Прочитав его, я похолодел: в нем были указаны проекты, над которыми я действительно работал, и ряд других, выдуманных. Все выглядело как мое настоящее резюме, но были усилены отдельные характеристики. В профиле была указана моя настоящая сертификация Laravel — полагаю, кто-то просто экспортировал мои данные из LinkedIn.

Похоже, паззл начал складываться.

  • Человек/компания создает поддельные профили реальных людей на Upwork.

  • С помощью этих фальшивых профилей мошенник подает резюме в ответ на вакансию, надеясь получить приглашение на собеседование.

  • Он находит через GitHub потенциальных жертв, готовых принять его предложение.

  • Эти люди проходят собеседование, выдавая себя за другого человека, и занимают вакансию.

Но я не уверен, что такой подход, в случае его успеха, сработает. Вы действительно сможете отказаться от общения по видео во время работы по контракту? Как вы получите зарплату, ведь необходимо будет предоставить налоговые документы? Вы будете вечно притворяться мной?

Поэтому я решил выяснить все до конца. Какой человек (организация) стоял за этим профилем?

Однако прежде чем двинуться дальше, у меня возникло детское желание написать человеку, выдававшему себя за меня.

Письмо от меня фальшивому КонноруПисьмо от меня фальшивому Коннору

Я не знал, как реагировать на полученный ответ. Извиняться за кражу моей личности — верх безумия! Ведь можно просто придумать профиль и использовать изображения, сгенерированные искусственным интеллектом. Но брать мою настоящую фотографию, реальную информацию обо мне и сведения из GitHub — тут одного извинения мало.

Вторая часть этой публикации была написана отчасти благодаря человеку, который передал мне новые подробности, и теперь все выглядит, как полный бред. Я получил письменное разрешение от Эндрю (физического лица) опубликовать его настоящее имя и фотографию. Он ведет блог на сайте unfooling.com и, возможно, тоже напишет об этом случае.

Представьте, что вы оказались на месте Эндрю. К вам обращается человек, использующий поддельный профиль, имя и электронную почту. Он ищет бизнес-партнера в очень общей области и после небольшой светской беседы пытается привлечь вас к сотрудничеству.

Надеюсь, у вас все хорошо.

Я только что нашел ваш профиль на GitHub. Похоже, у вас большой опыт разработки программного обеспечения. Так что я решил связаться с вами и узнать, не сможете ли вы сотрудничать с нами на условиях неполной занятости.

В настоящее время я ищу старшего инженера-программиста, который мог бы стать моим бизнес-партнером. Было бы здорово поработать вместе!

Немного обо мне… У меня удаленная команда разработчиков, наши клиенты в основном из Северной Америки.

Мы предоставляем услуги по разработке веб-приложений и мобильных приложений. Большинство членов нашей команды не говорят по-английски, и мы постоянно сталкиваемся с проблемами общения.

Поэтому нам нужен носитель английского языка с опытом разработки программного обеспечения, чтобы помогать в общении с клиентами. Оплата составляет от 60 до 80 долларов США в час в зависимости от вашей квалификации.

Ваша главная обязанность — проведение собеседований от нашего имени и общение с потенциальными клиентами.

Пожалуйста, напишите мне, если вы заинтересованы в дальнейшем обсуждении.

Если человек проявляет интерес, то после согласования вопросов, связанных с приемом на работу, ему отправляется следующий документ.

bb55c2378ed7641a0b2ff88610be5b3b.png

Ищу бизнес-партнера
(Документ, отправляемый кандидатам, 39 Кб)
Looking for a business partner.pdf

В этом документе завуалированно описываются какие-то странные действия, отсутствуют официальные сведения о сфере деятельности компании, электронная почта и логотип. Учитывая, что указан стандартный адрес почты Google и номер телефона посольства в Панаме, документ выглядит весьма подозрительно.

Поэтому у Эндрю, как и у большинства потенциальных кандидатов, возникли вопросы.

Потенциальный «фальшивый» Коннор разговаривает с предполагаемым руководителемПотенциальный «фальшивый» Коннор разговаривает с предполагаемым руководителем

Я редактирую список предоставленных сайтов по той единственной причине, что не могу подтвердить, действительно ли они были разработаны этой компанией, и не хочу ошибиться.

9a6e7b74ff075413c6019af6e86b52fb.png

Треть опрошенных компаний ответили, что PND не разрабатывала их сайт, и что они никогда не слышали о PND. Поэтому я считаю все это ложью.

Что мы узнаем из этого письма, так это веб-сайт компании — PND Design. Итак, мы зашли на веб-сайт PND Design, и он выглядит очень жалко.

16ca8e18ba614528e85b484479c6a250.png

Поэтому я буду возвращаться в историю на Archive Machine, пока не найду изменений в дизайне сайта.

Декабрь 2020 года pnddesign (d0t) comДекабрь 2020 года pnddesign (d0t) com

Это дало мне старое название компании — «PND Developing» — и я, наконец, смог найти кое-что в Интернете. Похоже, поскольку и на сайте, и на странице LinkedIn указано «Madison, Wisconsin» (Мэдисон, Висконсин), а домен совпадает — мы нашли нужную страницу.

https://www.linkedin.com/company/pnd-developing/about/https://www.linkedin.com/company/pnd-developing/about/

Итак, напомним, мы имеем: место ведения бизнеса (Висконсин), телефонный номер в Панаме и стандартный почтовый адрес Gmail. Однако у нас есть профиль, связанный с этой компанией, что приводит к довольно интересному открытию.

Мы находим Пламена Димитрова (Plamen Dimitrov), который, как оказалось, связан с PND Design на LinkedIn, а в сокращенном виде его имя и фамилия выглядят как PND. Но, возможно, это тоже фикция — ничему нельзя доверять. Однако, поскольку в канале Slack использовались инициалы PND, продолжаем расследование. У этого человека есть собственный сайт, и это наводит меня на мысль поискать связь между сайтами.

Этот человек связан с личным сайтом и сайтом компании, которая пользуется услугами двух других сайтов, выполняющих аналогичные функции и имеющих такой же убогий дизайн. Похоже, что эти сайты не коснулись усовершенствования безопасности веб-браузеров за последние несколько лет.

Итак, у нас есть цепочка сайтов, связанных между собой. И я могу с уверенностью сказать, что они созданы/размещены/контролируются кем-то одним.

  • pnddesign (d0t) com

  • visibledev (d0t) net

  • itechfixes (d0t) com

  • seocrunches (d0t) com

Вы можете реверсировать эти сайты и найти пару сотен доменов по данному IP, затем перепроверить список по совпадающим идентификаторам Google Analytics и найти почти 50 доменов.

Я щелкнул по одному из доменов, и он действительно загрузился. Это стало сюрпризом после того, как четыре вышеупомянутых сайта практически не функционировали.

Снова запрет на нажатие правой клавишиСнова запрет на нажатие правой клавиши

Похоже, я нашел шаблон установки WordPress со странным набором плагинов. Я не совсем понимаю, что за навязчивая идея не щелкать правой кнопкой мыши. Так что теперь мы можем продолжить поиск других сайтов, созданных этой компанией.

  • pdrecipes (d0t) com

  • pndstore (d0t) com

  • acupunctureherbalmd (d0t) com

  • francelavindesign (d0t) com

  • maacupuncture (d0t) com

  • onsitepromassage (d0t) com

  • recipeswise (d0t) com

  • studiozmadison (d0t) com

  • thesmoothierecipes (d0t) com

  • tryveganrecipes (d0t) com

  • acupressureschool (d0t) com

  • acupunctureschoolusa (d0t) com

  • freshmartmadison (d0t) com

(еще 44…)

Вернемся к моей ситуации и посмотрим на Эндрю, остановившегося на полпути и все еще сомневающегося в работодателе. Он продолжает задавать вопросы.

И последний вопрос: «Какой смысл мне притворяться одним из ваших разработчиков»?

Приходит ответ от Мариса:

Привет, Эндрю! Мы еще не доросли до того, чтобы называться компанией. Поэтому мы все еще ищем работу на сайтах объявлений для частных лиц. Нам удалось зарегистрироваться на нескольких платформах. Вот почему вы должны разговаривать с клиентом под вымышленным именем. Надеюсь, теперь вам все понятно.

Эндрю задал правильный вопрос, но он остался без ответа. Нигде в этом ответе я не вижу причины, почему я должен притворяться другим разработчиком, чтобы делать свою работу. Есть много компаний, в штате которых имеются менеджеры проектов, просто осуществляющие взаимодействие с удаленной командой разработчиков, и это стандартная бизнес-модель.

Я думаю, что в этом и есть отличие между наймом человека и наймом компании. Возможно, контрактную работу на Upwork легче получить одному человеку, маскирующемуся под юридическое лицо, чем целой компании.

Итак, Эндрю решает действовать дальше и получает приглашение на канал Slack, и, как мы сразу видим, градус безумия этой истории нарастает.

24c3ec4b517eb187867dc7fdfe201ba1.png

Мы видим, что PND рассказывает об обязанностях Эндрю и показывает пример того, что тому, возможно, придется делать. Ссылка была активна на момент проведения моего расследования, и это собеседование состоялось 28 февраля 2022 года.

Инициатором обращения к этому человеку был Марис. Итак, это настоящее безумие: PND рассылает электронные письма, выдавая себя за разработчика, а затем использует их для привлечения новых людей в свою компанию. Чему я действительно удивляюсь, так это почему Эндрю не забил тревогу сразу. Ведь подозрительных моментов было много, особенно когда человек, нанимающий тебя на работу, начинает предлагать тебе фальшивое имя.

То есть я должен поверить, что компания использует мое имя и фальшивую электронную почту, чтобы привлечь больше людей? Я попытался удалить этот почтовый ящик, но потом понял всю тщетность усилий — Google ни за что не станет ввязываться в конфликт и разбираться в том, кто самозванец, а кто нет.

Итак, давайте посмотрим на метки времени. Эндрю присоединился к каналу Slack примерно в 9 утра 14 сентября 2022 года. Около обеда предполагаемый руководитель, известный как PND, спрашивает Эндрю, готов ли он в тот же день пройти собеседование в качестве фальшивого меня. Речь идет о том самом собеседовании, в котором я реально участвовал вместе с самозванцем.

cbb93e77afe0d751df303dc08827d76f.png4c7c99dfca9673452e11a9a8401c7071.png

Похоже, что работа для Эндрю на этом закончилась. Он думал, что его приглашают в качестве разработчика —, но на самом деле он должен был выступать просто в качестве носителя английского языка, надевая на себя маску другого человека.

Это откровенная ложь по сравнению с тем, что было изложено в первом письме от PND. В нем говорилось, что «вы будет действовать от лица наших разработчиков». Здесь ключевое слово «наш» — я не являюсь разработчиком этой компании, но мой профиль использовался.

К собеседованию, хоть и с опозданием, присоединился фальшивый Коннор, который не был тем человеком, который показан на фотографии выше. Так что я предполагаю, что между 13:23 и 17:00 PND приступил к поиску нового человека, который согласился бы сыграть мою роль и которым, вероятно, был кто-то из канала Slack.

К несчастью для нас, пользователь, присоединившийся к конференции Zoom и выдававший себя за меня, сразу же покинул чат, как только его уличили во лжи, и ничего нового от него узнать не удалось.

Участники канала SlackУчастники канала Slack

Таким образом, в этом канале Slack мы видим 35 участников, но мне неудобно публиковать их список. Я понятия не имею, кто здесь настоящий, а кто фальшивый. Возможно, кто-то из них действительно работает в этой компании, не зная, что творится на самом деле.

Поэтому я отправил письма двум членам команды после того, как нашел их на LinkedIn, чтобы они помогли в дальнейшем расследовании. Один сразу же ответил, что ничего не знал о происходящем, и покинул группу.

Я знаю, что предполагаемый руководитель PND действует чрезвычайно осторожно, чтобы не выдать себя; он ни разу не использовал подлинные сведения или документы в разговоре с Эндрю.

Всем участникам предоставляется только та информация, которая необходима для выполнения ими действий в рамках этой схемы. Я говорю это потому, что вы даже не знаете, в какой компании проходите собеседование — PND дает вам только имя интервьюера. К счастью, по ссылке Zoom на собеседование с фальшивым Коннором Тамблсоном удалось получить информацию о причастной к этому компании.

Это помогает найти общее между теми странными собеседованиями, о которых мне рассказывали коллеги, когда кандидат не имеет представления о цели встречи или о компании. Я начинаю собирать фрагменты большого паззла, которые, вероятно, разбросаны в гораздо большем количестве мест, не только в Slack.

4787ed596b2935407633d9e55ec1e20e.png

Оказывается, Марис использовал не Google Docs, а Notion, и я не могу найти клиента, связанного с этим собеседованием. Я располагаю лишь именем интервьюера и могу отталкиваться только от этого. Так что если вас пригласил на работу Марис в феврале 2022 года — перепроверьте, кто он на самом деле.

Я думаю, что поскольку PND владеет поддельными адресами Gmail, они могут использоваться для взаимодействия между Upwork, самозванцами и клиентами, а нанятый человек просто присутствует на встречах в качестве «голоса».

Таким образом, в ходе моего небольшого расследования удалось установить, по меньшей мере, двух человек, которые хотели получить эту работу. На данный момент я сделал следующее:

  • Отправил письмо человеку, предоставившему эти фото/результаты расследования, с просьбой разрешить опубликовать их с указанием его имени.

  • Отправил электронные письма всем трем компаниям, для которых, как утверждала PND, она разработала сайты, запросив больше информации.

  • Отправил письмо двум пользователям из Slack, найденным мною на LinkedIn, которые, как я полагал, могли оказаться в схожей ситуации.

  • Отправил электронное письмо настоящему Марису, чтобы рассказать ему об этой ситуации.

  • Отправил письмо фальшивому Коннору Тамблсону.

  • Проинформировал Upwork о том, что мой профиль был подделан.

  • Позвонил предполагаемому владельцу PND Design и оставил голосовое сообщение, но никто не взял трубку.

Кто знает, сколько рабочих мест было получено от человека, выдававшего себя за другого. До сих пор страшно подумать о том, что кто-то использует мое имя, мой профиль и мои достижения, чтобы убеждать компании нанять фальшивого меня. По этой единственной причине я не откажусь от дальнейшего расследования.

© Habrahabr.ru