[Перевод] Кто-то притворяется мной

hwdpodcjkydlhvordk5chq7_9qw.png

Четырнадцатого сентября этого года я получил письмо, которое явно попахивало мошенничеством, но оказалось чистой правдой. Привожу ниже полный текст письма.

Привет, Коннор!

Несколько дней назад человек по имени Марис [фамилию вырезаю] нашел меня на GitHub, связался со мной и предложил роль программиста-сениора в его команде, с упором на общение с клиентами. Мне это показалось немного странным — я еще только начал учебу в колледже, и даже должность программиста-стажера мне так просто не дают. Но я принял предложение, я ведь знаю свои способности.

И вот что он, как выяснилось, делает: находит вакансии с работой по контракту, притворяется кем-нибудь из настоящих разработчиков с опытом, соответствующим требованиям в вакансии, и хочет, чтобы я проходил собеседования от лица этого разработчика. В данном случае он нашел вакансию разработчика, владеющего Laravel/React, поискал кандидатуры и решил стать тобой. Он еще и создал фальшивую почту, похожую на твою (найдешь в прикрепленном файле), для общения с клиентами.

Сомневаюсь, что такое происходит регулярно, потому что он притворяется разными разработчиками, смотря кто лучше подходит под вакансию. Но, возможно, тебе стоит ввести [вырезаю фамилию клиента] в курс дела.

Удачи,
Эндрю.


Я уже собирался выкинуть письмо в корзину, но к нему был прикреплен вордовский файл. К счастью, я работаю не на Windows и могу просто открывать документы в режиме предварительного просмотра на Google, не рискуя поймать вирус.

Я открыл документ, и мне стало не по себе. Он был составлен как шпаргалка для человека, который собирался разыгрывать меня на собеседовании, и включал в себя:

  • Некоторые сведения обо мне личного характера
  • Хронику моего образования
  • Хронику моего трудоустройства
  • Список моих сертификатов
  • Фальшивое сопроводительное письмо
  • Фальшивые домашний адрес и адрес электронной почты, похожие на мои настоящие
  • Информацию о компании, которая проводит собеседование


Чем больше я вчитывался, тем более жуткое впечатление оставлял документ. Кто-то не пожалел труда, чтобы собрать массу правдивой информации обо мне из доступных источников и создать фальшивый профиль. Этот человек создал адрес электронной почты, который полностью повторял мой, только с лишней цифрой 2 в конце, а в качестве домашнего указал дом в Тампе, выставленный на продажу.

Что ж, я ответил на присланное письмо и попросил рассказать подробнее. Наш разговор протекал примерно в таком духе.

Я: Странная ситуация — тебе написали и предложили изобразить другого человека, в данном конкретном случае — меня, чтобы получить работу?
Он: Ну да, а ко мне они обратились потому, что не очень хорошо говорят по-английски. На собеседовании с клиентом в аудиоформате они точно бы погорели.

Теперь у меня была вся информация, чтобы наведаться на собеседование, которое собирался посетить лже-Коннор Тамблсон. Так я и поступил.

dy_jcf4lsttky-grs8azd_njkdm.png

Я вошел в конференцию Zoom пораньше — к счастью, клиент сразу же меня впустил. В двух словах я изложил, что я — настоящий Коннор и в вакансии не заинтересован. Попытался объяснить, что человек, которого наняли мной прикидываться, оказался совестливым и рассказал обо всём происходящем мне. Я как раз спрашивал, какой информацией обо мне-фальшивке располагает работодатель, когда дело приняло еще более странный оборот.

К звонку присоединился еще один Коннор Тамблсон и повис на входе в конференцию.

Представитель компании повел себя выше всех похвал: позволил мне сменить имя и фото в профиле, отключить видео и остаться в эфире. Новоприбывшему разрешили присоединиться — тот говорил с акцентом, который я не смог опознать. Сотрудник приступил к собеседованию и попросил кандидата рассказать немного о себе.

Следующие две минуты самозванец зачитывал сведения из того самого документа, который тайно передали мне, причем слово в слово. Она назвался Коннором Тамблсоном. Это был не тот человек, который изначально мне написал, они наняли кого-то другого. Предполагаю, что после того, как первая кандидатура отказалась, предложение просто направили дальше.

Я не мог больше молча слушать, как кто-то на полном серьезе заявляет, что он — это я, присваивает моё фото, имя и достижения, которые дались мне тяжким трудом. Поэтому я включил камеру, сменил имя и спросил этого человека, какого черта он творит.

Лже-Коннор Тамблсон немедленно покинул конференцию.

Я поговорил с представителем компании еще несколько минут, поблагодарил его за то, что поддержал мой план. В разговоре выяснилось, что на этого кандидата компания вышла через Upwork. Я попросил всё, что можно использовать как подтверждение, и продолжил свое расследование.

vfy6mpjig1mupyi7s3rdkpawv5i.pngqaprtme4qysy0lsc6_t1xapadpk.pngejyg-jf53p2u0cy2xza045jkfeo.png

Компания, в которую пытался устроиться самозванец, отправила мне скрины, которые вы видите выше, и кроме того, отправила жалобу на аккаунт администрации Upwork.

Благодаря этому открытию я обнаружил собственный фальшивый профиль на Upwork. От него мне тоже стало не по себе: там указывался ряд мест, где я действительно работал, а вместе с ними — несколько вымышленных. Что-то вроде настоящего резюме, но с апгрейдом по некоторым характеристикам. Там указывался сертификат по Laravel, который у меня есть и реальности, так что, полагаю, кто-то просто выгрузил мои данные с LinkedIn.

У меня начала складываться картина всего происходящего:

  • Человек или компания создает фальшивые профили на Upwork с данными реальных людей
  • Они рассылают резюме с этих фальшивых аккаунтов в надежде получить приглашение на собеседование
  • Они находят на GitHub жертв, которые согласятся подыграть
  • Жертвы принимают личность другого человека, чтобы получить работу


Не уверен, как всё складывается дальше, если эта часть плана сработает. Насколько вообще реально уклоняться от видеозвонков на всём протяжении рабочего контракта? Как получать оплату, если не можешь подать документы для налоговой? Сколько они собираются мной притворяться, всю жизнь?

Пришло время глубже погрузиться в расследование. Кто или что стоит за этим профилем? Но прежде чем приступить, я не удержался от детского желания написать человеку, который изображал меня.

jbvzvfs__qoamh5nwalmf_chlbk.png
Я: Зачем ты это сделал?
Он: Извини. У тебя история на Github классная, вот я и использовал в профиле. И внешне ты очень даже:)


Ответ пришел такой, что не знаешь, как реагировать — извинения за кражу личности, дурдом, да и только. Можно было просто создать профиль вымышленного лица с фотографией, созданной алгоритмами ИИ, но брать мои фото и личные данные — тут одним «извини» не отделаешься.

Следующая часть этой статьи отчасти обязана своим появлением человеку, который сообщил мне подробности, и вся история в ней приобретает еще более дикий вид. Я получил от Эндрю письменное разрешение не скрывать его имя и фотографию. Он ведет блог на unfooling.com и, возможно, тоже что-то писал об этом инциденте.

Поставим себя на место Эндрю. Вам пишет человек с фальшивым именем, профилем и адресом электронной почты. Он ищет партнера по бизнесу в очень обтекаемых выражениях — расчет на то, что после короткой беседы вы согласитесь.

Надеюсь, дела у вас идут хорошо.

Мне сейчас попался на глаза ваш профиль на GitHub. Складывается впечатление, что у вас богатый опыт в разработке. Поэтому я решил связаться с вами и уточнить, интересует ли вас подработка на неполный день.

В данный момент я ищу разработчика-сениора, чтобы совместно вести бизнес. Было бы замечательно, если бы вы согласились на сотрудничество.

Немного обо мне: я руковожу удаленной командой разработчиков, мы работаем преимущественно с клиентами из Северной Америки. Мы оказываем услуги по разработке мобильных и веб-приложений. Для большей части команды английский — не родной язык и мы часто сталкиваемся с проблемами в коммуникации.

Поэтому нам нужен носитель языка с опытом разработки, который помогал бы нам общаться с клиентами. Ставка — от 60 $ до 80 $ в час, в зависимости от опыта.

Основной вашей обязанностью будет проведение собеседований от лица нашей команды и общение с клиентами.

Пожалуйста, сообщите мне, если заинтересованы в дальнейшем обсуждении.

Эндрю был заинтересован, и после того, как он отписался, что раздумывает над предложением, ему переслали документ.

qyju3q_c9e2yqrugikgmzhll6e8.png

Выделенный фрагмент: Вам нужно будет проводить встречи с клиентами от лица наших разработчиков (от их имени и по их специальности) и участвовать в аудиозвонках.

Между строк этого документа просвечивают весьма странные махинации, при этом на нем отсутствует официальная информация о компании, адрес или логотип. Если сопоставить это с тем фактом, что переписка ведется с невнятного электронного адреса, а телефон принадлежит посольству США в Панаме — что-то здесь не так.

Соответственно, у Эндрю, как и у большинства кандидатов, возникают закономерные вопросы, не позволяющие немедленно ухватиться за возможность.

ajoin9jonkfgisek8b3t_xyzs5y.png

Эндрю:

Привет, Марис.
Мое расписание и навыки соответствуют вашим требованиям, однако, прежде чем продолжать, я хотел бы задать несколько вопросов:
1) Под «самый распространенный способ — отклик на разные вакансии» вы подразумеваете, что ищете работу по контракту или в рамках одного проекта и представляете свою команду? Затем клиент уточняет свою задумку (возможно, через меня) и дальше по ситуации?
2) На каких страницах/ресурсах вы ищете вакансии?
3) Большая ли у вас команда?
4) Над какими проектами работала ваша команда? Есть у компании сайт, на который можно взглянуть?
5) Не могли бы вы отправить ссылки на выполненные вашей командой проекты клиентов в открытом доступе?


Марис:

Спасибо за ответ.
1) Да.
2) Upwork, Braintrust, LinkedIn и т.д.\
3) Пять разработчиков из Восточной Европы, Вьетнама и Южной Африки.
4) На данный момент около двадцати проектов — pnddesign.com
5) Посмотрите эти сайты: [вырезано]


Я вырезаю адреса сайтов, которые приводятся в письме, по единственной причине — я не могу установить, действительно ли эта компания их создала, и не хочу по ошибке втянуть в это дело посторонних.

Треть компаний ответила на мой запрос и сообщила, что PND не создавала для них никаких сайтов, более того, они вообще никогда о ней не слышали. Так что, думаю, всё это бесконечный лабиринт лжи.

Из этого письма, однако, мы получаем информацию о вебсайте собственно мошеннической компании — PND Design. Давайте поглядим. Смотрится так себе.

yulwl2mmabwekrdcrtmb3y3eony.png

Теперь идем на Archive Machine и отматываем историю, пока не увидим каких-нибудь изменений.

0vdjtp5fa5zpspleiijlgaunz50.png

Таким образом выходим на более старую компанию, PND Developing, и вот о ней уже имеются кое-какие сведения в Сети. Судя по тому, что на вебсайте, как и в профиле на LinkedIn, упоминается Мэдисон, штат Висконсин, страницу мы нашли верную.

ibvyufr85j3soxlcmn_pulhpteo.png

Обобщим: у нас есть бизнес в Висконсине, телефонный номер в Панаме и невнятный адрес электронной почты. При всём при этом нам удалось связать компанию с профилем, и это позволило нашему расследованию неплохо продвинуться.

Теперь мы можем отыскать на LinkedIn Пламена Димитрова, который судя по всему имеет связь с PND Design, и имя у него, если посмотреть на инициалы, весьма созвучно аббревиатуре PND. Возможно, здесь сплошное нагромождение вранья, и этому тоже нельзя верить. Но в канале Slack тоже стоят инициалы PND, так что имеет смысл навести справки. У этого человека есть личный сайт, и это побуждает меня отметить странные сходства между двумя страницами.

У этого человека прослеживается связь с личным и сайтом компании, где используются сервисы других двух сайтов, со схожей функциональностью и поломанным дизайном. Похоже, новые защитные механизмы для веб-браузеров, которые выходили в последние несколько лет, на этих сайтах не пропатчены.

Теперь мы имеем ряд сайтов, связанных с инцидентом, и инстинкт мне довольно уверенно подсказывает, что за создание, хостинг и управление ими всеми отвечают одни и те же люди:

  • pnddesign (d0t) com
  • visibledev (d0t) net
  • itechfixes (d0t) com
  • seocrunches (d0t) com


При помощи обратного просмотра можно найти пару сотен доменов с соответствующим IP, а затем еще сопоставить список с нужными ID в Google Analytics и получить на выходе почти пятьдесят доменов. Я кликнул на один, и он даже открылся — неожиданно, учитывая, что у четырех сайтов, перечисленных выше, дела обстоят неважно.

jaka3bax86bw3vlr1rentig6sf0.png

Кажется, я обнаружил паттерн: установка WordPress с произвольным набором плагинов. Откуда такое предубеждение против правой кнопки мыши, мне непонятно. Теперь мы можем продолжить поиски сайтов, созданных этой компанией:

  • pdrecipes (d0t) com
  • pndstore (d0t) com
  • acupunctureherbalmd (d0t) com
  • francelavindesign (d0t) com
  • maacupuncture (d0t) com
  • onsitepromassage (d0t) com
  • recipeswise (d0t) com
  • studiozmadison (d0t) com
  • thesmoothierecipes (d0t) com
  • tryveganrecipes (d0t) com
  • acupressureschool (d0t) com
  • acupunctureschoolusa (d0t) com
  • freshmartmadison (d0t) com


…и еще сорок четыре штуки.

Но вернёмся к моей ситуации и Эндрю, который ввязался в это всё и по-прежнему не уверен, стоит ли принимать предложение о работе. Он задает еще один вопрос.

Последний вопрос: По какой причине мне нужно притворяться одним из ваших сотрудников?
Ответ Мариса: Привет, Эндрю. Мы еще не зрелая компания. Поэтому пока что мы набираем предложения с разных сайтов с вакансиями от лица разработчиков. Нам удалось пробиться на несколько платформ. Поэтому нужно общаться с клиентом от лица разработчиков. Надеюсь, я ответил на вопрос.

Ответ-пустышка на разумный вопрос. Я не вижу здесь ни одной причины, по которой необходимо изображать постороннего разработчика, чтобы выполнять работу. Существует масса компаний, у которых менеджер проектов находится в США и выступает в качестве посредника. Это вполне приемлемая бизнес-модель.

Предполагаю, что всё сводится к разнице между наймом человека и наймом компании. Возможно, на Upwork проще подписать рабочий контракт, если ты якобы независимый разработчик, чем если на него претендует целая компания.

Итак, Эндрю решает двигаться дальше, получает приглашение в канал Slack, и, как можно видеть, градус странностей в этой истории сразу повышается.

92zaxi9j02hh1b6-mpo6jbdvdu0.png
PND: Я организую собеседования с клиентами.
Эндрю: А, прости. Звучит отлично. Ну ладно, хорошо всё обсудили. Как по-твоему, насколько часто я в среднем буду участвовать в собеседованиях?
PND: Первую пару недель — штук пять в неделю, мне нужно будет оценить твою работу и дать обратную связь. После этого буду давать столько, сколько захочешь взять.
Эндрю: Хорошо, спасибо.
PND: Я обычно передаю вот такой документ. Для примера: здесь нужно зайти как Марису [фамилия вырезана] и общаться с [имя вырезано].


Мы наблюдаем, как PND рассказывает и на примере показывает Эндрю, что ему, вероятно, предстоит делать. На тот момент, когда материалы попали в мои руки, ссылка была еще активна, и соответствующее собеседование состоялось двадцать восьмого февраля 2022 года.

При этом первым с кандидатом на вакансию связался как раз некий Марис. То есть вообще не пойми что — PND создает почтовые адреса, якобы принадлежащие разработчикам компании, и с них набирает народ в компанию. Я, конечно, задавался вопросом, почему Эндрю с ходу не соскочил ни на одном из этапов, особенно когда стало ясно, что работодатель общался с ним из-под чужого имени.

И что тогда, следует предположить, что вербовка новых сотрудников сейчас идет и от моего имени с поддельного электронного адреса? Я попытался добиться, чтобы этот аккаунт удалили, но быстро осознал безнадежность этого предприятия — Google точно не станет вмешиваться в эту драму и разбираться, кто там самозванец, а кто нет.

bab0knvb_q8iuw9w8ehji2otmta.png


Источник: support.google.com/mail/answer/56256

Кто-то выдает себя за меня
Если вы подозреваете, что какой-то аккаунт был создан с целью присвоения Вашей личности, вы можете:

  • Отправить жалобу в Центр жалоб на интернет-преступления
  • Связаться с местным органом защиты прав потребителя


К сожалению, Google не может принимать участие в переговорах, касающихся присвоения личности, с третьими лицами.

Если посмотреть на даты и время, Эндрю впервые зашел в канал четырнадцатого сентября, около девяти часов утра. Ближе к обеду, предполагаемый глава организации, тот самый PND, начинает расспросы: согласен ли он пройти собеседование в тот же день в роли лже-меня. Это было то самое собеседование, к которому я присоединился вместе с самозванцем.

33yudjb_6rmi25_r3plym2ypv1a.png
xcr-kxiagwz08o76q-cc4fthhzc.png
PND: Эндрю, привет, как думаешь, сможешь ответить на звонок сегодня в пять? Вот документ.
Эндрю: Привет, Марис. Я, кажется, начинаю понимать, в чем дело. Коннор ведь не в вашей команде?
PND: Нет. А какая разница? Я с тобой на сто процентов честно говорю. Я использую его профиль, но он не в команде.
Эндрю: Я сначала не понял, о чем речь. Раз так, эта работа не для меня. Прошу прощения за недопонимание (я думал, вы меня берете разработчиком) и за то, что зря потратил ваше время.
PND: Я всё понимаю. Поэтому и говорил, что видеозвонков не будет. Если согласишься, могу платить 80 $ долларов в час или 50 $ за собеседование.
Эндрю: Нет, я просто не хочу притворяться другими людьми, как-то это неправильно. Еще раз извини, удачи вам с клиентами.
Просто интересно, а зачем вообще притворяться? В конечном счете, это же нарушение закона, особенно в США. Если это твой настоящий профиль, то у тебя и так всё отлично.
В общем, мне другие люди не безразличны, если бы нужно было денег, чтобы семью содержать или типа того, тогда нарушил бы закон. А так моральные принципы требуют сообщить обо всём разработчикам, которых это касается.


Похоже, на этом работа Эндрю на данное предприятие и завершилась. Он-то думал, что его приглашают писать код, а от него требовалось только владение английским языком, чтобы притворяться другими людьми.

Если посмотреть на первое письмо PND, можно заметить откровенную ложь. Там говорилось, что Эндрю будет выступать в роли разработчиков компании. Именно компании — однако я на них не работаю, тем не менее, мой профиль используются.

Лже-Коннор в итоге присоединился к собеседованию, хоть и с опозданием, и это был не Эндрю. Из чего я вывожу, что в промежутке между 1:23 и 5 часами пополудни PND пришлось заняться поисками другого человека, который согласился бы присвоить мою личность, вероятно, из числа тех, кто состоял в канале Slack.

К несчастью для нас, человек, который пришел на собеседование в Zoom, немедленно ретировался, когда его уличили в обмане, так что ничего нового узнать не удалось.

ji1bxe38ywryc7iobxqo4bcbo9m.png

В этом канале Slack отображаются тридцать пять участников, но обнародовать список мне не хочется. Я не знаю, кто из них реальный человек, кто подделка, а кто, возможно, вообще не в курсе, что творится в компании.

С двумя сотрудниками, которых нашел на LinkedIn, я связался, чтобы получить больше ясности. Один из них немедленно ответил, что не знал о происходящем, и покинул группу.

Что я знаю точно, так это то, что предполагаемый лидер PND прилагает массу усилий, чтобы не засветиться — в процессе общения с Эндрю он ни разу не предъявил никаких правдивых сведений об организации или официальных документов.

Всем участникам предоставляется ровно столько информации, сколько нужно, чтобы выполнить соответствующую часть плана. Я говорю на основании того, что человек не знает даже, с какой компанией проводится собеседование — PND сообщает только имя сотрудника, с которым предстоит разговаривать. К счастью, через ссылку на собеседование с лже-Коннором Тамблсоном информация о компании всё же просочилась.

В свете этого становится понятнее природа тех странных собеседований, о которых мне доводилось слышать от коллег, где кандидат вообще не понимает, какова цель встречи и с какой организацией он общается. Начинает складываться картина какой-то масштабной схемы, которая наверняка выходит далеко за пределы того канала в Slack.

odjgdvrytbojh5juvpxarnjzsky.png

Марис, похоже, расположился в Notion, а не в Google Docs, и мне не удалось установить, с каким клиентом проводилось это собеседование. Имеется только не слишком информативное имя. Так что если вы нанимали в феврале этого года некоего Мариса, возможно, стоит присмотреться, кто у вас на самом деле работает.

Я полагаю, что фальшивые почты на Gmail принадлежат PND — вероятно, он организует всё, от аккаунтов на Upwork до взаимодействия поддельного лица с клиентом, а от нанятых со стороны людей требуется только обеспечить голос на собеседовании.

Соответственно, мое короткое расследование приводит к выводу, что как минимум у двоих человек украли личность ради того, чтобы получить работу. На данный момент я предпринял следующее:

  • Списался с человеком, который предоставил мне скриншоты и информацию, попросил разрешение опубликовать их, сохраняя имена.
  • Связался с тремя бизнесами, которые, по словам представителей, создала компания, и запросил информацию.
  • Связался с двумя пользователями из Slack, которые, как я предполагал, могли оказаться в том же положении, после того как нашел их на LinkedIn.
  • Связался с настоящим Марисом, чтобы ввести его в курс дела.
  • Написал лже-Коннору Тамблсону.
  • Пожаловался на поддельный аккаунт, якобы принадлежащий мне, на Upwork.
  • Позвонил предполагаемому владельцу PND Design, оставил сообщение на автоответчике, не дождавшись ответа.


Не знаю, сколько рабочих контрактов было заключено в результате кражи чужой личности. Мне до сих пор жутковато от мысли, что кто-то сейчас использует мое имя, профиль и достижения, чтобы убедить какую-нибудь компанию нанять мою поддельную копию. И по этой самой причине я буду продолжать свои изыскания.

© Habrahabr.ru