Hướng Dẫn Phòng Tránh Lừa Đảo cho Dân Du Mục Kỹ Thuật Số Khi Tìm Việc Từ Xa: Chưa Phỏng Vấn, Có Thể Ví Tiền Đã Cạn

Tác giả: TT3LABS, Nền tảng tuyển dụng từ xa

Tìm việc từ xa cho phép bạn tìm kiếm công việc xuyên thành phố, xuyên quốc gia, có cơ hội tiếp cận toàn cầu. Nhưng việc không gặp mặt trực tiếp với nhà tuyển dụng, đồng nghiệp, thường xuyên nhận lương bằng stablecoin, và quá trình tuyển dụng diễn ra chủ yếu qua tin nhắn riêng TG và email khiến việc xác định tính xác thực của vị trí tuyển dụng khó khăn hơn so với phỏng vấn trực tiếp, và số lượng kẻ lừa đảo giả danh tuyển dụng cũng nhiều hơn.

Hướng dẫn này tổng hợp các thủ đoạn lừa đảo mà các thành viên cộng đồng TT3Labs thực tế gặp phải và phản hồi, phân loại theo mục đích "Kẻ lừa đảo muốn gì từ bạn" và cũng tổng hợp một số biện pháp tránh bẫy. Chúng tôi cũng hoan nghênh mọi người chia sẻ nhiều hơn trải nghiệm tìm việc từ xa của mình trong cộng đồng. Mỗi câu chuyện thực tế được chia sẻ có thể giúp người sau tránh được một cái bẫy.

Trường hợp thực tế

Đầu tiên, hãy xem một câu chuyện thực tế

Một người bạn trong cộng đồng đã chia sẻ về một chiêu thức lừa đảo hoàn chỉnh mà anh ấy gặp phải:

Trên TG, có người chủ động nhắn tin riêng cho anh ấy, nói có vị trí vận hành cho một dự án, yêu cầu gửi CV, và rất nhanh chóng nhận được phản hồi "Vượt qua vòng sơ tuyển", hẹn phỏng vấn. Trước buổi phỏng vấn, anh ấy đã hỏi tài liệu dự án, đối phương gửi một liên kết GitBook. Bản thân liên kết là chính thống, nhưng hồ sơ dự án này đã không được cập nhật suốt một năm.

Bước vào giai đoạn phỏng vấn, vòng một trên Zoom. Người phỏng vấn là một "người nước ngoài" nói tiếng Trung rất tệ, tự xưng là người Pháp, nhưng người bạn này có nền tảng du học Pháp, nghe giọng nói của đối phương là biết ngay không đúng. Buổi phỏng vấn rất hời hợt, qua loa và được thông qua, sau đó đối phương vội vàng thúc đẩy vòng hai.

Vòng hai hẹn lúc 4 giờ chiều. Đối phương đợi đúng 4 giờ mới gửi liên kết cuộc họp, sử dụng một phần mềm lạ mà anh ấy chưa nghe tên bao giờ. Anh ấy không mở được, đề nghị đổi sang Zoom, Google Meet hoặc Lark. Đối phương lập tức phản pháo: "Đừng lừa tôi, liên kết này ai cũng mở được." Anh ấy kiên quyết từ chối, đối phương lập tức xóa toàn bộ lịch sử trò chuyện trên TG.

Nếu anh ấy nhấp vào liên kết, cài đặt "plugin họp" đó, thì chuyện xảy ra tiếp theo sẽ là: plugin yêu cầu cấp quyền micro, loa ngoài, khiến bạn chạy một đoạn lệnh ở chế độ nền, thực chất là cài phần mềm độc hại, quét ví, mật khẩu và private key trong máy tính của bạn. Buổi phỏng vấn là giả, vị trí công việc là giả, công ty có thể hoàn toàn không tồn tại.

Nhìn lại, buổi phỏng vấn này có ba điểm bất thường

1. Tài liệu dự án một năm không cập nhật. Nói đang tuyển người, nhưng tài liệu không ai động đến.
2. Tự xưng người Pháp, nhưng giọng nói không đúng.
3. Đợi đúng giờ mới gửi liên kết, và đó là một phần mềm chưa nghe tên bao giờ. Thực chất là lợi dụng tâm lý nóng vội của người tìm việc, khiến bạn mất cảnh giác.

Phần một

Kẻ lừa đảo thực sự muốn gì từ bạn

Hiện nay có hàng chục chiêu thức lừa đảo phổ biến, không nhớ hết cũng là chuyện bình thường. Nhưng những gì kẻ lừa đảo muốn chỉ có ba thứ:

1. Thiết bị và ví tiền của bạn
2. Tiền của bạn
3. Thông tin nhận dạng của bạn

Gặp phải người phỏng vấn khiến bạn thấy kỳ lạ hoặc không hiểu, hãy tự hỏi mình: hắn ta thực sự muốn lấy gì từ bạn, câu trả lời thường sẽ xuất hiện.

Nhắm vào quyền kiểm soát thiết bị và ví tiền của bạn là phổ biến nhất

Nhóm này được tố cáo nhiều nhất trong cộng đồng. Điểm chung duy nhất: một bước nào đó yêu cầu bạn cài đặt hoặc chạy thứ gì đó trên máy tính của mình.

• Bắt bạn tải một phần mềm họp chưa nghe tên bao giờ.Công cụ phỏng vấn video phổ biến chỉ là Zoom, Google Meet, Lark. Kẻ lừa đảo gửi cho bạn một công cụ tên lạ, cài vào là phần mềm độc hại đánh cắp ví và phần mềm backdoor, cả Mac và Windows đều có thể bị dính.
• Vào cuộc họp nói "không nghe thấy tiếng", bắt bạn cài plugin, điều chỉnh quyền truy cập chế độ nền.Bước này mới là lúc thực sự ra tay. Plugin chính là phần mềm độc hại, "điều chỉnh lệnh chế độ nền" là cấp quyền cho nó, từ đó giành quyền kiểm soát thiết bị của bạn.
• Biến bài test kỹ thuật thành phần mềm độc hại.Đề bài phỏng vấn cho vị trí phát triển, yêu cầu bạn clone repository, chạy cục bộ. Mã nguồn ẩn chứa thứ gì đó, chuyên lục các plugin ví, mật khẩu lưu trên trình duyệt, SSH key.
• Không bắt bạn tải, chỉ bắt bạn "dán một đoạn lệnh".Thủ đoạn mới hơn. Dùng một trang xác minh giả, hoặc nói "âm thanh bên bạn có chút vấn đề, làm theo hướng dẫn", hướng dẫn bạn sao chép và chạy một đoạn lệnh. Không có hành động tải xuống, khó phát hiện hơn.
• Lấy cớ "giúp bạn thao tác" bắt bạn chia sẻ màn hình.Nhân cơ hội xem bạn nhập mật khẩu, mã xác minh.
• Lấy lý do "xem kinh nghiệm blockchain của bạn", bắt bạn kết nối ví.Một khi bạn kết nối ví thật, ký ủy quyền, tài sản có thể bị chuyển đi ngay lập tức.

Từ lúc bạn chạy mã đến khi tài sản bị chuyển đi, thường chỉ vài giây đến vài phút.

Nhắm vào việc bạn trực tiếp rút tiền

Chiêu thức cũ phổ biến, offline cũng có, từ xa vẫn làm được.

• "Kiểm tra trước khi nhận việc" thực chất là cò đơn.Bắt bạn làm "nhiệm vụ test": ứng tiền, làm đơn, "quyên góp" cho dự án. Mấy lần đầu trả tiền cho bạn nếm mùi ngọt, càng đầu tư nhiều, đến khoản lớn thì không rút được, rồi bảo bạn "thao tác sai", bắt bạn bù tiền.
• Giới thiệu có phí, đảm bảo offer.Có người thu tiền bạn, nói có thể đảm bảo đưa bạn vào một công ty lớn, một dự án nào đó. Loại này về cơ bản có thể loại bỏ ngay, tuyển dụng chính thức không thu tiền người tìm việc. Nếu thực sự phải chi tiêu khi tìm việc, tối đa là tìm người tư vấn hướng nghiệp, giúp sửa CV, không ai có thể dùng tiền mua được việc làm thật từ người lạ.
• Vay đào tạo, vay nhận việc.Lấy danh nghĩa "đào tạo trước rồi mới nhận việc", dụ dỗ bạn vay tiền để nộp phí.

Nhắm vào danh tính của bạn

• Chưa nhận việc đã đòi CMND, hộ chiếu, thẻ ngân hàng, ảnh tự chụp cầm giấy tờ. Những thứ này sẽ bị lấy làm danh tính giả, dùng để mở tài khoản, vay tiền, gian lận thẻ, hoặc biến tài khoản của bạn thành kênh rửa tiền.
• Công ty chính quy sẽ xác minh lý lịch, nhưng thường là sau khi bạn ký hợp đồng, chính thức nhận việc, không phải ở giai đoạn phỏng vấn đã đòi những thứ này.

Còn một loại cần cảnh báo: Nhận việc rồi không lấy được tiền

Không phải mọi rủi ro đều đến từ công ty giả. Có công ty là thật, người cũng đã nhận việc, nhưng công ty lại lấy cớ "từ xa khó xác minh" "xuyên biên giới khó truy đòi" để cắt xén hoặc nợ lương, phổ biến nhất là không trả tháng lương cuối cùng trước khi nghỉ việc. Do làm việc từ xa cộng thêm xuyên biên giới, số tiền này rất khó đòi, đây cũng là lý do họ dám làm vậy. Trước khi nhận việc, hãy kiểm tra danh tiếng của công ty đó, hỏi nhiều trong cộng đồng, có thể tránh được một số công ty có vấn đề.

Phần hai

Hình dáng chung của hầu hết các vụ lừa đảo

Những tín hiệu dưới đây, nhìn riêng lẻ không đáng kể, nhưng vài cái cùng xuất hiện, thì đáng để cẩn thận.

• Tốt đến mức không thực tế.Một trong những cái phổ biến nhất: ngưỡng vào không cao nhưng mức lương cao đến vô lý, phỏng vấn dễ dàng quá mức (luôn khen bạn, không hỏi thứ thực sự), ghép lại với nhau thì rất đáng nghi. Không hiểu kỹ thuật cũng không sao, cảm giác "tốt đến mức không thật" hầu hết mọi người đều có, và trực giác của bạn thường đúng.
• Chỉ chịu nói chuyện qua tin nhắn riêng.Đối phương chủ động tìm đến, không có bất kỳ thông tin công ty nào, toàn bộ quá trình nói chuyện trên công cụ liên lạc mã hóa như TG, không chịu gọi điện, không chịu lộ mặt, cũng không chịu dùng phần mềm họp của các hãng lớn.
• Thúc giục.Vội vàng hẹn vòng tiếp theo, nhưng lại đợi đúng giờ mới gửi liên kết. Phỏng vấn bình thường hẹn giờ là gửi link cho bạn; đợi đúng giờ mới gửi, chính là không cho bạn thời gian kiểm tra, khiến bạn rối loạn.
• Chưa nhận việc đã đề nghị trả tiền trước cho bạn.Có kẻ lừa đảo sẽ chủ động đề cập đến việc ứng lương, phí ký kết, tiền thưởng nhận việc, tỏ ra rất thành ý. Điều này phần lớn là muốn bạn quan tâm, sợ bỏ lỡ, không kịp hỏi nhiều. Người ta cứ nghĩ đến số tiền đó, thì những điều cần xác minh dễ bị bỏ qua.
• Cảm thấy kỳ lạ khi giao tiếp.Cuộc đối thoại của đối phương như được dịch máy, cách xưng hô, trật tự câu, dùng từ vụng về; tự xưng là người nước nào đó, nhưng giọng nói lại không khớp. Đằng sau thường là nhóm tội phạm nước ngoài dùng phần mềm dịch để giả danh HR địa phương.

Nói đi cũng phải nói lại, bản thân việc ngôn ngữ cứng nhắc không có nghĩa là lừa đảo. Nhiều đội ngũ nước ngoài nghiêm túc, tuyển dụng người nước ngoài cũng dùng công cụ dịch để giao tiếp với ứng viên, tiếng Anh không tốt hoặc tiếng Trung không tốt không đồng nghĩa với lừa đảo. Nhìn chung vài tín hiệu hợp lại, mới chính xác hơn.

Dựa vào việc ghi nhớ tên để phòng lừa thực ra không hiệu quả lắm. Kẻ lừa đảo thay đổi bề mặt rất nhanh, hôm nay tài khoản này, tên phần mềm này, ngày mai đã đổi cái khác, ghi danh sách cơ bản không theo kịp, nhưng nắm vững những logic cơ bản này thường có thể tránh được nhiều bẫy.

Phần ba

Chiến lược tự bảo vệ

Trong môi trường từ xa, bạn thường khó xác định thật giả của đối phương. Vì vậy, việc "nhìn thấu âm mưu lừa đảo" này, bản thân nó đã không đáng tin cậy lắm. Hãy đổi góc nhìn, bất kể đối phương thật hay giả, có vài thứ bạn có thể tự kiểm tra, và cũng có vài đường ranh giới có thể tuân thủ.

Những thứ có thể tự kiểm tra, khoảng ba thứ.

• Sử dụng kênh đáng tin cậy.Cách làm tương đối ổn định là chỉ nhận diện lối vào mà chính bạn tìm thấy. Muốn xác nhận một công ty đang tuyển người, hãy tự mình tìm trang tuyển dụng trên nền tảng tìm việc đáng tin cậy, trang web chính thức, thay vì tùy tiện nhấp vào các liên kết, tên miền, mã QR mà đối phương gửi. Họp cũng vậy, dù họ đã gửi liên kết, cũng hãy tải ứng dụng chính thức từ trang web chính thức của phần mềm họp, dùng ID cuộc họp để tự vào.
• Kiểm tra nền tảng của HR.Xem HR này trên mạng có phải là một người thật cụ thể không, ví dụ như LinkedIn hoặc các danh tính được xác minh khác. Tài liệu họ cung cấp cũng có thể xem qua, ví dụ như thời gian cập nhật có đúng không, giống như "GitBook một năm không cập nhật" ở phần đầu. Còn một cách: dùng chủ đề về văn hóa để hỏi ngẫu nhiên một câu, phần mềm dịch máy và người không phải bản ngữ rất dễ lộ sơ hở, có kẻ lừa đảo bị hỏi một câu không trả lời được, lập tức cúp máy phỏng vấn.
• Xem họ muốn bạn làm gì.Điều này hữu ích nhất, vì không liên quan đến thật giả của công ty. Trước khi nhận việc chính thức, công ty chính quy sẽ không bắt bạn cài phần mềm lạ, chạy lệnh, trả phí, giao ví hoặc private key, làm "test" liên quan đến chuyển khoản, cũng không yêu cầu bạn giữ bí mật với bất kỳ ai.

Cách ly thiết bị cũng rất quan trọng.Phần mềm họ yêu cầu tải, không cài trên điện thoại, máy tính dùng hàng ngày; không kết nối ví thật; không trả tiền; không giao giấy tờ và private key. Như vậy dù đối phương là kẻ lừa đảo, cũng khó lấy được thông tin và tài sản từ bạn.

Nhà phát triển cần chạy mã do đối phương cung cấp thì chạy ngoài máy chính sẽ an toàn hơn nhiều, ví dụ như một máy ảo sạch, sandbox, hoặc một thiết bị trống riêng biệt. Làm vậy còn có lợi ích: bạn có thể thoải mái thảo luận cả các dự án giai đoạn đầu, dự án trong thời kỳ bảo mật.

Phần bốn

Một số trường hợp khó đánh giá

• Dự án giai đoạn đầu, thông tin vốn dĩ ít.Thiếu thông tin ở một số dự án giai đoạn đầu là bình thường, chưa hẳn là lừa đảo. Dự án giai đoạn đầu thực sự sẽ có dấu vết nông nhưng thật: người sáng lập có danh tính công khai trước dự án, có thông tin gọi vốn, hợp đồng hoặc kho mã nguồn có thể tra cứu được. Lừa đảo thường ngược lại, website làm đẹp, đằng sau thường là tài khoản mới, lật không ra một người thật có quá khứ.
• Nói đang trong thời kỳ bảo mật, không cho tên công ty.Bảo mật nhắm vào bản thân dự án, ví dụ như sản phẩm, token, kế hoạch chưa công bố. Nhưng HR đứng ra nói chuyện với bạn thường không cần giấu danh tính của mình. Bảo mật chính thức, là sợ bạn tiết lộ thông tin dự án. Loại "bảo mật" này lại ngược lại, sợ bạn đi xác minh họ.
• Tự xưng là HR công ty lớn, tài liệu đầy đủ.Công ty là thật, vấn đề là người này có thực sự là HR của công ty này không. Trước tiên hãy xem tên miền email: là tên miền chính thức của công ty, hay là gmail, tên miền gần giống, tên miền giả mạo có thêm hậu tố. Quy trình nên đi qua email chính thức, hệ thống tuyển dụng, LinkedIn đã được xác minh.

Phần năm

Đã trúng bẫy, phải làm sao

Những điều dưới đây, làm càng nhanh càng tốt, đại khái theo thứ tự sau.

1. Ngắt kết nối mạng ngay lập tức, sau đó tắt máy. Khi phần mềm độc hại còn mở, bạn làm bất cứ biện pháp khắc phục nào trên máy này, nó đều nhìn thấy.
2. Đổi sang một thiết bị sạch. Chuyển tài sản còn trong ví sang địa chỉ mới, chuyển những thứ có giá trị trước. Ví cũ coi như đã bị lộ, không dùng nữa.
3. Trên thiết bị sạch, thay đổi mật khẩu tài khoản quan trọng, bật tất cả xác thực hai yếu tố.
4. Lịch sử trò chuyện, biên lai chuyển khoản, tài khoản và liên kết của đối phương, chụp ảnh màn hình lưu lại, cũng có thể đăng lên bảng tố cáo của cộng đồng, nhắc nhở những người chưa trúng bẫy.
5. Báo cảnh sát. Một số vụ lừa đảo xuyên biên giới tỷ lệ truy hồi không cao, cần chuẩn bị tâm lý, nhưng vẫn đáng báo cảnh sát, để lập án, và để lưu hồ sơ.

Bất cứ việc gì cũng có hai mặt, làm việc từ xa khiến con người tự do hơn, nhưng cũng sẽ sản sinh nhiều âm mưu lừa đảo và cạm bẫy hơn. Con đường tìm việc đã không dễ dàng, mà kẻ lừa đảo thường lợi dụng tâm lý lo lắng của người tìm việc để tiến hành lừa đảo, điều này sẽ khiến người tìm việc chịu tổn thương lớn hơn cả việc trượt phỏng vấn. Hy vọng mọi người đều có thể nâng cao ý thức phòng tránh lừa đảo, tìm được công việc phù hợp với mình một cách suôn sẻ.