Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Pracownik przeszedł złożoną rekrutację. Ale po jakimś czasie zorientowali się że do pracy przyszła… zupełnie inna osoba!

07 lutego 2022, 11:05 | Aktualności | komentarzy 28

TLDR: Pracownik przeszedł złożoną rekrutację. Były też background check i takie tam ;). No więc Welcome aboard! Otrzymał dostępy do zasobów firmowych. Ale coś tu nie grało. Po jakimś czasie zorientowali się, że do pracy stawił się inny człowiek niż ten, który przeszedł rekrutację.

Bardzo ciekawa historia miała miejsce w jednej ze średniej wielkości firm informatycznych, której pracownicy wykonywali pracę w pełni zdalnie. Odbywała się w niej rekrutacja na jedno ze stanowisk, podzielona na trzy etapy. Do ostatniego etapu zakwalifikowała się tylko jedna osoba. Udało się jej przejść z sukcesem cały proces aplikacji i ostatecznie przyjęła ofertę, stając się nowym pracownikiem.

Pojawił się jednak problem. Już po zatrudnieniu, przekazaniu komputera i dostępów, jeden z pracowników który był w zespole rekrutującym zauważył, że nowo zatrudniona osoba, która pojawiła się w firmie nie przypomina tej biorącej udział w rekrutacji. Różnice dotyczyły:

  • fryzury i okularów;
  • miejsca wykonywania pracy (nowo zatrudniona osoba opowiadała, że zmuszona jest pracować w garażu, ponieważ w domu przeszkadza jej trójka dzieci, podczas gdy w trakcie rozmowy kwalifikacyjnej kandydat twierdził, że jest singlem);
  • umiejętności (nowy pracownik nie potrafił odpowiedzieć na szereg pytań, z którymi poradził sobie podczas procesu rekrutacyjnego);
  • temperamentu (nowo przyjęty pracownik okazał się nieśmiały, co nie pasowało do jego wcześniejszego zachowania w czasie rozmowy).

Podczas spotkania pracownika, jego zwierzchniczki, partnera biznesowego i rekrutera oraz nowego „pracownika” okazało się, że ten ostatni nie wiedział, kim jest szefowa. Brała ona udział w dwóch z trzech spotkań rekrutacyjnych. Dział prawny miał ostatecznie zdecydować, jakie kroki podjąć w tej sytuacji – nowa osoba kompletnie nie radziła sobie bowiem w pracy.

Dział prawny zasugerował, aby dział HR porozmawiał z nowym „pracownikiem”, ale raczej z powodu niezgodności umiejętności ze stanem faktycznym, zamiast od razu informować go, że wykryto próbę oszustwa. Pozwolił również działowi bezpieczeństwa na sprawdzenie komputera nowo zatrudnionej osoby, aby zweryfikować, czy wykonywała ona pracę osobiście:

In the meantime, legal approved security to put a trace on John’s computer to review if there have been outside messages or if his work is being completed with outside help or on a different computer altogether.

Po odbyciu rozmowy z działem HR „pracownik” zrezygnował z pracy i nie było możliwości skontaktowania się z nim. Zespół odpowiedzialny za bezpieczeństwo mógł w tej sytuacji jedynie przeanalizować aktywność w sieci pod kątem dostępu i pobrania danych, które powinny pozostać w firmie…

So good riddance John. Their security teams are trying to discover what all he downloaded, if they’ll be able to get their equipment back, is John really his real name, etc. !!

–Michał Giza

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. chs

    Ciekawie to wygląda od strony prawnej.
    HR nawet nie ma prawa dowodu osobistego żądać.
    O sytuacji osobistej (singiel/dzieci) też nie ma obowiązku informować.
    Nie za bardzo można taką osobę zweryfikować.
    Policja za nas nie może tego zrobić, nawet odpłatnie.
    Background check – to żart. Nic nie sprawdzają tak naprawdę bo nie mają jak. Poprzedni/dotychczasowy pracodawca czy uczelnia nic nie powiedzą, bo RODO. No i zgodnie z prawem, wykonujący check musiałby mieć licencję prywatnego detektywa. Niewielu ją ma ;-)

    Tak naprawdę, jeśli praca nie wymaga dostępu do informacji niejawnych, to pracodawca nie może zupełnie nic dopóki nie udowodni, że popełniono czyn zabroniony :-/

    Odpowiedz
    • Ignacy

      Przecież to nie w Polsce…

      Odpowiedz
    • wwwoh

      Bez przesady. Pracodawca ma opierać się na słownej deklaracji kandydata i nie zerknąć w dowód osobisty???
      PS U mnie nikt nie zerkał – cywil w wojsku :D

      Odpowiedz
      • chs

        Problem jest taki, że pracodawca nie ma możliwości zweryfikowania autentyczności dokumentów.
        Policja i inne służby mundurowe mają możliwość weryfikacji, ale nie można się zwrócić nigdzie z prośbą o uwierzytelnienie drugiej strony (z nielicznymi wyjątkami) w świecie cywilnym. Po prostu realnie nie ma możliwości stwierdzenia w sposób niezależny, że osoba, z którą rozmawiamy jest tą, za którą się podaje.

        Scenariusz ataku: zatrudniasz się (musisz faktycznie umieć rzeczy wymagane na stanowisko pracy bo będziesz rozmawiał z kompetentnymi ludźmi) na lewe dane, penetrujesz firmę przez kilka startowych dni i znikasz pod pozorem np. kwarantanny i COVID, w międzyczasie przygotowując kradzież kasy. Po fakcie pozostają tylko 'lewe’ dane osobowe, szkic policyjnego rysownika w oparciu o pamięć kolegów których widziałeś kilka dni – monitoring raczej wyexpiruje.
        Nie chcę podrzucać więcej pomysłów na zatarcie ew. śladów, ale sądzę, że atak jest w pełni wykonalny i wiem, że jeśli nie wpadamy w jeden z kilku wyjątków związanych z poufnością, to nie ma dozwolonych prawem sposobów weryfikacji cywilów przez cywilów, a te nieliczne, jeśli ktokolwiek stosuje, daje się obejść.

        Odpowiedz
        • Tomasz

          Przecież to już było, poszukaj informacji o konwojencie który zmienił wizerunek, wagę, zarost i ukradł kilka milionów z transportu. Później zniknął.

          Odpowiedz
          • Rafał

            Konwojent wywiózł złoto , informacje potrafią być cenniejsze :)

          • Hickeyallie

            Konwojent, konwojentem. W dawnych czasach (jakieś 20 lat temu), gdy listonosze roznosili emerytury w gotowce, na poczcie była istna plaga fałszywych listonoszy. Gości, którzy zatrudniali się w czasie wakacji na zastępstwo, na podstawie fałszywych lub skradzionych dowodów osobistych. Po tym jak dostał gotówkę na emerytury, delikwent znikał, porzucając w krzakach torbę z listami.

  2. as

    Bledem bylo umawianie go na rozmowe z HR. Bo czemu niby mial po tej rozmowie zostac jeszcze w firmie skoro go namierzyli?

    Odpowiedz
  3. K

    Źródło?

    Odpowiedz
  4. Mirek

    U nas w firmie słyszałem o przypadkach gdzie kandydat miał suflera pod biurkiem. Na szczęście byli technicznie słabo zorganizowani i rekruterzy wyraźnie słyszeli podpowiadaczy.

    Odpowiedz
  5. Gdyby jeszcze płeć się nie zgadzała to by go nie zwolnili. Powiedziałby że zmienił płeć i że są nietolerancyjni. Wtedy HR by go nie zwolnił.

    Odpowiedz
  6. Felix

    Jeśli praca była 100% zdalna to powinni znać jego adres i móc wysłać policję i wyjaśnić sprawę.

    Odpowiedz
  7. Tak

    W Nigerii to codzienność, że zatrudnia się jedną osobę, a przychodzi inna. Wynagrodzeniem dzielą się po połowie, a potem ten co miał być zatrudniony idzie do kolejnej firmy się zatrudnić … i tak dalej …

    Odpowiedz
  8. Dawid

    Kto pracował z TCS, ten się w cyrku nie śmieje, tam takie akcje to codzienność.

    Odpowiedz
    • Kuba

      W sensie z TATA? miałem z nimi trochę doczynienia i nikogo kompetentnego nie spotkałem…

      Odpowiedz
    • Dexter

      Wszystkie indiańskie firmy to robią. Najpierw do klienta wędruje dobre cv jakiegoś goscia, potem na rozmowę podstawiają kogoś innego, a do pracy przychodzi jeszcze ktoś inny.
      Takie akcje widziałem kilka razy, bo się dałem skusić do pracy w jednej z ciapatych firm.

      Odpowiedz
  9. Anonimowo :)

    W mojej pracy kazali mi nagle przerwac rozmowy rekrutacyjne, bo zorientowali sie, ze jeden z dostawcow kontraktorow podczas rozmow podkladal slowa – kandydat na wizji (ten docelowy, prawdziwy…. chyba) nie mowi tylko rusza ustami – glos podkladal za niego ktos z tylu :) a jakosc polaczenia byla tak koszmarna, ze wiekszosc rozmow niemal rozpoczynalem od prosby wylaczenia wideo dla oszczedzania przepustowości łączy…

    Odpowiedz
  10. PolygraphX

    Jak się nie umie stosować narzędzi to potem się skomli.
    Wystarczyłoby badanie wariografem na dzień dobry.
    Żaden tam śmieszny background check.
    Taniej, szybciej i ostatecznie.

    Odpowiedz
    • mascot

      Sprawdź skuteczność badania wariografem a potem pisz głupoty

      Odpowiedz
    • orto graph

      Wariografem ZDALNIE?

      Odpowiedz
  11. PLum

    A dawno temu w którejś z poprzednich firm – to niezła akcja była gdy – gościa przyjęli – okazało się że się nie nadawał (co drugi dzień był nieprzytomny – pewnie w coś grał całymi nocami…)
    ale najlepsze było to że od HR dostaliśmy informacje jak się nazywa przygotowaliśmy dostępy i w ogóle, po czym gość mówi ale on się tak nie nazywa – a podał tak „niemiecko” brzmiące imię/nazwisko – bo to pasowało do profilu firmy. Nie przetrwał okresu próbnego – po czym nie mija więcej jak jakieś 6 miechów – HR znowu przynosi jego CV, kolejny raz się do nas zgłosił do pracy, dziewczyny zadzwoniły do niego i pytają czy on przypadkiem tu nie pracował, a on twierdził że nie absolutnie nie :P.

    Odpowiedz
  12. Mirek

    Ja się tylko pytam po co?

    Odpowiedz
  13. Venkat

    Zatrudniając w Indiach to na porządku dziennym. Żaden news.

    Odpowiedz
  14. Lu

    Historia z centrum UE, lata 2014-15. Wielki bank tranzytowy. W pracy pojawia się człowiek i pracuje około roku w dziale związanym z kontrolą transakcji. Po jakimś czasie przestaje pojawiać się w biurze i nikt nie wie co się z człowiekiem dzieje. Po jakimś czasie weryfikacja wykazuje, że taka osoba nie istnieje, człowiek się rozpłynął a tożsamość została wygenerowana (w jaki sposób to osobna historia). Dopiero po akcji wprowadzono anti-passback, imienne karty dostępowe ze zdjęciem oraz wyrywkową kontrolę. Z banku zniknęły 2 mln EUR.

    Odpowiedz
    • Milossh

      Proszę opowiedz o tym generowaniu tożsamości bo jestem zaintrygowany :)

      Odpowiedz
    • chs

      Ciekawy scenariusz i mieliście poniekąd szczęście w nieszczęściu – jak na bank niewielka kwota za skuteczny ofensywny audyt który pozwolił uszczelnić wszystkie procedury.

      Odpowiedz
  15. Była podobna pasta na wykopie o takim czymś :D

    Odpowiedz

Odpowiedz