Názory k článku Vedl jsem stovky pohovorů s ajťáky. Čím dál více z nich jsou falešné osoby z podvodných „farem“ z Asie
-
Problém je, že i ty IT pracovníky obvykle přijímá HR + nějaký managor. A oba jsou hrdí na to, že o IT (nebo o kom zrovna rozhodují) vědí jen naprosté minimum. (Poznámka: platí pro non-IT firmy, korporáty zejména.)
Odborné věci nejsou schopni posoudit, takže se vrhnou na spoustu formalit, nějaké připravené testy - a to, co jim poradí AI. -
když už se hlásíš o práci vzdáleně, je divné, když nemáš kameru
Jako proč? Celý profesní život pracuju v podstatě jenom přes ssh a žádný server mě nikdy nepotřeboval vidět. Nedávno jsem zkusil pokus o jinou práci a pohovor, kde jsem odpověděl na všechno správně, líbil se jím můj web, dopadl špatně, protože u PC nemám kameru. Ne to opravdu nemám. A pro pobavení, bylo to ve stejném městě kde žiju a stačilo, abych tam za půl hodiny došel. Ne, chtěli remote pohovor a vyhodili mě na kameře. Příště jim nachystám stream v ascii art :-D Já fakt nevím, co a koho ty firmy vlastně chtějí. Jednou mě nepřijali proto, že mi v jejich iq testu vyšlo až příliš moc bodů. To by měla být spíš výhoda, ne?
A vůbec nechápu, proč se dělají pohovory na IT. V ČR se stejně všichni známe, pouze pár lidí má vlastní web nebo dneska třeba YT kanál, takže pokud se k nám přihlásí někdo takový, tak se není o čem bavit, protože jej prostě znám. Dělat nějaké umělé testy je urážka obou stran. A pokud na druhé straně sedí IT šéf, který si za 22 let nestihl všimnout, že mám taky web, tak s tímto člověkem zase nechci pracovat já. Pohovor je otázka max na 10 minut.
-
Začátek dobrý, ale zhruba od půlky článku to zní spíš jako výzva k zavedení digitálního fašismu či komunismu. Řada firem (hlavně z USA) dělá hodně intenzivní „screening“ kandidátů, který dokáže znechutit i normálního poctivého pracovníka.
Pokud je pracovník ze stejného státu, tak považuji za normální se aspoň jednou osobně vidět (byť práce pak může probíhat na dálku). Když to má být spolupráce s někým daleko, s kým se nikdy neuvidím, tak základem je budovat důvěru postupně. Spousta firem kvůli vlastnímu pohodlí dá přístupy na produkci i nováčkům nebo víceméně brigádníkům nebo mají proces revize kódu a obecně kontroly nastavený tak, že se dá obejít. S tímhle přístupem a leností vás nezachrání nic. Vedle toho postupného budování důvěry pak samozřejmě klasické praktiky – sledovat indicie, podezřelé chování, ptát se – útočník to zpravidla vzdá a jde hledat jinou oběť, u které bude mít větší šance – nebude ztrácet čas s někým ostražitým a podezřívavým, protože i kdyby to okecal teď, tak ví, že za chvíli narazí znovu. A když nedokáže vysvětlit podezřelé hlasy v pozadí nebo nesoulad toho, co se děje na obrazovce s tím, co se děje na kameře, tak to zase ukončíme my.
-
To mi připadá až neuvěřitelné, že jsi to nezažil. VS Code běží v prohlížeči naprosto nativně, bez problémů a bez velkých rozdílů, lze ho pak mít jako aplikaci, která nevypadá jako prohlížeč a přeci jen běží vzdáleně. Github.dev je také velmi pokročilé pouze webové IDE. Jakmile začneš trochu více pracovat s daty, máš tady jupyter a podobné notebooky, také plně webové. Docker, shell a vše okolo je také dostupné. Nebavím se o garážkovách.
Samozřejmě ona pak je vždy cesta, jak někdo může ukrást kódy, ale ono se to pak daleko lépe audituje a velmi rychle vidíš, kdo si stahuje celou code base.
-
Nezažil jsem firmu kde by vývojář pracoval ve web IDE... Jedna věc je editace pár řádků kódu, druhá věc je reálné programování. Osobně bych se neobešel (a spoustu vývojářů) bez shellu, rg, dockeru (ok, to je backend specialita), gitu, go, curl, httpie, *q ... a stovky dalších toolů. A pokud někde ve VMku dáte přístup vývojáři k shellu tak už je v celku jedno jestli programuje lokálně nebo vzdáleně (tj. pak vývojář vzdáleně pustí tar | curl a stejně ty zdrojové kódy má).
Druhá věc je že každý aspoň trochu zdatný vývojář by ty kódy v nejhorším získal jednoduše přes trochu skriptování a OCRko...
Všeobecně hodně špatná praxe je přistupovat k něčemu security by obscurity, což nucení práce přes web-ide trochu naznačuje. -
no ÚP je sám úplně divný svět. Mám zahraniční zaměstnance (ano, i slovák je ze zahraničí), v takovém případě musím před každým nástupem oznamovat volné pozice na ÚP. Jakmile chci někoho nového zaměstnat, z úřadu mi pošlou nějaké lidi, největší problém je, že vlastně vůbec nerozumí IT a úřad to neumí filtrovat podrobněji a prostě asi stačí, když uchazeč uvedl, že umí pracovat s počítačem a hned ho pošlou.
Další pro mě komplikace je, že chodí osobně, nelze si dohodnout dopředu nějaký čas, ale prostě příjdou a zazvoní. Což jako funguje asi v běžných provozech, kde musíš být přítomný, ale v IT, kdy jsem 90 % času na cestách či u klientů, stejně tak moji lidi a nemám nikoho, kdo by nonstop byl v kanceláři (nemluvě o tom, že využívám coworking). Provozní časy provozovny zase má živnostenský úřad a úřad práce je nemá a nepředává. Ve výsledku to je kvůli tomu strašně moc práce, nedorozumění, sporů po telefonu (ti lidé chtějí oprávnění razítko, že byly a že nevyhují z mé strany). Přitom by stačilo, kdyby ÚP předával trochu přesnějí kontaktní informace než jen adresu. Zkoušel jsem se s nimi dohodnout ani po několika letech nevím, jak to změnit, chvilku píší/volají, ale pak zase začnou chodit, jak kdyby si to každý úřad/úředník řešil po svém.
-
A řekne te to taky těm asiatům , že to dělají tak špatně ?
Nejde o data jako taková, ale o backdoory
Máte pravdu regulérní vývojář ano , ale to z pohledu nejen banky , ten co je běžně na dovolené nebo "doma" v ČLR nebo Rusku není regulérní vývojář. Ono red flag je v bydliště na úřadě protože HR nebude řešit jestli dotyčný bydlí v jurtě v zahrádkářské kolonii , nebo je v exekuci....
Stejně je dobrý když se jeho jméno neobjevuje v seznamech členu některých politických strana nebo organizací.
Tohle je reálný svět a tím "ideály z letenské kavarny" nejsou.
-
Žádný problém.
Jan mému kolegovi, když si hledal práci (než u nás nastoupil) dali na pracáku adresy firem, kde se měl ucházet o práci - a dvě třetiny z nich trvaly na tom WhatsAppu; a pracák to nechtěl uznat jako odmítnutí ze strany potenciálního zaměstnavatele.
(Než to vypapíroval, nastoupil k nám...) -
Blbě. Od toho by měla být tajná služba, aby dokázala takovéhle lidi najít. Pro zaměstnavatele to může být neidentifikovatelné, zejména pokud se jedná o nějakou spící buňku a funguje jako běžný zaměstnanec se vším všudy.
Každopádně dnes se ale daleko více začíná počítat s útoky ze zevnitř, tzv. Zero trust architektura. Kdy nezáleží na tom, jestli útočník je z firmy nebo není, ale dostane jen to na co má opravdu nárok. Stejně tak daleko více dneska se ani programátoři nepouští ke všemu, pracují ve webových IDE a nemají možnost si na flashce odnést zdrojové kódy. K ideálu to má ale daleko, aspoň všude tam, kde jsem to viděl.
-
Proti těmto falešným "remote" ajťákům se dá ještě bránit. Ale pokud nějakému nepřátelskému státu půjde skutečně o data, nažene do západních firem armády svých lidí a počká si, až získají důvěru - a pak získají i ta data. Jak se bránit proti tomuhle? Staré dobré reference? V dnešní době najímání cizinců asi neproveditelné.
-
Toto je veľmi veľmi obmedzený pohľad na problematiku. Funguje možno tak v malej lokálnej firme, čo najíma ľudí z blízkeho okolia. Nefunguje pre väčšie firmy s viacerými pobočkami v rôznych štátoch, ale centralizovaným HR, alebo fully remote firmy. Predsa nebudeš niekho ťahať cez pol planéty, aby si si s ním dal kávu. A aj tak nebudeš vedieť overiť, či ti ukáže pravý pas alebo national ID, lebo na to nemáš schopnosti ani nástroje. A ani to stretnutie ti nepomôže odhaliť, či v teste nepodvádzal s pomocou AI alebo niekoho iného, ak celý pohovor nezopakuješ.
Prídu riešenia pre recruiterov, ktoré budú mať zaintegrované identity verification riešenia, napríklad Persona, alebo z domácich riešení Digital Onboarding Toolkit od Innovatrics. Napríklad miro1.ai to už zaintegrované má, a rýchlo pribudnú ďalší. Ináč ja som o tomto probléme písal (tuším niekde na LinkedIN ako komentár) už pred pár rokmi, keď som hľadal remote programátorov do TogglHire. Bolo to sporadické, radikálne sa to zhoršilo po vydaní chatgpt 3.5.
-
když už se hlásíš o práci vzdáleně, je divné, když nemáš kameru :). Každopádně ve všech větších městech dneska jsou coworkingové kanceláře, kde si můžeš pronajmout místnost s kamerou. Někdy takové stanice mají i v knihovnách nebo učebnách.
Kolísání hlasu/kvalitu zvuku kvůli kvalitě připojení je velmi jiné než, když člověk používá nějaký syntezátor. Tohle se detekuje přes opakující se segmenty, kdy syntézator nemá dostatečnou entropii a prostě je šablonovitý, člověk do hlasu dává emoce, mění tón, ikdyž to pořád říká stejně. Už dlouho jsem neslyšel při online hovoru kvalitu zvuku, kterou pamatuji z dávných telefonů, když bylo rušení na lince.
Myslím, že pořád máš možnost jí na osobní pohovor a pro někoho to je lepší a stejně tak se nejspíš nebudeš hlásit do zahraniční společnosti, která nemá kanceláře někde poblíž.
-
Problém je i v
digitálním prahu
, který paradoxně nahrává těm podvodníkům.
Setkal jsem se s tím, abychse na pracovní pohovor připojil přes WhatsApp
- tedy aplikace, kterou vůbec nemám a nepoužívám.
Další podobnou pastí jeprofil na LinkedIn
: většina mých kolegů ajťáků od absolventského po předdůchodový věk jej prostě nemají vůbec nebo nemají aktuální.
Oblíbený je požadavekaktivujte svou kameru
- který na svém PC bez kamery prostě těžko splním. (Případně:postupně nám ukažte celou místnost, abychom měli jistotu, že nikdo nenapovídá, kameru umístěte tak, aby za vámi byl vidět vstup do místnosti.
Jak toho docílit, když tady má každý pokoj nejméně dvoje dveře, netuším.)
Také sdílení obrazovky může být problém - pokud to nepotřebujete, nemáte to připravené, a nemusí to fungovat.
Biometrie je vůbec ukázkovou pastí, protože spolehlivých biometrických periferií je opravdu málo, a třeba kontrolu hlasu snadno sestřelí i kolísající internetové připojení.
A odbočení od tématu pohovoru spolehlivě rozhodí většinu vystresovaných uchazečů.
Ve výsledku je tedy v podstatě podezřelé, pokud uchazeč všemi těmito testy projde. (Což tvrdím už proto, že já jsem se na jednom pohovoru nebyl schopen dostat ani přes CAPTCHA, zákeřně nastraženou na webovce s testem pro uchazeče...) -
článek mluví o kontraktorech a nikoliv zaměstnancích :).
Se zaměstnanci to je složitější. Zákon ukládá, že musí důvěryhodně ověřit totožnost, ať už to jsou kvalifikované elektronické podpisy, datová schránka či jinak (nestačí pouze pohovor online), u cizinců (dokonce i Slováků) je takové ověření na dálku problém. Pokud chceš zaměstnat cizince mimo EU na dálku, je to ještě mnohem těžší, najednou potřebuje pracovní povolení a oprávnění k pobytu (či modrou kartu). To dost diskvalifuje, aby tím prošel cizinec přes online pohovor, který tady v článku popisují.
Co si budeme povídat, v IT se jede hodně na kontraktory, u nás teda OSVČ, protože k tomu nemáme lepší legislativu. Máme pořád velmi zastaralé myšlení senior IT lidí, i dnes se setkávám s tím, že DMZ (ochrana na perimetru) pro infrastrukturu stačí, neprodukční prostředí nemusím moc chránit atd. To se nebavím o garážovkách, ale třeba o prvních dvou největších českých bankách nebo největšímu distributorovi energii. Zero trust proníká zatím na můj vkus velmi pomalu, je těžké to vysvětlovat, je těžké změnit roky zažité zvyky.
-
Nj. ale k vývoji u bank má přístup kdekdo a tihle falešní se hlásí jak přímo do našich bank, tak i k dodavatelům našich bank. Naše banky zatím full remote nenabízí nijak ve velkém, ale jejich dodavatelé, které tam mají také přístup, to nabízí jak nic. Setkal jsem se ale už u jedné naší velké banky, že nabízeli full remote s tím, že pošlou firemní notebook poštou, je to už pár let, ale přesně tenhle přístup je dnes špatný.
S tou IP adresou to není tak snadné. Poznáš, když ti IP adresa kontraktora jde pře AWS servery. Poznáš, když se ti s každým sezením mění ISP, cestuje mezi hostingy. V článku se nepsalo, že máš kontrolovat jen IP, ale i metadata spojení.
Dostat k nám poloskutečného vývojáře není tak snadné, nemůžeš to udělat ve velkém, může to udělat v kritických případech, šance na odhalení může být vysoká.
-
Perfektní článek, díky za vysvětlení fenoménu, na který narážíme i u nás na fakultě při remote pohovorech se zahraničními zájemci o Ph.D. studium - tušili jsme, že to nějak takto funguje, ale že existují "farmy"? Viz např. stále funkční FB skupina: https://www.facebook.com/groups/4031075527119114/
V USA tomuto fenoménu věnují pozornost už několik let a jak článek uvádí, ignorovat to je obrovské bezpečnostní riziko:
https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote
https://home.treasury.gov/news/press-releases/sb0190
https://www.reuters.com/legal/government/doj-announces-arrest-indictments-north-korean-it-worker-scheme-2025-06-30
https://www.ic3.gov/PSA/2022/psa220628
atd... -
Článek myslím míchá jablka s hruškami. Jedna věc je falešný vývojář, kterého je vhodné odhalit. Druhá věc je nábor lidí, kteří mají přístup k vývoji systémů třeba bank. Tam asi nebude cizí tajná služba cpát virtuálního Inda, ale nabídne (polo)skutečného vývojáře, který pak může případně nějakou část dat pouštět dál.
Jako vtipné mi přijde kontrolovat IP a podobné věci, když i regulérní vývojář může pracovat z druhého konce zeměkoule, nebo si zapnout virtuální přístup z jakékoli země.
