Скачать полную версию отчета (PDF)
Даркнет — это общее название для различных ресурсов и площадок, которые объединяют людей, готовых к противозаконной работе или работе в юридически серых зонах. На теневых форумах можно встретить самые разные предложения: о нелегальной продаже и покупке украденных данных, об оказании услуг по написанию вредоносных программ и взлому различных сервисов, о поиске единомышленников для реализации атак на различные компании и многое другое.
Киберпреступному бизнесу, как и любому другому, необходимы работники. Сотрудников для участия в кибератаках и иной преступной деятельности ищут там же, где ведут бизнес, — в даркнете. Мы изучили объявления о вакансиях и поиске работы, размещенные на 155 теневых форумах с января 2020 года по июнь 2022 года, и проанализировали те из них, которые содержали информацию о продолжительной или постоянной работе.
В этом посте мы расскажем об особенностях такого трудоустройства, условиях работы, требованиях по отбору соискателей и уровне зарплат, а больше информации и анализ наиболее востребованных в даркнете IT-профессий можно найти в полной версии отчета.
Ключевые результаты
В результате анализа рынка труда в даркнете мы выяснили:
- Больше всего объявлений было опубликовано в марте 2020 года, что вероятно связано с началом пандемии COVID-19 и последовавшими изменениями на рынке труда.
- Основной работодатель в даркнете — команды хакеров и APT-группировки, которые ищут людей, способных заниматься разработкой вредоносного кода, его распространением, создавать и поддерживать IT-инфраструктуру и прочее.
- Чаще других в даркнете ищут разработчиков — 61% объявлений.
- Разработчики возглавили список самых оплачиваемых профессий среди IT-специалистов в даркнете: самая высокая заработная плата, которую мы видели в объявлении о поиске разработчика, составила 20 000 USD в месяц.
- Медианные зарплаты, предлагаемые IT-специалистам, составили 1300–4000$.
- Самая высокая медианная зарплата (4000 USD) — в объявлениях о поиске специалистов по реверс-инжинирингу.
Теневая биржа труда
Работодатели на теневом рынке чаще всего предлагают соискателям серые и черные схемы заработка, однако можно встретить и предложения, предусматривающие официальную, белую работу, не противоречащую законам страны. Пример: создание IT-курсов для образовательных площадок.
Работа по серым схемам уже граничит с нелегальностью, а иногда и нарушает закон. Примером серой работы может стать получение прибыли от продажи сомнительных препаратов на мошеннических сайтах.
Работа «по-черному» запрещена законом и чаще всего связана с криминалом. Против специалиста, работающего по таким схемам, могут возбудить уголовное дело и в случае поимки лишить его свободы. К черной работе относятся различные мошеннические схемы, взломы сайтов, социальных сетей или IT-инфраструктуры компаний.
Черную работу предлагают, например, хакерские группировки. Чтобы проникнуть в инфраструктуру организации, похитить конфиденциальные данные или пошифровать систему для дальнейшего шантажа, злоумышленникам нужен свой штат специалистов, владеющих определенными навыками.
Схема координации в команде атакующих
Причин поиска работы на теневых ресурсах может быть несколько. Многих на теневые ресурсы приводит ожидание легкого заработка и высокой финансовой выгоды. Однако в большинстве случаев оно расходится с реальностью. Далеко не всегда предлагаемые в даркнете оклады оказываются значительно выше тех, которые можно получить на белом рынке, к тому же заработок зависит от опыта, способностей и готовности вкладываться в работу. Тем не менее нередко бывает так, что уровень текущей официальной заработной платы не устраивает сотрудника и он покидает свое место работы в пользу теневого рынка без смены специализации. Изменения на рынке труда, сокращения рабочих мест и зарплат также побуждают к поиску работы на киберпреступных ресурсах.
Среди других причин можно выделить отсутствие некоторых обязательных требований к соискателям, таких как наличие высшего образования, военного билета, отсутствие судимости и т. д. Основное требование, которое можно встретить в объявлениях, — чтобы кандидат достиг совершеннолетнего возраста. Вакансии на теневом рынке также интересуют фрилансеров и удаленщиков, поскольку не предполагают необходимости посещать офис и позволяют быть «цифровым кочевником» — работать из любой точки земного шара. Также кандидатов привлекает высокий уровень свободы, который предлагают в даркнете: нет ограничений по количеству отпускных дней, графику работы, внешнему виду и т. д., есть возможность самостоятельно выбирать задачи и сферу применения своих навыков.
Еще одна причина поиска работы в даркнете — неосведомленность либо недостаточно серьезное отношение к последствиям. Между тем сотрудничество с подпольными командами, и тем более киберпреступными группировками, несет серьезные риски: участников могут раскрыть и привлечь к ответственности, не говоря уже о том, что им могут попросту не заплатить за выполненную работу.
Пример объявления о поиске работы
Статистика рынка труда в даркнете
Для анализа рынка труда в даркнете с января 2020 года по июнь 2022 года мы собрали статистику по сообщениям с упоминаниями работы, опубликованным на 155 форумах в даркнете. Отбор сообщений проводился на основе разделов форумов, посвященных любой работе, не только IT-профессиям.
Всего за анализируемый период на теневых форумах было размещено порядка 200 тысяч объявлений, связанных с работой. Больше всего сообщений было опубликовано в 2020 году (41% от общего числа). Пик активности пришелся на март 2020 года, что, предположительно, может быть связано с резким сокращением уровня дохода части населения из-за пандемии.
Распределение объявлений по дате публикации (скачать)
Статистика публикации объявлений (скачать)
Особенно заметное влияние на рынок пандемия оказала в странах СНГ.
Резюме соискателя, оказавшегося в затруднительной ситуации
Так, в марте 2020 года из-за кризиса часть жителей этого региона потеряла привычный доход, ушла на вынужденные выходные или вовсе осталась без работы, что впоследствии привело к росту безработицы.
Теги из объявления, предлагающего работу во время кризиса
Некоторые соискатели, отчаявшись найти белую работу со стабильным заработком, начали искать ее на теневых форумах, что привело к резкому увеличению количества резюме в даркнете. В результате в марте 2020 года мы наблюдали самые высокие показатели среди объявлений, как от работодателей, так и от соискателей (6% объявлений).
Динамика количества публикаций в тематических разделах даркнет-форумов за период 2020–2022 гг. (скачать)
Сообщений о поиске работы значительно меньше, чем самих вакансий. Так, из всех найденных объявлений, только 17% были связаны с поиском работы. Судя по статистике, заинтересованные в работе пользователи чаще откликаются на вакансии, уже опубликованные работодателями, чем сами пишут объявления.
Согласно опубликованным на теневых форумах резюме, соискатели ищут работу в разных сферах и претендуют на должности, обязанности которых могут варьироваться, — от ведения телеграм-каналов, до компрометации инфраструктуры различных компаний. В рамках данного исследования мы рассматривали объявления, связанные непосредственно с IT-сферой. Мы проанализировали 867 объявлений, отобранных по ключевым словам, из которых 638 — это сообщения о поиске работников (вакансии), а 229 — это сообщения о поиске работы (резюме).
Наиболее востребованными в даркнете специалистами оказались разработчики — на них пришелся 61% от всех объявлений. На втором месте — специалисты по проведению атак, то есть пентестеры (16%), на третьем — дизайнеры (10%).
Распределение объявлений о работе в даркнете по специальностям (скачать)
Условия отбора
Методы отбора IT-специалистов на теневом рынке во многом совпадают с методами отбора в легитимных компаниях. Работодатели точно так же заинтересованы в высококвалифицированных кадрах и поэтому пытаются отобрать наиболее сильных кандидатов.
Условия отбора из объявлений в даркнете. Для статистики процент высчитывался от общего числа объявлений, в которых были явно указаны условия отбора (скачать)
В объявлениях нередко упоминаются тестовые задания, в том числе оплачиваемые; также можно встретить упоминания собеседований, испытательных сроков и прочих схем отбора.
Вакансия, предполагающая отбор кандидатов с помощью тестового задания
Так, в одном из объявлений приводилась подробная схема отбора потенциальных сотрудников. Соискатель работы должен был пройти несколько этапов проверки, в том числе тестовые задания, связанные с шифрованием исполняемых вредоносных файлов и обходом средств защиты, и испытательный срок.
Пример схемы отбора потенциальных работников
Из особенностей найма сотрудников в даркнет-пространстве можно выделить требования об отсутствии зависимостей, в том числе алкогольной и наркотической.
Вакансия с требованиями об отсутствии вредных привычек
Условия труда
Работодатели даркнета пытаются заинтересовать кандидатов, в частности предлагая им выгодные условия труда. В основном среди преимуществ работы явно указывают удаленную работу (45%), полную занятость (34%) и гибкий график (33%). При этом стоит отметить, что в случае даркнета удаленная работа — это скорее необходимость, а не выгодное предложение, поскольку в киберпреступном мире важную роль играет анонимность. Также среди условий труда встречаются оплачиваемые отпуска, больничные и даже дружный коллектив.
Условия труда из объявлений в даркнете. Для статистики процент высчитывался от общего числа объявлений, в которых были явно указаны условия труда (скачать)
Самые комфортные условия, в том числе возможности карьерного роста и поощрительные бонусные планы, предлагают киберпреступные группировки, заинтересованные в наиболее квалифицированных работниках.
Условия труда из вакансии в даркнете
Такие группировки могут также оценивать производительность сотрудников, как это делали Conti. По результатам оценки работник может получить премию либо финансовый штраф из-за неэффективности работы. Более того, у некоторых подпольных «организаций» существуют целые реферальные программы для сотрудников, которые предоставляют бонусы тем, кто смог успешно привлечь других к работе.
Как и на белом рынке, работодатели предлагают разные виды занятости: полная, неполная занятость, стажировки, сотрудничество, партнерство или прием в команду.
Объявление о работе с прохождением стажировки
Основное отличие даркнета от белого рынка труда — отсутствие оформления по трудовому кодексу. При этом в даркнете все же встречаются объявления, связанные с наймом сотрудников на официальную работу. Например, мы обнаружили несколько объявлений о поиске программиста в известный российский банк, в условиях которых упоминалось официальное трудоустройство и ДМС.
Найденное в даркнете объявление об официальном трудоустройстве
Заработные платы
Мы проанализировали более 160 IT-вакансий, в которых явно указывались размеры компенсаций[1]. При рассмотрении полученной статистики стоит понимать, что в объявлениях в даркнете чаще всего называют приблизительный оклад. Многие работодатели пишут либо диапазоны зарплат, либо их начальные уровни.
Объявление с указанием примерной оплаты труда
Со временем зарплата может вырасти в зависимости от приложенных усилий, вклада в работу, профессионального роста и в целом от того, насколько развился «бизнес». В объявлениях зарплаты, как правило, указываются в долларах, однако на практике работу часто оплачивают в криптовалюте.
На диаграмме ниже представлена информация о минимальных и максимальных зарплатах для отдельных IT-специальностей.
Диапазоны заработных плат IT-специалистов из объявлений в даркнете (скачать)
На момент исследования самой высокооплачиваемой профессией являлись разработчики, максимальный оклад которых мог достигать 20 000 USD. Однако им же предлагали и самую маленькую стартовую зарплату, которая составляла всего 200 USD.
Помимо разработчиков выделились также реверс-инженеры, у которых наблюдалась самая высокая медианная оплата труда — 4000 USD.
Специальность | Медианная заработная плата |
Специалисты по проведению атак | 2500 USD |
Разработчики | 2000 USD |
Реверс-инженеры | 4000 USD |
Аналитики | 1750 USD |
Администраторы | 1500 USD |
Тестировщики | 1500 USD |
Дизайнеры | 1300 USD |
Медианы заработных плат IT-специалистов в даркнете
Также в даркнете встречаются вакансии, обещающие специалистам оклад намного выше приведенных цифр, но достигаться он будет, как правило, за счет различных бонусов и процентов, пришедших от удачно реализованных проектов вроде получения прибыли путем шантажа скомпрометированной организации.
Стоит сказать, что не все вакансии вошли в статистику по заработным платам, так как среди них были подозрительные, а порой и вовсе мошеннические предложения работы.
Так, в одном из доступных в даркнете объявлений о поиске пентестера сайтов обещали платить вплоть до 100 000 долларов в месяц. Интересно то, что в описании вакансии говорится о «белой работе».
Объявление с вакансией на темном форуме, предлагающее завышенный оклад
Помимо стандартного месячного и иных видов оклада (почасового, ежедневного, еженедельного) существуют также и другие способы оплаты труда, которые либо сами по себе являются основными, либо добавляются к основному. В частности, встречается проектная работа со сдельной заработной платой, выплачиваемой по факту выполнения работы. Это может быть оплата за взломанный сайт или разработанную фишинговую страницу.
В качестве дополнительной оплаты труда работодатели нередко обещают к фиксированному окладу различные проценты, зависящие от результата работы. К примеру, пентестеру обещают оклад 10 000 USD в месяц, а также процент от прибыли за скомпрометированные сети различных организаций, полученной в результате продажи доступов, конфиденциальных данных, шантажа и с помощью других способов монетизации взлома.
Пример вакансии с окладом и процентами за работу
Нередко специалисту могут предложить работать только на процентном окладе. Кроме того, иногда попадаются вакансии, в которых не предусмотрено никакой оплаты труда. Работодатели либо предлагают работать за идею, либо обещают возможность получения процентов или прибыли в будущем.
Пример вакансии с отсутствием оплаты труда
Выводы
Даркнет — это многофункциональная площадка, которая используется не только для проведения сделок между злоумышленниками и распространения противозаконной информации, но и для найма участников в те или иные команды и группировки.
Из данных, приведенных в этом отчете, видно, что спрос на IT-специалистов на киберкриминальных ресурсах довольно высок. При этом часто новые участники нанимаются как сотрудники с фиксированным окладом. Также интересно отметить, что для привлечения новых работников киберпреступные сообщества используют те же способы, что и легитимные организации, а сами объявления часто похожи на те, что публикуются на обычных рекрутинговых площадках.
Также, судя по проанализированным объявлениям, достаточно много людей готовы заниматься нелегальной или полулегальной деятельностью, несмотря на связанные с этим риски. В частности, многие начинают активно искать возможность дополнительного заработка на теневом рынке в кризисных ситуациях. Так, в марте 2020 года во время коронавирусной пандемии на теневых ресурсах резко возросло количество объявлений о поиске работы.
Хотя можно было ожидать, что заработки в даркнете выше, чем в легитимных компаниях, мы не выявили значительной разницы в медианном уровне зарплат IT-специалистов в киберкриминальной среде и на легальном рынке труда. Самыми востребованными специалистами оказались разработчики (с их поиском связан 61% всех объявлений). Это косвенно может говорить о том, что кибератаки усложняются. Так, большую востребованность разработчиков можно объяснить необходимостью настраивать и разрабатывать новые, более сложные инструменты.
Стоит отметить, что риски работы на темном рынке все еще превышают выгоды. Отсутствие оформления по трудовому кодексу снимает с работодателей всю ответственность. Соискателя могут обмануть с зарплатой, подставить или вовлечь в мошенническую схему. Ну и конечно, не стоит забывать про уголовную ответственность, суды и лишение свободы за деятельность, противоречащую законодательству. Особенно высоки риски при работе с группировками, так как деанонимизация их участников — приоритетная задача для команд, занимающихся расследованием киберпреступлений. Поэтому рано или поздно группу могут раскрыть, а ее членам будет грозить тюремное заключение.
[1] Зарплаты, указанные в рублях, переводились в доллары по курсу, действительному на начало исследования, — 75 рублей за доллар.
Переход на темную сторону: как хантят IT-специалистов в даркнете