İşe alımlarda kırmızı alarmlar: İş arayan gibi davranan bir casusu tespit edebilir misiniz?

Temmuz 2024'te, siber güvenlik sağlayıcısı KnowBe4, yeni işe alınan biriyle bağlantılı şüpheli bir etkinlik gözlemlemeye başladı . Söz konusu kişi, potansiyel olarak zararlı dosyaları manipüle edip aktarmaya başladı ve yetkisiz yazılım çalıştırmaya çalıştı. Daha sonra, firmanın İK ekibini kandırarak firmada uzaktan çalışmaya ikna eden Kuzey Koreli bir çalışan olduğu ortaya çıktı. Söz konusu kişi, toplamda dört video konferans görüşmesinin yanı sıra geçmiş ve işe alım öncesi kontrollerini de geçmeyi başardı.

Bu olay, hiçbir kuruluşun yanlışlıkla bir sabotajcıyı işe alma riskinden muaf olmadığını gösteriyor. Kimlik tabanlı tehditler yalnızca çalınan parolalar veya hesap ele geçirmelerle sınırlı değil, aynı zamanda iş gücünüze katılan kişileri de kapsıyor. Yapay zeka gerçeği taklit etmede daha iyi hale geldikçe , işe alım süreçlerinizi iyileştirmenin zamanı geldi.

Zorluğun ölçeği

Bu tehdidin ne kadar yaygın olduğuna şaşırabilirsiniz. FBI'ın arananlar listesine eklediği bir gönderiye göre, tehdit en az Nisan 2017'den beri devam ediyor. ESET Research tarafından WageMole olarak izlenen bu faaliyet, diğer araştırmacılar tarafından UNC5267 ve Jasper Sleet olarak adlandırılan gruplarla örtüşüyor. Microsoft'a göre , ABD hükümeti, yalnızca 2020-2022 yılları arasında Fortune 500'de yer alanlar da dahil olmak üzere 300'den fazla şirketin bu şekilde mağdur edildiğini ortaya çıkardı. Teknoloji şirketi, Haziran ayında Kuzey Koreli iş arayanlar tarafından oluşturulan 3.000 Outlook ve Hotmail hesabını askıya almak zorunda kaldı.

Ayrı olarak, ABD'de hazırlanan bir iddianamede, iki Kuzey Koreli ve üç "kolaylaştırıcı", çalıştıkları 60'tan fazla şirketin 10'undan 860.000 doların üzerinde para kazanmakla suçlanıyor. Ancak bu sadece ABD'ye özgü bir sorun değil. ESET araştırmacıları, odak noktasının son zamanlarda Fransa, Polonya ve Ukrayna da dahil olmak üzere Avrupa'ya kaydığı konusunda uyardı . Bu arada Google, Birleşik Krallık şirketlerinin de hedef alındığı konusunda uyardı .

Peki bunu nasıl yapıyorlar?

Binlerce Kuzey Koreli işçi bu şekilde iş bulmuş olabilir. Hedeflenen kuruluşun konumuna uygun kimlikler oluşturuyor veya çalıyorlar, ardından meşruiyetlerini artırmak için e-posta hesapları, sosyal medya profilleri ve GitHub gibi geliştirici platformlarında sahte hesaplar açıyorlar. İşe alım sürecinde, kimliklerini gizlemek veya sentetik kimlikler oluşturmak için deepfake görüntü ve videolar, yüz değiştirme ve ses değiştirme yazılımları kullanabilirler.

ESET araştırmacılarına göre, WageMole grubu, DeceptiveDevelopment adıyla takip ettiği başka bir Kuzey Kore saldırısıyla bağlantılı. Bu saldırı, Batılı geliştiricileri var olmayan işlere başvurmaya ikna etmeyi amaçlıyor. Dolandırıcılar, kurbanlarından bir kodlama yarışmasına veya ön görüşme görevine katılmalarını istiyor. Ancak katılmak için indirdikleri proje aslında Truva atı kodlarını içeriyor. WageMole, sahte çalışan planlarında kullanmak üzere bu geliştirici kimliklerini çalıyor.

Dolandırıcılığın anahtarı yabancı aracılarda yatıyor. Öncelikle şunlara yardımcı oluyorlar:

• serbest iş sitelerinde hesap oluşturun
• banka hesapları oluşturun veya Kuzey Koreli işçiye kendi banka hesaplarını ödünç verin
• SIM kartların cep telefonu numaralarını satın al
• istihdam doğrulaması sırasında çalışanın sahte kimliğini, geçmiş kontrol hizmetlerini kullanarak doğrulamak

Sahte çalışan işe alındıktan sonra, bu kişiler kurumsal dizüstü bilgisayarı teslim alır ve işe alım şirketinin ülkesinde bulunan bir dizüstü bilgisayar çiftliğine kurar. Kuzey Koreli BT çalışanı daha sonra gerçek konumunu gizlemek için VPN'ler, proxy hizmetleri, uzaktan izleme ve yönetim (RMM) ve/veya sanal özel sunucular (VPS) kullanır.

Aldatılan kuruluşlar üzerindeki etkisi çok büyük olabilir. Sadece farkında olmadan ağır yaptırımlara tabi bir ülkeden gelen çalışanlara maaş ödemekle kalmıyorlar, aynı çalışanlar genellikle kritik sistemlere ayrıcalıklı erişim elde ediyorlar. Bu, hassas verileri çalmak veya hatta şirketi fidye için zorlamak için açık bir davet anlamına geliyor.

Bunları nasıl tespit edebilir ve durdurabilirsiniz?

Bir dışlanmış devletin nükleer hedeflerine bilmeden fon sağlamak, itibar kaybı açısından neredeyse olabilecek en kötü durumdur; üstelik uzlaşmanın beraberinde getirdiği ihlal riskine karşı mali açıdan da risklidir. Peki kuruluşunuz bir sonraki kurban olmaktan nasıl kaçınabilir?

1. İşe alım sürecinde sahte çalışanları tespit edin

• Adayın sosyal medya ve diğer çevrimiçi hesapları da dahil olmak üzere dijital profilini, kimliğini çalmış olabilecekleri diğer kişilerle benzerlikler açısından kontrol edin. Ayrıca, farklı isimler altında iş başvurularında bulunmak için birden fazla sahte profil oluşturabilirler.
• Çevrimiçi etkinlikler ile iddia edilen deneyim arasındaki uyumsuzluklara dikkat edin: Genel kod depolarına veya yakın zamanda oluşturulmuş hesaplara sahip bir "kıdemli geliştirici" kırmızı alarm vermelidir.
• Geçerli ve benzersiz bir telefon numarasına sahip olduklarından emin olun ve özgeçmişlerinde herhangi bir tutarsızlık olup olmadığını kontrol edin. Listelenen şirketlerin gerçekten var olduğundan emin olun. Referanslarla doğrudan iletişime geçin (telefon/görüntülü görüşme) ve personel şirketlerinin çalışanlarına özellikle dikkat edin.
• Birçok aday deepfake ses, video ve görüntü kullanabilir, video görüşmeleri konusunda ısrarcı olabilir ve işe alım sürecinde bunları birden fazla kez gerçekleştirebilir.
• Mülakatlar sırasında, arızalı bir kamera iddiasını önemli bir uyarı olarak değerlendirin. Adaydan, deepfake'leri tespit etme şansını artırmak için arka plan filtrelerini kapatmasını isteyin. (Bunlar arasında görsel aksaklıklar, donuk ve doğal olmayan yüz ifadeleri ve sesle senkronize olmayan dudak hareketleri yer alabilir.) Örneğin, yerel yemekler veya sporlar gibi "yaşadıkları" veya "çalıştıkları" yerle ilgili konum ve kültüre dayalı sorular sorun.

2. Çalışanları potansiyel olarak şüpheli faaliyetler açısından izleyin

• Çin telefon numaraları, yeni verilen bir dizüstü bilgisayara RMM yazılımının anında indirilmesi ve normal mesai saatleri dışında yapılan işlemler gibi tehlike işaretlerine karşı dikkatli olun. Dizüstü bilgisayar Çin veya Rus IP adreslerinden kimlik doğrulaması yapıyorsa, bu da araştırılmalıdır.
• Çalışan davranışlarını ve alışılmadık oturum açmalar, büyük dosya aktarımları veya çalışma saatlerindeki değişiklikler gibi sistem erişim modellerini takip edin. Sadece uyarılara değil, bağlama da odaklanın: Bir hata ile kötü amaçlı bir faaliyet arasındaki fark niyette yatabilir.
• Anormal faaliyetleri izlemek için içeriden gelen tehdit araçlarını kullanın.

3. Tehdidi kontrol altına alın

• Eğer kuruluşunuzda bir Kuzey Koreli çalışan tespit ettiğinizi düşünüyorsanız, onlara haber vermemek için ilk başta dikkatli davranın.
• Hassas kaynaklara erişimlerini sınırlayın ve ağ etkinliklerini inceleyin; bu projeyi BT güvenliği, İK ve hukuk departmanlarından oluşan küçük bir güvenilir grupla sınırlayın.
• Şirket için hukuki danışmanlık alırken delilleri muhafaza edin ve olayı kolluk kuvvetlerine bildirin.

Ortalık yatıştığında, siber güvenlik farkındalık eğitim programlarınızı güncellemeniz de iyi bir fikirdir. Ayrıca, tüm çalışanların, özellikle de BT işe alım yöneticilerinin ve İK personelinin, gelecekte dikkat edilmesi gereken bazı tehlike işaretlerini anladığından emin olun. Tehdit aktörlerinin taktikleri, teknikleri ve prosedürleri (TTP'ler) sürekli gelişiyor, bu nedenle bu tavsiyelerin de periyodik olarak değiştirilmesi gerekecektir.

Sahte adayların kötü niyetli şirket içi kişilere dönüşmesini engellemenin en iyi yolları, insani bilgi birikimi ve teknik kontrolleri bir araya getirmektir. Tüm unsurları kapsadığınızdan emin olun.