Segnali di allarme nel reclutamento: riesci a riconoscere una spia che si finge un candidato?

Nel luglio 2024, il fornitore di sicurezza informatica KnowBe4 ha iniziato a osservare attività sospette legate a un nuovo dipendente. L'individuo ha iniziato a manipolare e trasferire file potenzialmente dannosi e ha tentato di eseguire software non autorizzato. Successivamente si è scoperto che si trattava di un lavoratore nordcoreano che aveva ingannato il team delle risorse umane dell'azienda, convincendolo a lavorare da remoto. In totale, l'individuo è riuscito a superare quattro colloqui in videoconferenza, oltre a una verifica dei precedenti e una verifica pre-assunzione.

L'incidente sottolinea che nessuna organizzazione è immune dal rischio di assumere inavvertitamente un sabotatore. Le minacce basate sull'identità non si limitano al furto di password o all'appropriazione indebita di account, ma si estendono alle stesse persone che entrano a far parte della vostra forza lavoro. Con l'intelligenza artificiale che migliora nel simulare la realtà , è tempo di migliorare i processi di assunzione.

La portata della sfida

Potreste rimanere sorpresi dalla diffusione di questa minaccia. È in corso almeno da aprile 2017, secondo un ricercato dell'FBI . Tracciata come WageMole da ESET Research , l'attività si sovrappone ai gruppi etichettati UNC5267 e Jasper Sleet da altri ricercatori. Secondo Microsoft , il governo degli Stati Uniti ha scoperto più di 300 aziende, tra cui alcune nella classifica Fortune 500, che sono state vittime di questo tipo solo tra il 2020 e il 2022. L'azienda tecnologica è stata costretta a giugno a sospendere 3.000 account Outlook e Hotmail creati da persone in cerca di lavoro nordcoreane.

Separatamente, un'incriminazione statunitense ha incriminato due nordcoreani e tre "facilitatori" per aver guadagnato oltre 860.000 dollari da 10 delle oltre 60 aziende per cui lavoravano. Ma non è solo un problema statunitense. I ricercatori di ESET hanno avvertito che l'attenzione si è recentemente spostata sull'Europa, in particolare in Francia, Polonia e Ucraina. Nel frattempo, Google ha avvertito che anche le aziende del Regno Unito sono nel mirino.

Come lo fanno?

Migliaia di lavoratori nordcoreani potrebbero aver trovato lavoro in questo modo. Creano o rubano identità corrispondenti alla sede dell'organizzazione presa di mira, per poi aprire account di posta elettronica, profili sui social media e account falsi su piattaforme di sviluppo come GitHub per dare credibilità. Durante il processo di assunzione, potrebbero utilizzare immagini e video deepfake, o software di scambio di volti e di modifica della voce, per camuffare la propria identità o crearne di sintetiche.

Secondo i ricercatori di ESET, il gruppo WageMole è collegato a un'altra campagna nordcoreana, denominata DeceptiveDevelopment . Questa campagna mira a indurre gli sviluppatori occidentali a candidarsi per lavori inesistenti. I truffatori chiedono alle loro vittime di partecipare a una sfida di programmazione o a un test pre-colloquio. Ma il progetto scaricato per partecipare contiene in realtà codice trojanizzato. WageMole ruba le identità degli sviluppatori per utilizzarle nei suoi schemi di lavoro fittizi.

La chiave della truffa sta nei facilitatori stranieri. In primo luogo, aiutano a:

• creare account su siti web di lavoro freelance
• creare conti bancari o prestare i propri al lavoratore nordcoreano
• acquistare numeri di cellulare di schede SIM
• convalidare l'identità fraudolenta del lavoratore durante la verifica dell'occupazione, utilizzando i servizi di controllo dei precedenti

Una volta assunto il finto dipendente, questi individui prendono in consegna il computer portatile aziendale e lo installano in una "computer farm" situata nel paese dell'azienda che ha assunto il dipendente. Il dipendente IT nordcoreano utilizza quindi VPN, servizi proxy, monitoraggio e gestione da remoto (RMM) e/o server privati ​​virtuali (VPS) per nascondere la propria vera posizione.

L'impatto sulle organizzazioni raggirate potrebbe essere enorme. Non solo pagano inconsapevolmente dipendenti provenienti da un Paese pesantemente sanzionato, ma questi stessi dipendenti ottengono spesso accesso privilegiato a sistemi critici. Questo è un invito aperto a rubare dati sensibili o persino a chiedere un riscatto all'azienda.

Come individuarli e fermarli

Finanziare inconsapevolmente le ambizioni nucleari di uno stato paria è quasi il massimo in termini di danno reputazionale, per non parlare dell'esposizione finanziaria al rischio di violazione che tale compromissione comporta. Come può la tua organizzazione evitare di diventare la prossima vittima?

1. Identificare i lavoratori falsi durante il processo di assunzione

• Controllare il profilo digitale del candidato, inclusi i social media e altri account online, per individuare eventuali somiglianze con altre persone di cui potrebbero aver rubato l'identità. Potrebbero anche creare diversi profili falsi per candidarsi a posizioni lavorative con nomi diversi.
• Prestare attenzione alle discrepanze tra le attività online e l'esperienza dichiarata: uno "sviluppatore senior" con repository di codice generici o account creati di recente dovrebbe far scattare l'allarme.
• Assicuratevi che abbiano un numero di telefono valido e univoco e verificate che il loro curriculum non presenti incongruenze. Verificate che le aziende elencate esistano effettivamente. Contattate direttamente i referenti (telefono/videochiamata) e prestate particolare attenzione ai dipendenti di agenzie di lavoro interinale.
• Poiché molti candidati potrebbero utilizzare audio, video e immagini deepfake, è consigliabile insistere per effettuare colloqui video e ripeterli più volte durante la fase di selezione.
• Durante i colloqui, considerate qualsiasi segnalazione di malfunzionamento della telecamera come un importante segnale d'allarme. Chiedete al candidato di disattivare i filtri di sfondo per avere maggiori possibilità di identificare i deepfake. (I segnali potrebbero includere difetti visivi, espressioni facciali rigide e innaturali e movimenti delle labbra non sincronizzati con l'audio). Fategli domande basate sulla posizione geografica e sulla cultura del luogo in cui "vive" o "lavora", ad esempio su cibi locali o sport.

2. Monitorare i dipendenti per attività potenzialmente sospette

• Prestare attenzione a segnali d'allarme come numeri di telefono cinesi, download immediato di software RMM su un laptop appena acquistato e lavoro svolto al di fuori del normale orario d'ufficio. Se il laptop si autentica tramite indirizzi IP cinesi o russi, è opportuno indagare anche su questo aspetto.
• Tieni d'occhio il comportamento dei dipendenti e i modelli di accesso al sistema, come accessi insoliti, trasferimenti di file di grandi dimensioni o modifiche all'orario di lavoro. Concentrati sul contesto, non solo sugli avvisi: la differenza tra un errore e un'attività dannosa potrebbe risiedere nell'intenzionalità.
• Utilizzare strumenti di rilevamento delle minacce interne per monitorare le attività anomale.

3. Contenere la minaccia

• Se pensi di aver identificato un lavoratore nordcoreano nella tua organizzazione, procedi con cautela all'inizio per evitare di metterlo in guardia.
• Limitare l'accesso alle risorse sensibili e rivedere l'attività della rete, riservando il progetto a un piccolo gruppo di addetti fidati provenienti dai settori della sicurezza informatica, delle risorse umane e legale.
• Conservare le prove e segnalare l'incidente alle forze dell'ordine, richiedendo al contempo una consulenza legale per l'azienda.

Una volta che la situazione si sarà calmata, è anche una buona idea aggiornare i programmi di formazione sulla sicurezza informatica . E assicurarsi che tutti i dipendenti, in particolare i responsabili delle assunzioni IT e il personale delle risorse umane, comprendano alcuni dei segnali d'allarme a cui prestare attenzione in futuro. Le tattiche, le tecniche e le procedure (TTP) degli attori delle minacce sono in continua evoluzione, quindi anche questi consigli dovranno essere aggiornati periodicamente.

Gli approcci migliori per impedire che i candidati falsi diventino malintenzionati interni combinano competenze umane e controlli tecnici. Assicuratevi di coprire tutte le basi.