Нова небезпечна тенденція у кібербезпеці зміщує фокус з зовнішніх атак на внутрішню інфільтрацію. Хакери почали видавати себе за досвідчених фахівців з кібербезпеки та IT, щоб отримати привілейований доступ до систем організацій. Це не просто спроби фішингу — це ретельно сплановані схеми, коли зловмисники маніпулюють процесом найму, щоб стати “довіреними” співробітниками з метою викрадення конфіденційної інформації.
Як працює схема проникнення
Ця афера базується на обмані. Кіберзлочинці створюють детальні фальшиві особистості з підробленими резюме, переконливою присутністю в інтернеті та навіть використовують технологію deepfake для проходження віртуальних співбесід. По суті, вони стають “фейковими працівниками”, яких приймають на справжні посади.
Процес найму, особливо для віддалених посад, став основною мішенню. Кіберзлочинці використовують викрадені або підроблені особи, часто вдаючись до персональних даних реальних громадян США для створення начебто легітимних кандидатів. Вони можуть використовувати “ферми ноутбуків” в інших країнах, де базується їхня незаконна діяльність, застосовуючи проксі-сервери та VPN для маскування справжнього місцезнаходження.
Зростання віддаленої роботи, хоча й пропонує гнучкість, ненавмисно створило нові вразливості у перевірці кандидатів. Відсутність особистої взаємодії ускладнює підтвердження особистості та виявлення підозрілих ознак.
Техніки обману роботодавців
Для здійснення правдоподібної імітації зловмисники використовують низку витончених технік:
AI-технології для співбесід. Використання штучного інтелекту для генерації відео та голосу створює гіперреалістичні образи для відеоінтерв’ю, імітуючи міміку обличчя, голосові патерни та навіть онлайн-фони.
Підроблені документи. Резюме ретельно створюються з фальшивим досвідом роботи, дипломами та сертифікатами, часто супроводжуються фейковими профілями LinkedIn з AI-згенерованими фотографіями та обмеженою кількістю контактів для видимості легітимності без можливості відстеження.
Соціальна інженерія. Зловмисники вправно експлуатують людську довіру, виглядаючи обізнаними, професійними та зацікавленими у приєднанні до команди, часто з відрепетированими відповідями на технічні питання для створення ілюзії експертності.
“Відмивання особистості”. Використання свідомих або несвідомих осіб для оренди їхньої персональної інформації або проходження перевірки особи від їхнього імені, перенаправлення зарплати через треті рахунки для приховування справжньої ідентичності.
Небезпека “кандидатського” фішингу
Команди з найму повинні залишатися пильними щодо загроз на кшталт фішингу від “кандидатів”. Ці атаки маскуються під пропозиції від потенційних претендентів на роботу, часто містячи переконливий супровідний лист або портфоліо. Однак у цих здавалося б нешкідливих повідомленнях приховані шкідливі посилання або вкладення, які можуть скомпрометувати мережу компанії.
Справжня ціна загрози
Небезпека фейкового працівника полягає не просто у поганому найманні — йдеться про високо вмотивованого зловмисника, який отримує ключі до найважливіших систем компанії.
Крадіжка даних. Викрадення даних клієнтів, фінансових записів, інтелектуальної власності, комерційних таємниць та власного програмного коду.
Фінансове шахрайство. Хоча це менш поширена безпосередня мета схеми “фейкового працівника”, отриманий доступ може сприяти фінансовому шахрайству через маніпуляції системами або прямий вимагання.
Кібершпигунство. Групи, що спонсоруються державами, зокрема пов’язані з Північною Кореєю, відомі тим, що використовують фейкових працівників для збору розвідувальних даних та незаконних доходів для своїх режимів.
Вимагання. В останніх тривожних випадках деякі шахрайські працівники навіть шантажували своїх роботодавців, загрожуючи оприлюднити викрадені дані після звільнення або викриття.
Наслідки такої внутрішньої загрози є катастрофічними: вплив на репутацію бренду компанії, регуляторну відповідність (GDPR, HIPAA тощо) та, що найважливіше, довіру клієнтів. Витоки даних можуть призвести до значних фінансових штрафів, юридичних наслідків та тривалої втрати лояльності клієнтів. Вартість відновлення після такої атаки може легко сягати сотень тисяч, якщо не мільйонів доларів.
Реальні випадки проникнень
Загроза фейкових працівників не є теоретичною — це реальність, яку викривають розвідувальні агентства та правоохоронні органи.
Схеми північнокорейських IT-працівників. Міністерство фінансів та Міністерство юстиції США неодноразово видавали попередження та вживали заходів проти витончених схем північнокорейських IT-працівників. Ці оперативники, які часто працюють з таких країн, як Китай та росія, використовують викрадені або підроблені особи громадян США для отримання віддаленої роботи у технологічних компаніях, часто у сферах Web3, розробки програмного забезпечення або блокчейн-інфраструктури. Їхня мета — генерувати незаконні доходи для диктаторських режимів Кім Чен Ина та путіна. У деяких випадках ці працівники були серед найбільш “талановитих” співробітників, водночас непомітно викрадаючи дані та навіть вимагаючи викуп після звільнення.
Інциденти з deepfake-співбесідами. ФБР повідомило про випадки, коли шахраї успішно використовували deepfake-відео та технологію зміни голосу для отримання віддалених IT та фінансових посад, отримуючи доступ до корпоративних баз даних. Компанії виявили кандидатів, які використовували AI-згенеровані резюме та покращені deepfake співбесіди для обходу традиційних протоколів найму.
Захист від цифрових підробок
Зменшення ризику фейкових працівників вимагає багаторівневого підходу, який включає надійні HR-практики, передові технічні засоби контролю та постійне навчання з питань безпеки.
Посилена перевірка співробітників. Впровадження багатофакторної валідації особи, включаючи живі відеоінтерв’ю, перевірку документів у реальному часі за урядовими базами даних та біометричну автентифікацію для виявлення фальшивих посвідчень.
Ретельні перевірки біографії. Всебічна та безперервна перевірка трудової історії безпосередньо з попередніми роботодавцями (не лише за рекомендаціями, наданими кандидатом), пильна увага до невідповідностей в іменах, адресах та датах.
Аналіз цифрової присутності. Підтвердження цифрового сліду та пошук ознак автентичності, підозра до нових або слабко заповнених профілів у соціальних мережах.
Безпечні протоколи адаптації. Тісна співпраця з IT для обмеження доступу для нових співробітників, поступове надання привілеїв на основі довіри та необхідності.
Технічні засоби контролю
Багатофакторна автентифікація (MFA). Застосування MFA для всіх систем, особливо з привілейованим доступом, що забезпечує критично важливий рівень захисту навіть у разі викрадення облікових даних.
Принцип найменших привілеїв. Надання користувачам (включаючи IT-персонал) лише мінімального необхідного доступу для виконання їхніх робочих функцій.
Сегментація мережі. Ізоляція критичних систем для запобігання латеральному переміщенню у разі порушення безпеки.
Поведінковий аналіз та моніторинг активності користувачів. Впровадження інструментів, які відстежують поведінку користувачів на предмет аномалій — незвичайні патерни доступу (наприклад, доступ до конфіденційних даних поза робочим часом, з незвичайних місць), надмірні завантаження даних або часті спроби несанкціонованого доступу до систем.
Моніторинг інструментів віддаленого адміністрування. Обережність щодо використання несхвалених інструментів віддаленого адміністрування або встановлення кількох таких інструментів на одному пристрої.
Геолокація пристроїв. Під час адаптації перевірка, що корпоративні ноутбуки геолокуються до заявленого місця проживання співробітника. Підозра, якщо працівник просить іншу адресу доставки для обладнання компанії.
MFA на основі апаратного забезпечення. Найбезпечніша форма MFA, що вимагає використання фізичних пристроїв, таких як апаратні ключі безпеки, для отримання фізичного доступу до корпоративних пристроїв.
Тривожні сигнали внутрішньої загрози
Співробітники, особливо ті, хто взаємодіє з новими працівниками, повинні бути пильними щодо певних попереджувальних знаків:
- Небажання з’являтися на камері або брати участь у відеодзвінках, що може вказувати на використання технології deepfake або підставної особи
- Невідповідності або ухиляння, такі як розбіжності між онлайн-профілями та робочими портфоліо, або повна відсутність присутності в інтернеті
- Підозріла поведінка під час тестів або співбесід — надмірні паузи, рухи очей, що вказують на читання зі сценарію, або труднощі з імпровізованим вирішенням проблем
- Незвичайні запити, такі як повторні прохання про передоплату або наполягання на використанні особистих ноутбуків для роботи
- Неправильна або мінлива контактна інформація, зокрема телефонні номери та електронні адреси
- Запити на відправлення обладнання компанії на невідому адресу
- Використання програмного забезпечення для “рухання мишкою”, що може вказувати на одночасне керування кількома віддаленими профілями
Особлива загроза для MSP
Постачальники керованих послуг (MSP) стикаються з унікально підвищеним ризиком від цього типу загроз. Оскільки MSP зазвичай керують IT-інфраструктурою та безпекою для кількох клієнтських організацій, одне успішне проникнення в MSP може забезпечити доступ до величезної мережі конфіденційних даних та критичних систем у багатьох компаніях. Для MSP наявність найсуворіших заходів безпеки є абсолютно критичною, включаючи суворі процеси перевірки власних співробітників, впровадження передових засобів контролю доступу та підтримку надійних планів реагування на інциденти.
Проактивний підхід до безпеки
Загроза фейкових працівників є тверезим нагадуванням, що кіберзлочинці постійно вдосконалюють свої методи. Видаючи себе за довірених професіоналів, вони прагнуть обійти периметральний захист та експлуатувати людський фактор довіри. Розуміння принципів роботи цих загроз, впровадження суворих процесів найму та перевірки, розгортання передових технічних засобів контролю, формування культури обізнаності про безпеку та пильність щодо попереджувальних знаків дозволяють організаціям значно знизити ризики.
Безпека організації настільки сильна, наскільки сильна її найслабша ланка, і у випадку фейкових працівників цією ланкою можуть стати саме ті люди, яким довіряють найкритичніші активи компанії.
