menu arrow

Varovné signály pri nábore: čo ak je uchádzač špión?

Firemná bezpečnosť, Vzdelávanie zamestnancov 4. novembra 2025
BVF špión nahladovy obrazok

Aj špión môže mať perfektné CV. Viete, ako ho rozpoznať skôr, než sa dostane k vašim firemným tajomstvám?

V júli 2024 začal dodávateľ kybernetickej bezpečnosti KnowBe4 pozorovať podozrivú aktivitu súvisiacu s novým zamestnancom. Táto osoba začala manipulovať a prenášať potenciálne škodlivé súbory a pokúšala sa spustiť neautorizovaný softvér. Neskôr sa zistilo, že ide o severokórejského pracovníka, ktorý oklamal personálny tím firmy a získal tak v spoločnosti zamestnanie na diaľku. Celkovo sa tejto osobe podarilo prejsť štyrmi videokonferenčnými pohovormi, ako aj previerkou pred prijatím do zamestnania.

Tento incident podčiarkuje, že žiadna organizácia nie je imúnna voči riziku neúmyselného prijatia sabotéra. Hrozby založené na identite sa neobmedzujú len na odcudzené heslá alebo prevzatie účtov, ale vzťahujú sa aj na samotných ľudí, ktorí sa pripájajú k vašej pracovnej sile. Keďže umelá inteligencia sa stále zlepšuje v napodobňovaní reality, je čas vylepšiť vaše procesy prijímania zamestnancov.

Rozsah problému

Možno vás prekvapí, aká rozsiahla je táto hrozba. Podľa FBI trvá už najmenej od apríla 2017. Výskumníci spoločnosti ESET ju sledujú pod názvom WageMole a táto škodlivá aktivita sa prekrýva so skupinami, ktoré iní výskumníci označujú ako UNC5267 a Jasper Sleet. Podľa spoločnosti Microsoft americká vláda odhalila viac ako 300 spoločností, vrátane niektorých zo zoznamu Fortune 500, ktoré sa stali obeťami tohto podvodu len v rokoch 2020 až 2022. Technologická firma bola v júni nútená pozastaviť 3 000 účtov Outlook a Hotmail, ktoré vytvorili severokórejskí uchádzači o zamestnanie.

Samostatne bola v USA vznesená obžaloba proti dvom Severokórejčanom a trom „sprostredkovateľom“, ktorí zarobili viac ako 860 000 dolárov od 10 z viac ako 60 spoločností, v ktorých pracovali. Nie je to však len problém USA. Výskumníci spoločnosti ESET varovali, že pozornosť sa v poslednej dobe presunula do Európy, vrátane Francúzska, Poľska a Ukrajiny. Medzitým spoločnosť Google varovala, že terčom útokov sú aj britské spoločnosti.

Ako to robia?

Tisíce uchádzačov so škodlivými úmyslami si takto možno našli zamestnanie. Vytvárajú alebo kradnú identity zodpovedajúce lokalite cieľovej organizácie a potom si otvárajú e-mailové účty, profily na sociálnych médiách a falošné účty na vývojárskych platformách, ako je GitHub, aby si dodali legitimitu. Počas procesu náboru môžu používať deepfake obrázky a videá alebo softvér na výmenu tváre a zmenu hlasu, aby zamaskovali svoju identitu alebo vytvorili syntetické identity.

Podľa výskumníkov spoločnosti ESET je skupina WageMole prepojená s ďalšou severokórejskou kampaňou, ktorú sleduje pod názvom DeceptiveDevelopment. Tá sa zameriava na podvodné nalákanie západných vývojárov, aby sa uchádzali o neexistujúce pracovné miesta. Podvodníci žiadajú svoje obete, aby sa zúčastnili kódovacej súťaže alebo úlohy pred pohovorom. Projekt, ktorý si stiahnu, aby sa mohli zúčastniť, však v skutočnosti obsahuje trojský kód. WageMole kradne totožnosti vývojárov, aby ich použil vo svojich podvodných schémach s pracovníkmi.

Kľúčom k podvodu sú zahraniční sprostredkovatelia. Najskôr pomáhajú:

  • vytvoriť účty na webových stránkach s ponukami práce pre freelancerov
  • vytvoriť bankové účty alebo požičať severokórejským pracovníkom svoje vlastné
  • kúpiť mobilné čísla SIM kariet
  • overiť falošnú identitu pracovníka počas overovania zamestnania pomocou služieb overovania minulosti

Po prijatí falošného zamestnanca si tieto osoby prevezmú firemný notebook a nastavia ho v notebookovej farme nachádzajúcej sa v krajine zamestnávateľskej firmy. Severokórejský IT pracovník potom používa VPN, proxy služby, vzdialené monitorovanie a správu (RMM) a/alebo virtuálne súkromné servery (VPS), aby skryl svoju skutočnú polohu.

Dopad na podvedené organizácie môže byť obrovský. Nielenže nevedomky platia pracovníkov z krajiny, na ktorú sú uvalené prísne sankcie, ale títo zamestnanci často získavajú prístup ku kritickým systémom. To je otvorená pozvánka na krádež citlivých údajov alebo dokonca vydieranie spoločnosti.

Špión – ako ho odhaliť a zastaviť?

Nevedomé financovanie jadrových ambícií izolovaného štátu je takmer to najhoršie, čo sa môže stať z hľadiska poškodenia reputácie, nehovoriac o finančnom riziku bezpečnostného narušenia, ktoré s tým súvisí. Ako sa teda môže vaša organizácia vyhnúť tomu, aby sa stala ďalšou obeťou?

1. Identifikujte falošných pracovníkov počas procesu náboru

  • Skontrolujte digitálny profil uchádzača, vrátane sociálnych sietí a iných online účtov, či neobsahuje podobnosti s inými osobami, ktorých identitu mohli ukradnúť. Špión si tiež môže vytvoriť niekoľko falošných profilov, aby sa uchádzal o pracovné miesta pod rôznymi menami.
  • Dávajte pozor na nezrovnalosti medzi online aktivitami a uvádzanými skúsenosťami: „senior developer“ s generickými repozitármi kódov alebo nedávno vytvorenými účtami by mal vzbudiť podozrenie.
  • Uistite sa, že majú legitímne, jedinečné telefónne číslo, a skontrolujte ich životopis, či neobsahuje nezrovnalosti. Overte si, či uvedené spoločnosti skutočne existujú. Kontaktujte referencie priamo (telefonicky/videohovorom) a venujte osobitnú pozornosť zamestnancom personálnych agentúr.
  • Keďže mnohí uchádzači môžu používať deepfake audio, video a obrázky, trvajte na videohovoroch a vykonávajte ich viackrát počas náboru.
  • Počas pohovorov považujte akékoľvek tvrdenia o nefunkčnej kamere za vážne varovanie. Požiadajte uchádzača, aby vypol filtre pozadia, aby ste mali väčšiu šancu identifikovať deepfake. (Medzi náznaky môžu patriť vizuálne chyby, strnulé a neprirodzené výrazy tváre a pohyby pier, ktoré nie sú synchronizované so zvukom.) Položte im otázky týkajúce sa miesta a kultúry, kde „žijú“ alebo „pracujú“, napríklad otázky týkajúce sa miestnych jedál alebo športov.

2. Sledujte zamestnancov, či nevykonávajú potenciálne podozrivé činnosti

  • Buďte ostražití voči varovným signálom, ako sú zahraničné telefónne čísla, okamžité stiahnutie softvéru RMM do novo vydaného notebooku a práca vykonávaná mimo bežných pracovných hodín. Ak sa notebook autentizuje z podozrivých zahraničných IP adries, malo by sa to tiež prešetriť.
  • Sledujte správanie zamestnancov a vzorce prístupu k systému, ako sú neobvyklé prihlásenia, prenosy veľkých súborov alebo zmeny v pracovnej dobe. Zameriavajte sa na kontext, nielen na upozornenia: rozdiel medzi chybou a škodlivou činnosťou môže spočívať v úmysle.
  • Na monitorovanie neobvyklých činností používajte nástroje na odhaľovanie vnútorných hrozieb.

3. Obmedzte hrozbu

  • Ak si myslíte, že ste vo svojej organizácii identifikovali špióna, najskôr postupujte opatrne, aby ste ho nevyplašili.
  • Obmedzte jeho prístup k citlivým zdrojom a skontrolujte jeho sieťovú aktivitu. Tento projekt zverte len malej skupine dôveryhodných zamestnancov z oddelenia IT bezpečnosti, ľudských zdrojov a právneho oddelenia.
  • Zachovajte dôkazy a nahláste incident orgánom činným v trestnom konaní, pričom požiadajte o právne poradenstvo pre spoločnosť.
  • Keď sa situácia upokojí, je tiež dobré aktualizovať vaše programy školení v oblasti kybernetickej bezpečnosti. A uistite sa, že všetci zamestnanci, najmä manažéri IT a personálni pracovníci, chápu niektoré varovné signály, na ktoré si majú v budúcnosti dávať pozor. Taktiky, techniky a postupy (TTP) útočníkov sa neustále vyvíjajú, takže aj tieto rady sa budú musieť pravidelne meniť.

Najlepší prístup k zabráneniu tomu, aby sa z falošného uchádzača stal špión v radoch vašej firmy, kombinuje ľudské know-how a technické kontroly. Uistite sa, že máte pokryté všetky základné oblasti.

Odporúčané články

BVF IT helpdesk ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 23. októbra 2025
IT helpdesk: potenciálna slabina, ktorá môže ohroziť firmu
BVF vyroba ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 10. októbra 2025
Výroba pod paľbou: Ako predísť ničivému kyberútoku?