Gerçek görünümlü sahte çalışanlar şirketleri tehlikeye atıyor

2024 yılı Temmuz ayında bir güvenlik tedarikçisi olan KnowBe4 şirketinde yaşanan olay, tehdidin boyutunu ortaya koydu. İşe alım süreçlerinden başarıyla geçen bir kişinin daha sonra Kuzey Kore bağlantılı sahte bir çalışan olduğu ortaya çıktı. Bu kişi, şirket sistemlerinde dosya manipülasyonu ve yetkisiz yazılım çalıştırma girişimleri gibi şüpheli faaliyetlerde bulunuyordu. Olay, kimlik temelli tehditlerin artık sadece parolaların veya hesapların çalınmasıyla sınırlı olmadığını; gerçek çalışanların taklit edilmesine kadar ilerlediğini gösteriyor.

Araştırmalar ve resmî kurumların raporları, bu saldırı modelinin 2017’den bu yana sürdüğünü ortaya koyuyor. Microsoft’a göre, yalnızca 2020–2022 arasında 300’den fazla şirket bu yöntemle hedef alındı. 2024 yılında, Kuzey Koreli tehdit aktörleri tarafından oluşturulan 3.000 sahte Outlook ve Hotmail hesabı askıya alındı. ABD savcıları, iki Kuzey Koreli ve üç aracı kişinin 60’tan fazla şirketten 860.000 doların üzerinde gelir elde ettiğini açıkladı. ESET araştırmacıları, saldırıların son dönemde Fransa, Polonya ve Ukrayna gibi Avrupa ülkelerine ve İngiltere’ye doğru kaydığı konusunda uyarıyor.

Sahte BT çalışanları nasıl sızıyor?

Kuzey Koreli çalışanların  sahte kimliklerle iş bulmak için kullandıkları yöntemler oldukça gelişmiş durumda: Kuruluşun bulunduğu ülkeye uygun kimlikler oluşturuyor veya çalıyorlar. Sosyal medya, geliştirici platformları ve e-posta hizmetlerinde gerçekçi dijital profiller kuruyorlar. İşe alım görüşmelerinde deepfake görüntüler, yüz değiştirme ve ses değiştirme yazılımlarıyla kimliklerini gizleyebiliyorlar. Aracılar; freelance platformlarına kayıt açma, banka hesabı temin etme, SIM kart sağlama ve sahte kimliğin doğrulanmasına destek verme gibi süreçlerde kritik rol oynuyor. Şirket tarafından gönderilen dizüstü bilgisayarlar, işe alımın ardından başka ülkelerde kurulan “laptop çiftliklerine” yerleştiriliyor. Operatörler bu cihazlara VPN, proxy, uzaktan izleme ve sanal sunucular üzerinden bağlanarak gerçek konumlarını gizliyor. Bu çalışanların kritik sistemlere erişim sağlaması, hassas verilerin çalınması, sistemlerin sabotaj edilmesi veya fidye yazılımı için zemin hazırlanması gibi ciddi sonuçlar doğurabiliyor.

İşe alım sürecinde dikkat edilmesi gerekenler

• Adayın sosyal medya ve diğer çevrimiçi hesapları da dâhil olmak üzere dijital profilini kontrol edin.  Farklı isimlerle iş başvurusu yapmak için birkaç sahte profil oluşturabilirler.
• Çevrimiçi etkinlikler ile iddia edilen deneyim arasında uyumsuzluklar olup olmadığına dikkat edin.
• Adayların meşru, benzersiz bir telefon numarasına sahip olduklarından emin olun ve özgeçmişlerinde tutarsızlıklar olup olmadığını kontrol edin. Listelenen şirketlerin gerçekten var olduğunu doğrulayın. Referanslarla doğrudan iletişime geçin ve personel temin şirketlerinin çalışanlarına özellikle dikkat edin.
• Birçok aday derin sahte ses, video ve görüntüler kullanabileceğinden video görüşmelerinde ısrarcı olun ve işe alım sürecinde bunları birden fazla kez gerçekleştirin.
• Görüşmeler sırasında, kameranın arızalı olduğuna dair herhangi bir iddiayı önemli bir uyarı olarak değerlendirin. Deepfake’leri daha iyi tespit edebilmek için adaydan arka plan filtrelerini kapatmasını isteyin. Görsel bozukluklar, sert ve doğal olmayan yüz ifadeleri ve sesle senkronize olmayan dudak hareketleri gibi ipuçları olabilir.

Uzmanlar sahte BT çalışanlarının içeriden yaratacağı riskleri azaltmanın en etkili yolunun, teknik güvenlik kontrollerini güçlü insan odaklı süreçlerle birleştiren bütünsel bir yaklaşım olduğunun altını çiziyorlar.