İşgücü sahtekarını önlemek için ne yapabilirsiniz?

   Şubat 4, 2025  Posted in HelpnetSecurity


Bu yardımda net güvenlik görüşmesinde, NISOS kıdemli istihbarat hizmetleri yöneticisi Benjamin Racenberg, işgücü sahtekarlığı tehdidini, özellikle DPRK’ye bağlı BT işçilerinin uzaktan rollere sızan tehditlerini tartışıyor. İK ekipleri ve işe alımcılar genellikle bu sofistike planları tespit etmek için hazırlıksız olarak, işletmeler önemli siber güvenlik ve istihdam riskleriyle karşı karşıyadır.

Racenberg ayrıca bu tehdit aktörleri tarafından kullanılan taktikleri tartışıyor ve işe alım uygulamalarını güçlendirmek ve işyeri sahtekarlıklarını azaltmak için stratejiler sunuyor.

işyeri sahtekarlığı

İşyerlerine sızan DPRK’ye bağlı BT işçileri hakkında hikayeler gördük. İK ekipleri ve işe alımcılar bu tehdidi tanımlamaya ve bunlara yanıt vermeye ne kadar hazırlıklıdır ve eğitimlerinde hangi boşluklar var?

Kore Demokratik Halk Cumhuriyeti (DPRK) tarafından yürütülen istihdam sahtekarlığı planı, ABD merkezli şirketlere en az 2022’den beri önemli siber güvenlik ve istihdam riskleri sundu. Bu şema, birçok şirketteki İK ekiplerinin ve işe alımcılarının bu riski azaltmaya hazır olmadığını gösteriyor. Kendi raporunuzda Yardım Net Security, ilk beş büyük televizyon ağı, bir Silikon Valley teknoloji şirketi, havacılık üreticisi, bir Amerikan otomobil üreticisi, lüks bir perakende mağazası ve bir ABD-hallmark medya ve eğlence dahil olmak üzere ABD şirketlerinin Şirket, bu plandan etkilendi.

DPRK’ya bağlı BT çalışanları, İK ekipleri ve işe alım görevlileri, çalınan kimlik belgeleri alarak atlatılabilecek kimlik doğrulama süreçlerine dayandığı için uzak pozisyonlarda rol almada başarılıdır. Birçok işe alım görevlisinin, çalıştıklarını iddia ettikleri şirketlerde işlerde çalışan gerçek insanlar olduklarından emin olmak için potansiyel adayların veya referanslarının OSINT (açık kaynak istihbarat) soruşturmalarını yapmaları istenmez.

  • DPRK’ya bağlı BT işçileri, ekipleri işe alarak ve işe alımla ilgili arka plan araştırmaları tarafından işaretlenmesi daha az olan çalınan kimlik bilgileri sağlayarak geleneksel işe alım kırmızı bayrakların yanında yer almada becerikli hale gelmiştir.
  • İşverenler için DPRK’ya bağlı BT işçileri tarafından istihdam edinmek ve çalışmalarını yürütmek için kullanılan taktikler, teknikler ve prosedürler için ek eğitim, başvuru sahiplerinde ve yeni işe alımlarda kırmızı bayrakları tanımlamaya yardımcı olabilir, ancak bir işyerinin sızmasını engellemeyecektir.
  • Bu nedenle, İK ekipleri ve işe alım görevlileri, şirketlerinin fikri mülkiyetini, itibarını ve finansmanını DPRK’ye bağlı BT işçilerinden korumak için yer alan kuruluşun tek bir parçası olmamalıdır. İçerme ekibi, BT ekibi ve çalışanın iş arkadaşları, soruşturma için şirketin güvenlik ekibine potansiyel kırmızı bayrakları yükseltme yetkisine sahip olmalıdır.
Kuruluşların işe alım sırasında kimlikleri tespit etmek ve doğrulamak için hangi yenilikçi yaklaşımlar veya teknolojiler benimseyebilir?

DPRK’ye bağlı BT çalışanlarının şirketlerde istihdam elde etmek için kullandığı bir dizi taktik, teknik ve prosedür (TTP) vardır. Bunlara karşı koymak için şirketlerin yeni uzak işçiler işe alınırken aşağıdaki en iyi uygulamaları gözlemlemelerini öneririz:

  • Görüşme sürecinin kamera içi ve/veya yüz yüze görüşmeleri içerdiğinden emin olun.
  • Başvuru sahibinin, tahrif edilmiş belgeleri daha iyi tanımlamak için kimlik belgelerini yüz yüze verdiğinden emin olun. Zorunlu yüz yüze çalışan çalışan işe alım gerektirir.
  • Ad, görünüm, çalışma geçmişi, eğitim vb.
  • Önceki istihdamı doğrulayın ve referans kontrolleri gerçekleştirin.
    • Başvuru sahipleri, hem deneyimlerini şişirecek hem de işe alım organizasyonunu sağlanan referanslarla iletişim kurmasını caydırmak için büyük şirketleri istihdam geçmişlerinde listeler. Referanslar çoğu zaman aynı bireydir veya iş başvuru sahipleriyle aynı insan ağına bağlıdır.
    • Referansların kamerada da görünmesini ve başvuru sahibiyle nasıl denetledikleri veya çalıştıklarına dair gerçek bağlamsal bilgiler sağladıklarını gerektirir.

NISOS ayrıca DPRK BT çalışanlarının ekipmanlarının kendilerine gönderilmesinden önce posta adreslerini sık sık güncellediğini buldu. Bu, işe alım sürecinde verilen kimliğin ve bilgilerin çalınmış olabileceğinin bir göstergesidir.

  • Bir teklif kabul edildikten sonra, tehdit oyuncusu dizüstü bilgisayarın başvuru sürecinde verilen kimlik belgelerinden farklı bir yere gönderilmesini isteyecek ve hareket ettiklerini veya geçici olarak taşındıklarını iddia edecektir. Bireye bağlı olduğunu doğrulamak için yeni adres üzerine araştırma yapın.
  • Teknoloji tarafında, iki faktörlü kimlik doğrulama kullanarak ve paylaşılan hesapların kullanımını en aza indirerek erişim kontrollerini ve kimlik doğrulama işlemlerini gözden geçirin ve güçlendirin. Buna ek olarak, şirketler, meşru bir kullanıcının aktif oturumu veya kimlik bilgileri kullanarak, başkalarının sistemlere yetkisiz erişim kazanmasını sağlayan uzaktan erişim için tedarik edilen ekipmanı izlemelidir.
Hükümetler ve uluslararası kuruluşlar ulus-devlet destekli işyeri sahtekarlığıyla mücadelede nasıl bir rol oynamalıdır? Şirketlerin hileli işçilerle ilgili tehdit istihbaratını paylaşmasını veya hareket ettirmesini engelleyen yasal engeller var mı? Bunlar nasıl ele alınabilir?

İsimler, e-posta adresleri, IP adresleri gibi ayrıntılı bilgileri paylaşmak, onaylanmış DPRK’ye bağlı BT işçilerinin ve güncellenmiş TTP’lerin çalışma geçmişini iddia eden bu hızla büyüyen şemayı ele almak için en iyi modeldir. Tüm şirketler kendilerini bu dolandırıcılık planından korumak için mevcut kaynaklara sahip değildir ve bilgi paylaşımı topluluğa bir bütün olarak fayda sağlayacaktır. Devlet kuruluşlarının ve uluslararası kuruluşların işbirliği çağrısını yansıttığını gördük.

  • Amerika Birleşik Devletleri, Japonya ve Kore Cumhuriyeti, özellikle blockchain ve serbest çalışma endüstrilerinde özel sektör kuruluşlarına, siber tehdit azaltma önlemlerini daha iyi bilgilendirmek ve DPRK IT IT’yi işe alma riskini daha iyi bilgilendirmek için bu tavsiyeleri ve duyuruları incelemek için bir araya geldi. işçiler. Üç ülkenin kamu ve özel sektörleri arasında daha derin işbirliği, bu kötü niyetli aktörlerin siber suç operasyonlarını proaktif olarak bozmak, özel ticari çıkarları korumak ve uluslararası finansal sistemi güvence altına almak için gereklidir.
  • FBI, CISA ve ortakları, Temmuz 2024’te Kore Demokratik Halk Cumhuriyeti (DPRK) Keşif Genel Bürosu (RGB) 3. Bürosu ile ilişkili siber casusluk faaliyetini vurgulayan ortak bir siber güvenlik danışmanlığı yayınladı. Yazarlık ajansları, grubun ve siber tekniklerin, kendi ülkelerindeki ve Japonya ve Hindistan’daki kuruluşlar dahil ancak bunlarla sınırlı olmamak üzere dünya çapında çeşitli endüstri sektörleri için devam eden bir tehdit olarak kaldığına inanmaktadır.
  • BM Güvenlik Konseyi gibi uluslararası kuruluşlar, e-posta adresleri ve taktikler, teknikler ve tanımlanan DPRK-verimli BT işçileri için prosedürler de dahil olmak üzere bilgileri paylaşmıştır.

Şirketler, ulus-devlet destekli tehdit aktörleriyle çevrelerine rastladıklarında veya varlıklarından şüphelendiklerinde, en iyi sonraki adımları belirlemek için hukuk müşavirine (kurum içi veya dış) katılmaya hizmet ederler. Tipik olarak, kararın, kolluk meslektaşlarının duruma göre konuşmaya getirip getirmeyeceği ve bu en iyi, en iyi şekilde avukat-müvekkil ayrıcalığı altında gerçekleştirilen bireylere para göndermenin yasadışı olduğu göz önüne alındığında, en iyi şekilde gerçekleştirilmelidir. /varlıklar. Ayrıca, kayıplar veya beklenen kayıplar veya davalar varsa, veri ihlalleri ve sigortanın uygulanabilirliği konusunda da etkiler olabilir.

İşyerinde sahtekarlık veya içeriden gelen tehditler ortaya çıkarıldığında çalışanların psikolojik veya kültürel zorlukları nelerdir?

Dolandırıcılık ve içeriden gelen tehditler sadece iş operasyonlarını etkilemez, aynı zamanda güven, katılım ve işyeri kültürünü zayıflatabilirler. İçeriden tehdit veya istihdam sahtekarlığı yaşayan çalışanlar meslektaşlarına ve liderlerine güvenmeyebilir ve ayrıca durum etrafında korku, endişe ve stres duyguları sergileyebilir. Bu sıkıntı bir çalışanın performansını ve refahını etkileyebilir.

NISOS, kuruluşlara, misilleme veya intikam korkusu olmadan kuruluş güvenlik ekibine kırmızı bayrakları veya sahtekarlık ve içeriden gelen tehditleri bildirme konusunda güçlenmiş bir ortamı geliştirmelerini tavsiye eder. Fidye yazılımı ve kimlik avı saldırıları gibi diğer siber sahtekarlık planlarına benzer şekilde, çalışanların risk eğitimi ve en iyi uygulamalar bir kuruluşun güvenliğini sağlamaya yardımcı olur.

Siber güvenlik profesyonellerinin içeriden tehditler ve işyeri sahtekarlığı ile ilişkili riskler hakkında teknik olmayan ekipleri eğitmelerinin en iyi yolu nedir?

Hem teknik hem de teknik olmayan ekiplere benzersiz durumlarıyla ilgili önerilerde bulunulmalı ve her takımın ek soruşturma için kırmızı bayrakları tanımlama yeteneğine sahip olmasını sağlayacaktır. Bazı önerilerimiz şunlardır:

  • Çalışanların hassas bilgileri uygun şekilde ele almayı vurgulayan rollerine göre eğitim aldığından emin olun (örneğin, pazarlama için kimlik avı, finans için veri koruma, kişisel çalışan verilerinin korunması, güvenlik açıklarını önlemek için kod güvence altına alma).
  • Teknik olmayan ekipler, herhangi bir kırmızı bayrak yöneticilerine ve güvenlik ekiplerine bildirmek için eğitilmelidir. Bunu düzenli bir prosedür olarak belirlemek için, güvenlik ekipleri şirketin dört bir yanındaki çalışanları hangi kırmızı bayrak örnekleri ve bunları en iyi nasıl rapor edeceğiniz konusunda eğitmelidir.



Source link