Kuzey Koreli sahte BT çalışanı sorunu her yerde

 (theregister.com)
1 puan yazan GN⁺ 2025-07-14 | 1 yorum | WhatsApp'ta paylaş
  • Kuzey Kore kökenli sahte BT iş başvurusu yapanlar sorunu, büyük şirketlerin çoğunda yaygın biçimde doğrulanmış durumda
  • Bu kişilerin sızma yöntemleri; yapay zeka, deepfake, sahte kimlikler ve daha fazlasını kapsıyor; hatta iç verilerin çalınması ve fidye taleplerine kadar uzanıyor
  • Son dönemde yalnızca ABD değil, Avrupalı şirketler de hedef alınıyor ve vakaların çoğu uzaktan çalışma pozisyonlarında görülüyor
  • Şirketler, işe alım sürecinde belge doğrulama, yüz yüze onboarding, gösterge (IoC) paylaşımı gibi çeşitli savunma stratejileri uygulamaya alıyor
  • Suç yöntemleri gelişip organize suça yayıldıkça, güvenlik-işe alım ekipleri iş birliği, eğitim ve insan güvenlik duvarı güçlendirmesi zorunlu hale geliyor

Genel bakış ve mevcut durum

  • Son dönemde Kuzey Kore bağlantılı sahte BT iş adayları sorunu, küresel büyük şirketlerde yaygın olarak yaşanıyor
  • Fortune 500 şirketlerindeki birçok CISO bu sorunla karşılaştığını belirtirken, Google, Snowflake gibi şirketlerin güvenlik sorumluları da iç işe alım süreçlerinde benzer vakaları doğruluyor
  • ABD Adalet Bakanlığı, son 6 yılda bunların yol açtığı zararın 88 milyon dolar seviyesine ulaştığını açıkladı
  • Bazı vakalarda bu kişilerin iç sistemlere erişim sağlayarak kaynak kodu ve gizli bilgileri çaldığı ve ardından fidye talep ettiği bildiriliyor
  • ABD şirketlerinin önlemleri artırmasıyla birlikte, şu anda Avrupa pazarını hedef alma da hızla artıyor

İşe alım sürecindeki ayırt edici eğilimler

  • Socure gibi şirketlerde son dönemde binlerce anormal başvuru birikiyor
  • LinkedIn profilleri yüzeysel ya da az bağlantılı olmasına rağmen deneyimleri çok parlak görünüyor; telefon numarası, e-posta ve VPN kullanımı gibi alanlarda tutarsızlıklar tespit ediliyor
  • Video mülakatlarda Batılı isim kullanıp Doğu Asyalı görünüm ve aksan sergileme gibi demografik uyumsuzluk örnekleri tekrar tekrar görülüyor
  • Aday yanıtlarının ChatGPT gibi yapay zeka araçlarının yanıtlarına benzediği çok sayıda durumda fark ediliyor
  • İlk izlenimde sıcak ve normal görünebiliyorlar, ancak derinlemesine incelemede çok sayıda şüpheli işaret ortaya çıkıyor

Güvenlik ve işe alım ekipleri arasında iş birliği ihtiyacı

  • İşe alım sorumlularının çoğu siber güvenlik veya kimlik yönetimi konusunda yeterli bilgiye sahip değil ve İK ile güvenlik ekipleri arasındaki iletişim eksikliği sorun yaratıyor
  • Netskope gibi şirketler, güvenlik, İK ve hukuk ekipleri arasında toplantılar ve yerel FBI bilgilendirmeleri dahil çok paydaşlı iş birliği yapıları kuruyor
  • Uzaktan çalışma ortamında, bilgisayar teslimi için çevrimdışı ziyaret ve adres doğrulaması gibi fiziksel doğrulama süreçleri önemli rol oynuyor
  • Belge doğrulama talep edildiğinde sahte adayların başvuruyu yarıda bırakması da tekrar eden bir gözlem

Yapay zeka ve bilgi paylaşımına dayalı karşı önlemler

  • Yapay zeka, deepfake gibi yeni teknolojilerin kötüye kullanımı artıyor; ancak Snowflake gibi şirketler IoC (ihlal göstergesi) veri kümeleri oluşturarak ve ortaklarla bilgi paylaşarak buna karşılık veriyor
  • IoC'ler arasında e-posta adresleri, gerçek adresler ve telefon numaraları gibi sahteciliğe açık bilgiler yer alıyor
  • İnsan güvenlik duvarı (işe alım görevlilerinin eğitimi) yaklaşımıyla özgeçmiş abartısı, mülakat yanıtlarında gecikme, teknik kavramları karıştırma ve çağrı merkezi benzeri ortamlar gibi ipuçlarını fark etme yöntemleri öğretiliyor
  • Sonuç olarak, yüz yüze mülakat yapılması ve zorunlu bir neden olmaksızın yüz yüze görüşemeyeceğine dair mazeretler güçlü bir şüphe nedeni sayılıyor
  • Şirketler, iş ortakları ve kamu kurumları arasındaki iş birliği sayesinde ön tarama aşamasında şüpheli adayların daha en baştan engellenmesi hedefleniyor

Örgütlenme ve suçlaşmanın yayılma görünümü

  • Suç örgütleri, kârlı olduğu kanıtlanan yöntemleri hızla taklit edip yayma eğiliminde
  • Bu durumun yalnızca Kuzey Kore öncülüğündeki bir olgu olarak kalmayıp başka ülkeler ve organize suç ağlarına da yayılma ihtimali yüksek
  • Tüm işe alım süreçlerinde güvenlik ile işe alım ekipleri arasındaki iş birliğinin güçlendirilmesi ve güncel vaka eğitimlerinin verilmesi ihtiyacı büyüyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-07-14
Hacker News yorumu

  • Yüz yüze kimlik doğrulama sürecini zorunlu yapmanın bu tür sorunları önleyebileceğini düşünüyorum

  • LinkedIn’de sadece 25 bağlantısı olan profillere bakıp gerçek/sahte ayrımı yapıldığından söz ediliyor ama aslında ele geçirilmiş LinkedIn hesapları da var Bir iş arkadaşımın hesabı ele geçirilmişti ve 1.000’den fazla gerçek bağlantısı vardı Fotoğrafı ve adı Doğu Asyalı görünecek şekilde değiştirilmişti, CV’si de ABD savunma yüklenicilerinde çalışmış gibi düzenlenmişti Neyse ki otomatik hesap kilitleme sayesinde fark edildi ama bu durumun uzun süre fark edilmeden kalmış olması da mümkündü Binlerce kişiyle bağlantısı olan biri bile tüm ağındaki herkesi tek tek hatırlamaz, isim değişikliği bildirimi de gelmiyor; bu yüzden böyle ele geçirilmiş profillerin Kuzey Koreli BT çalışanlarına satılıp kötüye kullanılması gayet mümkün

    • Benim gibi hiç LinkedIn hesabı olmayan pek çok insan da var “Dizüstü bilgisayarı bizzat gelip teslim alman gerekiyor” şeklindeki fiziksel doğrulama fikrinin çok daha etkili olduğunu düşünüyorum

  • Jeff Geerling kısa süre önce FBI’dan kendisiyle iletişime geçildiğini paylaştı; konu, Kuzey Koreli sahte BT iş adaylarının stratejik olarak kullandığı mini KVM cihazlarıydı ilgili video

    • Buradaki KVM cihazlarının birden fazla dizüstü bilgisayara bağlandığını ve insanların evlerinin bodrumunda ya da odalarında fiilen çalıştırıldığını duydum Birileri şirket tarafından verilen her dizüstü bilgisayar için aylık belli bir ücret alıyor, o dizüstüne küçük bir KVM takıyor ve uzaktaki çalışanın bağlanmasını sağlıyor Bu süreçte takibi çok daha zor hale geliyor

    • Çok bilmiyor olabilirim ama KVM tam olarak ne yapan bir cihaz? Sadece Ethernet ve HDMI portları olup uzaktan kontrol sağlamaya mı yarıyor? Bir de Kuzey Korelilerin gerçekten başkalarının evine girip bunu taktığı sanki yaygın bir şeymiş gibi anlatılıyor ama bunu pek gözümde canlandıramıyorum FBI’ın neden Jeff Geerling’le iletişime geçtiğini de anlamıyorum Açıkçası ben KVM’i sadece Linux kernel virtualization anlamında biliyordum

  • “ABD’li BT şirketleri sahte başvuranları yakalamada daha iyi hale geldikçe, Avrupa şirketleri yeni hedef oluyor” deniyordu ABD’de çalıştığım tüm şirketler kimliğimi çok sıkı şekilde doğruladı Neredeyse hepsi arka plan kontrolünü standart olarak yapıyordu Avrupa şirketleri ise biraz daha gevşek görünüyor

    • ABD şirketlerinin arka plan kontrolleri bazen mahremiyeti ihlal edecek kadar ileri gidebiliyor Örneğin işe alımdan önce kredi durumunu, kredi kartı/araba/ev borçlarının kalanını, aylık ödemeleri ve son 7 yıldaki maaşların tamamını görmek istemeleri çok fazla Bence bu aşırıya kaçıyor Benim tüm durumumu bildikleri için maaş pazarlığında da dezavantaj yaratıyor

    • Şirketlerde gerçekten birine “Kimliğini kullanmama izin verir misin?” diye teklif götürüldüğü durumlar da bildiriliyor Görünüşte o kişi kullanılıyor ama gerçek işi başkaları yapıyor ve maaş paylaşılıyor Elbette çok riskli ve yasa dışı yönleri var ama yine de kolay para kazanmak isteyen epey kişi çıkıyor

    • Avrupa’daki birçok şirket ya hiç uzaktan çalışmaya izin vermiyor ya da bunu çok nadiren sunuyor; görüntülü ya da telefonla mülakat yapsalar bile neredeyse her zaman yüz yüze görüşme istiyorlar Bu yüzden en azından ilgili ülkede gerçekten yaşıyor olman beklentisi temel kabul oluyor Ayrıca yerel dili kullanabilme şartı da olabiliyor; bu nedenle Kuzey Koreli BT çalışanlarının bu süreçleri geçmesi çok daha zor

    • Arka plan kontrolleri de kusursuz değil Özgeçmiş sahte kimlikle hazırlanmış olabilir ve bir Amerikalının kimliği satın alınıp kullanılabilir Bu, I-9 kimlik doğrulamasını aşmanın neredeyse tek yolu Arka plan kontrolünün türü de değişiyor; bazı şirketler önceki iş yerlerinin doğrulanması gibi zahmetli süreçleri tamamen atlıyor Referans kontrolü de anlamsız olabiliyor çünkü referansın kendisi de uydurulabiliyor Sonuçta referansların da ayrıca doğrulanması gerekiyor

    • Bu da dolandırıcılığın bir türü Yeni göç etmiş bir ABD sakiniysen arka plan kontrolünü bile sorunsuz geçebilirsin Yaygın yöntemlerden biri, sahte diploma ve deneyimle sözleşmeli yazılım geliştirici olarak işe girip işi gece boyunca Asya’ya outsource etmek ChatGPT’nin yardımıyla, sadece monitörün fotoğrafını çekerek metne dönüştürmek mümkün olduğu için uzaktan çalışma daha da kolaylaştı Hatta kendi işinin bir kısmını dışarıya veren geliştiriciler de yaygın; bu şekilde aynı anda birden fazla yerde çalışan insanlar bile var

  • Bu dolandırıcılar gerçekten işe girmeyi başarırlarsa sonraki amaçlarının ne olduğunu merak ediyorum Endüstriyel casusluk gibi istihbarat mı topluyorlar, gerçekten verilen işi de yapıyorlar mı, yoksa girer girmez mümkün olduğunca çok veri ya da para çalıp yakalanınca kaçıyorlar mı; BT işini yapabilecek becerileri var mı, her şeyi merak ediyorum

    • Yazıda, şirket verisini ya da kaynak kodunu rehine alıp fidye isteyen vakalardan da söz ediliyor Kuzey Kore bağlantılı olmasalar bile, temel strateji olabildiğince çok şirkette maaş alıp yakalanınca yeni bir şirkete geçmek Bazıları normalde bir iki aydan fazla dayanamaz ama yöneticinin ilgisiz olduğu yerlerde birkaç saat çalışıp birden fazla yerden maaş alanlar da oluyor Bu şekilde kısa vadeli kazanç toplayıp, tüm ekip işten çıkarılınca yeniden iş piyasasına dönüyorlar

  • Bir yerde gördüğüm bir tweete göre, başvurana Kim Jong-un’u eleştirmesini söylersen Kuzey Kore bağlantılı olup olmadığını anlayabiliyormuşsun

    • Bu, bir iki denemeden sonra etkisiz hale getirilebilecek bir yöntem Eğer ben casus olsaydım ya da gizli bir operasyonda olsaydım, örgütüm bana ne söylemem gerekiyorsa onu söyletirdi

    • Biri bana Kim Jong-un’u eleştir dese, konuşmayı orada bitiririm Ben eleştiriyi istediğim zaman özgürce yaparım Böyle bir yaklaşım gerçek adayı eleme riski de taşır

    • Gerçekte bu tür taramalar yaygınlaşırsa, bazıları “tamam, yakalandım” diye düşünüp ya da riskin arttığını görüp kendiliğinden vazgeçebilir E-posta dolandırıcılarının bilerek kötü dilbilgisi kullanmasına benzer şekilde, baştan zor hedefleri ayıklayıp sadece kolay vakaların peşine düşmek gibi bir strateji olabilir

    • Bu tür sorular çok dikkatli ele alınmalı Irkı ya da göçmenlik statüsü ne olursa olsun tüm adaylara aynı sorunun sorulduğuna dair kayıt bırakılmalı Hatta güvenli olmak için Asyalı olmayanlara veya ana dili İngilizce olan Batılı adaylara da bunu sormak gerekebilir, çünkü Kuzey Kore ileride vekil kişiler ya da dışarıdan başkalarını başvuru için kullanmaya yönelebilir

  • Bu vakaların sürekli ortaya çıkması bana ilginç geliyor Ben sıradan ve iyi biri olmama rağmen düzgün bir iş bulmakta zorlanıyorum Ama bu sahte adayların art arda işe alınması aklım almıyor Şirketler tam olarak ne yapıyor merak ediyorum

    • Bu insanlar daha başvurudan itibaren yalan söylüyor Kimlik çalıyorlar, deneyim uyduruyorlar, referansları sahte, LinkedIn hesapları ele geçirilmiş Dolandırıcılık ve mülakat konusunda uzmanlaşmış profesyoneller Bunlar için iş bulmak bir geçim modeli olduğu için örgütlü hareket ediyorlar ve bir şekilde işe girmeyi başarıyorlar Ayrıca işin kalitesini de umursamıyorlar; girebildikleri yerde mümkün olduğunca uzun süre kalmaya çalışıyorlar Birçok şirkette bu durum yıllarca sürebiliyor

  • İlk çalışma haftasını tamamen ofisten zorunlu yapsak nasıl olur? Bunu onboarding bahanesiyle de kolayca sunabiliriz, o zaman bu sorunun çözüleceğini düşünüyorum

    • Her şirketin ofisi yok Benim önceki işyerimde ofis, ben başladıktan 6 ay sonra açıldı ve ülke içindeki çalışanların yarısından fazlası için ofise ulaşmak 3-4 saat sürüyordu Gerçekte ekip arkadaşlarımın yalnızca bir kısmını yüz yüze gördüm, geri kalanı dünyanın üç kıtasına dağılmıştı

    • Covid sonrası tamamen uzaktan çalışma ve tamamen uzaktan işe alım yaygınlaştığı için, pratikte yüz yüze onboarding hızla ortadan kalktı Ama artık bu sorunlara dair farkındalık arttıkça yüz yüze mülakat ve ofisten başlama yeniden standart haline gelebilir

    • Mümkün Tıpkı herkes iyi parola kullansa güvenliğin artacak olması gibi Ama gerçekte birçok şirket bunu hâlâ yapmıyor Bir başka neden de ilk haftayı ofiste zorunlu tutmanın yetenek havuzunu daraltması Bugünlerde zorunlu ofise dönüş ve 100 saat çalışma gibi bir hava var ama yine de bunun eksileri var

    • Çalıştığım bir yerde 3 ay boyunca ofise gelmek zorunluydu Ofis dediğin de küçücük bir stüdyo daire kadardı ama amaca ulaşmak için yeterliydi

    • İlk haftayı ofiste zorunlu kılmanın işleri daha iyi hale getireceğini düşünüyorum Tabii buna rağmen bir sürü bahane uydururlar ya da sadece belli yemekleri DoorDash’ten söylemek isterler gibi mazeretler üretirler

  • Bir iş arkadaşımın en azından böyle biri olmasını tercih ederdim diye düşündüğüm oldu

  • Bir tuhaflık var Geliştiriciler yüzlerce yere başvurup zar zor bir mülakat alabilirken, İngilizcesi zayıf Kuzey Koreli BT çalışanları sürekli iş buluyor LinkedIn’de yakında en üst lideri övmek gerekecek herhalde

    • Dolandırıcılıkta gerçekten iyi olmak gerekiyor Bunlar profesyonel düzeyde yalan söylüyor, aday akışı bulma, işe sokma, mülakat yönetimi gibi roller arasında iş bölümü yapıyorlar Ayrıca çok fazla otomasyon kullanıp verimlerini ciddi biçimde artırıyorlar Bireysel geliştirici ise başvuru noktalarında, özgeçmişte, mülakatta defalarca eleniyor ve yalan söylememeye çalıştığı için başarı ihtimali düşüyor Ama bu dolandırıcılık örgütleri gün boyu sadece bunu yaptığı için giderek daha iyi hale geliyor Gerçek geliştirici işi bulunca artık iş aramayı bırakıyor; dolandırıcı ise iş bulma tekniğini sürekli keskinleştiriyor

    • Bunlar gerçek dünyanın kısıtlarını umursamıyor Özgeçmişe Harvard mezunu, Meta deneyimi gibi her şeyi yazıyorlar Sonra işe alımcı da böyle özgeçmişleri dikkat çekici bulup benimkinden üst sıraya koyuyor

    • Ben de tuhaf e-posta adreslerinden birkaç kez “Sana işi ben kazandırırım, mülakatı sen yap, gerisini biz hallederiz. Sahte isim ve büyük para garanti” tarzı mailler aldım Bu noktada özgeçmişimin bu tür dolandırıcılıklara hedef olacak kadar iyi olduğu sonucuna varıyorum Ama bu yöntem fazla özensiz bir dolandırıcılık; mühendislerin %99’u böyle mailleri ciddiye almaz ya da hemen yok sayar

    • Aslında bu kişiler gerçekten işe girmekten çok, sadece mülakat aşamasını geçebiliyor olabilir

    • Muhtemelen birden fazla kimlik kullanıyorlar