Het probleem van nep-IT-medewerkers die met behulp van kunstmatige intelligentie (AI) valse cv’s fabriceren, sollicitatiegesprekken misleiden en zo toegang krijgen tot bedrijfsnetwerken, neemt toe. Deze ontwikkeling vormt een groeiend risico voor organisaties doordat zij toegang krijgen tot gevoelige systemen en data, zonder dat dit direct wordt opgemerkt.

Van grote Fortune 500-bedrijven tot kleinere organisaties worden de kwetsbaarheden in remote hiring-experimenten uitgebuit. Hierdoor krijgen personen die niet zijn wie ze beweren te zijn, vertrouwde toegang tot bedrijfsomgevingen, wat een insider threat kan veroorzaken. Naar schatting zijn er duizenden nep-IT-medewerkers actief in de Verenigde Staten die informatie, intellectueel eigendom en data kunnen stelen, werk kunnen outsourcen naar het buitenland, sabotage kunnen plegen of geld kunnen doorsluizen naar buitenlandse overheden. Amazon heeft bijvoorbeeld meer dan 1.800 pogingen van Noord-Koreaanse actoren geïdentificeerd en geblokkeerd om IT-functies te bemachtigen, en deze aantallen blijven stijgen, aldus Steve Schmidt, chief security officer van Amazon in een recent interview.

De tactieken van deze kwaadwillenden veranderen snel. Naast het fabriceren van valse profielen worden ook gestolen of gekochte legitieme Amerikaanse identiteiten ingezet. AI maakt het mogelijk om overtuigende deepfake-video’s te creëren en interviews met real-time AI-assistentie te doorstaan. Volgens Tom Hegel, threat researcher bij SentinelOne, gaat het niet om traditionele wervingsfraude, maar om een insider risk waarbij de eerste stap van de aanvaller is om daadwerkelijk aangenomen te worden. SentinelOne heeft ongeveer 360 valse persona’s en meer dan 1.000 sollicitaties gelinkt aan Noord-Koreaanse IT-operaties getraceerd zoals beschreven in hun onderzoek.

De nep-IT-medewerkers gebruiken gesynthetiseerde of gestolen identiteiten om cv’s en online profielen te creëren. Ze slagen in sollicitatiegesprekken door scripts, stand-ins of AI-ondersteunde antwoorden te gebruiken. Achtergrondcontroles bevestigen alleen wat hen wordt voorgelegd. Onderzoeken van Flashpoint hebben malware-infecties op hosts aangetroffen die HR- en vacatureportaal-inloggegevens bevatten, browsergeschiedenis met vertaalde coachingnotities, en ‘laptop farms’ die op afstand toegang bieden tot bedrijfsapparaten vanuit het buitenland. Ook worden schijnbedrijven ingezet om referentiecontroles te ondersteunen bij valse cv’s zoals Flashpoint rapporteert. Zodra de nepmedewerker is aangenomen, worden credentials verstrekt, apparatuur verzonden en toegang verleend, waardoor zij een vertrouwde insider worden.

Het risico is niet alleen het aannemen van een nepmedewerker, maar vooral het onbewust openen van systemen en gevoelige data voor kwaadwillende toegang. Wanneer een CIO vermoedt dat er sprake is van een nep-IT-medewerker, verschuift de focus van werving naar het managen van insider risico’s. George Gerchow, CSO bij Bedrock Data en voormalig MongoDB-medewerker, leidde een onderzoek nadat zijn organisatie ontdekte dat zij onbewust een Noord-Koreaanse IT-medewerker hadden aangenomen. Dit werd ontdekt na waarschuwingen over pogingen om endpointbescherming te verwijderen, wat het belang van voortdurende monitoring en incidentrespons onderstreept.