Vấn đề nhân sự IT giả mạo từ Triều Tiên tồn tại ở khắp mọi nơi

 (theregister.com)
1 điểm bởi GN⁺ 2025-07-14 | 1 bình luận | Chia sẻ qua WhatsApp
  • Vấn đề ứng viên IT giả mạo có xuất xứ từ Triều Tiên đã được xác nhận rộng rãi tại hầu hết các tập đoàn lớn
  • Cách thức xâm nhập của họ rất đa dạng, gồm AI, deepfake, danh tính giả mạo, và thậm chí còn dẫn tới đánh cắp dữ liệu nội bộ cũng như đòi tiền chuộc
  • Gần đây, không chỉ Mỹ mà cả các công ty châu Âu cũng đang trở thành mục tiêu, và phần lớn xảy ra ở các vị trí làm việc từ xa
  • Các doanh nghiệp đang áp dụng nhiều chiến lược phòng vệ trong quy trình tuyển dụng như xác minh tài liệu, onboarding trực tiếp, và chia sẻ chỉ dấu xâm nhập (IoC)
  • Khi thủ đoạn tội phạm ngày càng tiến hóa và lan rộng thành tội phạm có tổ chức, việc tăng cường hợp tác giữa đội ngũ bảo mật và tuyển dụng, đào tạo, cùng “tường lửa con người” trở nên thiết yếu

Tổng quan và tình hình hiện tại

  • Gần đây, vấn đề ứng viên IT giả mạo có liên hệ với Triều Tiên đang xuất hiện phổ biến tại các tập đoàn lớn trên toàn cầu
  • Nhiều CISO của các công ty Fortune 500 cho biết họ đã gặp vấn đề này, và các phụ trách bảo mật tại Google, Snowflake cũng xác nhận đã phát hiện các trường hợp tương tự trong quy trình tuyển dụng nội bộ
  • Bộ Tư pháp Mỹ công bố rằng trong 6 năm gần đây, thiệt hại do nhóm này gây ra đã lên tới 88 triệu USD
  • Trong một số trường hợp, đã có báo cáo cho thấy họ lợi dụng quyền truy cập vào hệ thống nội bộ để đánh cắp mã nguồn và thông tin mật cũng như đòi tiền chuộc
  • Khi doanh nghiệp Mỹ tăng cường cảnh giác, xu hướng nhắm mục tiêu sang thị trường châu Âu hiện cũng đang tăng mạnh

Những xu hướng đặc trưng trong quy trình tuyển dụng

  • Tại các công ty như Socure, gần đây có hàng nghìn hồ sơ ứng tuyển bất thường đổ về
  • Hồ sơ LinkedIn thường sơ sài hoặc có ít kết nối nhưng lại thể hiện kinh nghiệm quá hào nhoáng; đồng thời cũng xuất hiện nhiều điểm bất nhất về số điện thoại, email, việc sử dụng VPN
  • Trong phỏng vấn video, liên tục xuất hiện các trường hợp không khớp về mặt nhân khẩu học như dùng tên kiểu phương Tây nhưng ngoại hình hoặc giọng nói lại là người Đông Á
  • Nhiều câu trả lời của ứng viên được phát hiện là tương tự phản hồi từ ChatGPT và các công cụ AI khác
  • Bề ngoài họ có thể tạo cảm giác thân thiện và bình thường, nhưng khi xác minh sâu hơn thì xuất hiện nhiều dấu hiệu đáng ngờ

Sự cần thiết của hợp tác giữa đội bảo mật và tuyển dụng

  • Phần lớn người phụ trách tuyển dụng thiếu kiến thức về an ninh mạng hoặc quản lý danh tính, và việc thiếu giao tiếp giữa HR với đội bảo mật là một vấn đề lớn
  • Các công ty như Netskope đang xây dựng cơ chế hợp tác đa bên như họp giữa bộ phận bảo mật, HR, pháp lý, cùng các buổi briefing với FBI địa phương
  • Trong môi trường làm việc từ xa, các bước xác minh thực tế như đến nhận PC trực tiếp hoặc xác minh địa chỉ phát huy vai trò quan trọng
  • Cũng thường xuyên quan sát thấy hiện tượng ứng viên giả mạo bỏ cuộc giữa chừng khi bị yêu cầu xác minh tài liệu

Phương án ứng phó với AI và chia sẻ thông tin

  • Dù số vụ lạm dụng công nghệ mới như AI, deepfake đang tăng lên, các công ty như Snowflake vẫn ứng phó bằng cách xây dựng bộ dữ liệu IoC (chỉ dấu xâm nhập) và chia sẻ thông tin với đối tác
  • IoC bao gồm các thông tin dễ bị làm giả như email, địa chỉ thực, số điện thoại
  • Với chiến lược “tường lửa con người” (đào tạo nhân viên tuyển dụng), doanh nghiệp trang bị cách phát hiện các dấu hiệu như CV thổi phồng, trả lời phỏng vấn chậm, nhầm lẫn kỹ thuật, hay âm thanh giống môi trường tổng đài
  • Cuối cùng, phỏng vấn trực tiếp và việc viện cớ không thể gặp mặt trực tiếp vì những lý do bất khả kháng được xem là căn cứ nghi ngờ mạnh
  • Thông qua hợp tác giữa doanh nghiệp, đối tác và cơ quan chính phủ, có thể chặn ngay từ khâu sàng lọc trước các ứng viên đáng ngờ xâm nhập vào quy trình

Triển vọng lan rộng thành mô hình có tổ chức và tội phạm hóa

  • Các tổ chức tội phạm có xu hướng nhanh chóng bắt chước và nhân rộng khi một thủ đoạn sinh lợi được chứng minh
  • Hiện tượng này không chỉ giới hạn ở các hoạt động do Triều Tiên dẫn dắt mà còn có khả năng lan sang các quốc gia khác và cả tội phạm có tổ chức
  • Trong toàn bộ quy trình tuyển dụng, nhu cầu tăng cường hợp tác giữa đội bảo mật và tuyển dụng cùng việc đào tạo theo các vụ việc mới nhất đang ngày càng lớn

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-07-14
Ý kiến trên Hacker News

  • Tôi nghĩ có thể ngăn kiểu vấn đề này nếu bắt buộc quy trình xác minh danh tính trực tiếp

  • Người ta nói có thể phân biệt thật/giả qua các hồ sơ LinkedIn chỉ có 25 kết nối, nhưng thực ra cũng có cả tài khoản LinkedIn bị hack. Tài khoản của một đồng nghiệp tôi từng bị chiếm quyền, với hơn 1.000 mối quan hệ có thật. Ảnh và tên bị đổi sang kiểu Đông Á, CV cũng bị sửa thành từng làm cho một nhà thầu quốc phòng Mỹ. May là bị phát hiện nhờ tính năng tự động khóa tài khoản, nhưng hoàn toàn có thể đã bị bỏ mặc trong tình trạng đó suốt một thời gian dài. Dù là người có kết nối với hàng nghìn người thì cũng không thể nhớ từng mối quan hệ một, lại chẳng có thông báo đổi tên, nên hoàn toàn có khả năng những hồ sơ bị hack kiểu này bị bán cho nhân lực IT Triều Tiên để lạm dụng

    • Cũng có nhiều người như tôi là không có tài khoản LinkedIn ngay từ đầu. Tôi nghĩ ý tưởng xác minh ngoại tuyến kiểu “phải tự đến nhận laptop” hiệu quả hơn nhiều

  • Jeff Geerling gần đây chia sẻ trải nghiệm được FBI liên hệ, nội dung là về các thiết bị mini KVM mà những người xin việc trá hình trong mảng IT của Triều Tiên sử dụng một cách có chiến lược. Video liên quan

    • Nghe nói ở đây thiết bị KVM được nối vào nhiều laptop, rồi thực sự được vận hành trong tầng hầm hoặc phòng ở nhà người khác. Ai đó sẽ nhận một khoản tiền hàng tháng cho mỗi chiếc laptop do công ty cấp, rồi cắm một KVM nhỏ vào để người lao động từ xa truy cập. Quá trình này khiến việc truy vết khó hơn nhiều

    • Tôi không rành lắm nên hỏi thật, KVM chính xác là thiết bị làm gì vậy? Có phải chỉ cần có cổng Ethernet và HDMI là điều khiển từ xa được không? Và người ta cứ nói như thể người Triều Tiên thường xuyên đột nhập vào nhà người khác để cắm cái này vào, nghe khá khó hình dung. Tôi cũng không hiểu vì sao FBI lại liên hệ Jeff Geerling. Thành thật mà nói trước giờ tôi chỉ biết KVM với nghĩa là Linux kernel virtualization

  • Có đoạn nói rằng “khi các công ty IT ở Mỹ bắt đầu giỏi hơn trong việc phát hiện ứng viên giả, thì doanh nghiệp châu Âu giờ đang trở thành mục tiêu mới”. Tất cả các công ty tôi từng làm ở Mỹ đều xác minh danh tính của tôi rất kỹ. Hầu như công ty nào cũng mặc định làm background check. Có vẻ công ty châu Âu lỏng hơn một chút

    • Background check ở công ty Mỹ đôi khi quá mức đến mức xâm phạm đời tư của tôi. Ví dụ trước khi tuyển còn yêu cầu kiểm tra tín dụng, dư nợ còn lại của thẻ, xe, nhà, số tiền trả hàng tháng, thậm chí cả mức lương 7 năm gần nhất. Tôi thấy như vậy là quá đáng. Họ biết hết hoàn cảnh của tôi nên cả việc đàm phán lương cũng bất lợi

    • Thực sự có những trường hợp doanh nghiệp đề nghị ai đó kiểu “bạn có muốn cho chúng tôi mượn danh tính của bạn không?”. Bề ngoài thì dùng người đó, còn công việc thực tế là họ làm. Tiền lương thì chia nhau. Đương nhiên chuyện này cực kỳ rủi ro và có nhiều yếu tố bất hợp pháp, nhưng vẫn có khá nhiều người muốn kiếm tiền dễ dàng

    • Nhiều công ty châu Âu hầu như không cho làm việc từ xa, hoặc rất hiếm. Nếu có phỏng vấn qua video hay điện thoại thì gần như lúc nào cũng yêu cầu phỏng vấn trực tiếp. Vì vậy tối thiểu họ mặc định ứng viên thực sự đang sống trong quốc gia đó. Họ cũng yêu cầu khả năng sử dụng ngôn ngữ địa phương, nên nhân lực IT Triều Tiên khó vượt qua quy trình này hơn nhiều

    • Background check cũng không hoàn hảo. Hồ sơ xin việc có thể là danh tính bị giả mạo, hoặc họ có thể mua danh tính của người Mỹ để dùng. Đây gần như là cách duy nhất để vượt qua xác minh danh tính I-9. Kiểu background check cũng rất đa dạng, nên nhiều công ty bỏ hẳn những thủ tục rườm rà như xác minh nơi làm việc trước đây. Kiểm tra người giới thiệu cũng vô nghĩa, vì bản thân người giới thiệu cũng có thể bị làm giả. Cuối cùng thì ngay cả người giới thiệu cũng cần được xác minh danh tính

    • Đó là một dạng lừa đảo. Nếu là người nhập cư mới đến Mỹ thì thậm chí có thể qua cả background check. Một thủ đoạn phổ biến là dùng bằng cấp và kinh nghiệm giả để xin vào làm lập trình viên hợp đồng, rồi qua đêm outsource công việc sang châu Á. Với sự trợ giúp của ChatGPT, chỉ cần chụp ảnh màn hình cũng chuyển thẳng thành văn bản nên làm việc từ xa còn dễ hơn. Thậm chí cũng có nhiều lập trình viên tự outsource một phần việc của mình ra ngoài, và có cả những người làm nhiều nơi cùng lúc theo kiểu đó

  • Tôi tò mò là nếu những kẻ lừa đảo này thật sự xin được việc thì mục tiêu tiếp theo của chúng là gì. Chúng chỉ thu thập thông tin như gián điệp công nghiệp thôi, hay cũng làm luôn công việc được giao, hay là vào công ty xong thì tranh thủ lấy cắp càng nhiều dữ liệu hay tiền càng tốt rồi bị phát hiện thì bỏ chạy, và bản thân chúng có năng lực làm IT hay không. Tôi thấy cái gì cũng đáng thắc mắc

    • Bài viết có nhắc đến cả những trường hợp lấy dữ liệu công ty hoặc mã nguồn làm con tin để đòi tiền chuộc. Kể cả không thuộc Triều Tiên, chiến lược cơ bản vẫn là nhận lương từ càng nhiều công ty càng tốt rồi khi bị phát hiện thì chuyển sang công ty mới. Bình thường có nơi chỉ trụ được một hai tháng, nhưng cũng có trường hợp quản lý ít để ý nên chỉ làm vài giờ mà vẫn lĩnh lương từ nhiều nơi không gặp vấn đề gì đặc biệt. Kiểu này là rút lợi nhuận ngắn hạn, rồi nếu cả đội bị tái cơ cấu thì lại quay về thị trường tuyển dụng

  • Tôi thấy một tweet nói rằng có thể bảo ứng viên chỉ trích Kim Jong-un để lọc xem có phải người Triều Tiên hay không

    • Cách này chỉ cần thử một hai lần là nhanh chóng mất tác dụng. Nếu tôi là gián điệp hay đang làm nhiệm vụ bí mật, tôi nghĩ tổ chức của mình hẳn sẽ bắt tôi nói bất cứ điều gì cần nói

    • Nếu ai đó bảo tôi thử chỉ trích Kim Jong-un, thì tôi sẽ kết thúc cuộc trò chuyện ngay tại đó. Tôi chỉ chỉ trích khi chính tôi muốn. Làm vậy khéo còn loại nhầm cả ứng viên thật

    • Nếu kiểu sàng lọc này trở nên phổ biến, cũng có khả năng họ sẽ tự nghĩ “à, mình bị lộ rồi” hoặc thấy rủi ro tăng lên nên tự rút lui. Giống như lý do bọn lừa đảo email cố tình viết ngữ pháp vụng về: chiến lược là loại nhanh những mục tiêu khó, chỉ nhắm vào các ca dễ ngay từ đầu

    • Cần cực kỳ cẩn trọng với kiểu câu hỏi này. Phải có bằng chứng là tất cả ứng viên đều bị hỏi giống nhau, bất kể chủng tộc hay tình trạng nhập cư. Trên thực tế, an toàn nhất là hỏi cả những người không phải châu Á hoặc cả người bản ngữ Anh-Mỹ, vì Triều Tiên sau này cũng có thể chuyển sang thuê người đại diện hoặc người ngoài nộp đơn thay

  • Thật lạ là những trường hợp như thế này cứ liên tục xuất hiện. Tôi thì là người bình thường, tử tế mà vẫn khó tìm được việc tốt. Vậy mà những ứng viên giả này lại được tuyển hết người này đến người khác, thật không hiểu nổi các công ty đang làm gì

    • Ngay từ đơn ứng tuyển họ đã là dối trá rồi. Trộm danh tính, bịa kinh nghiệm, làm giả người giới thiệu, hack LinkedIn. Họ là những chuyên gia chuyên về lừa đảo và phỏng vấn. Vì có cả tổ chức coi chuyện xin việc là kế sinh nhai nên bằng cách nào đó họ vẫn kiếm được việc. Họ cũng chẳng quan tâm chất lượng công việc, chỉ cố trụ càng lâu càng tốt ở nơi nào có thể. Ở nhiều công ty, chuyện này có thể kéo dài nhiều năm

  • Nếu bắt buộc tuần đầu tiên phải làm việc trực tiếp thì sao? Có thể dễ dàng gói ghém dưới danh nghĩa onboarding, và tôi nghĩ như vậy sẽ giải quyết được vấn đề này

    • Không phải công ty nào cũng có văn phòng. Chỗ làm cũ của tôi phải sau 6 tháng từ khi tôi vào mới có văn phòng, và hơn một nửa nhân sự trong nước cũng phải đi 3–4 tiếng mới tới nơi. Thực tế tôi chỉ từng gặp trực tiếp một số thành viên trong nhóm, còn lại phân tán trên 3 châu lục trên toàn thế giới

    • Sau COVID, làm việc hoàn toàn từ xa và tuyển dụng hoàn toàn từ xa đã trở nên phổ biến, nên onboarding trực tiếp trên thực tế đã nhanh chóng biến mất. Nhưng giờ nhận thức về kiểu vấn đề này đang tăng lên, nên rất có thể phỏng vấn trực tiếp và đi làm tại chỗ sẽ lại trở thành tiêu chuẩn

    • Làm vậy được thôi. Nó giống như chuyện mọi người đều dùng mật khẩu tốt thì sẽ tốt cho bảo mật. Thực tế là nhiều công ty vẫn chưa làm như vậy. Một lý do khác là bắt buộc hiện diện trực tiếp trong tuần đầu sẽ làm thu hẹp nguồn ứng viên. Dù bây giờ có xu hướng ép quay lại văn phòng, làm 100 giờ một tuần, thì chuyện đó vẫn có nhược điểm

    • Chỗ tôi từng làm thì bắt buộc lên văn phòng suốt 3 tháng đầu. Văn phòng thực ra chỉ cỡ một căn studio nhỏ, nhưng cũng đủ để đạt mục tiêu

    • Tôi nghĩ bắt buộc làm trực tiếp trong tuần đầu sẽ giúp cải thiện hơn. Tất nhiên ngay cả vậy thì họ vẫn sẽ bịa đủ kiểu lý do, hoặc vin vào cớ như chỉ ăn đồ gọi qua DoorDash chẳng hạn

  • Nghĩ cũng buồn cười là có khi tôi lại mong một đồng nghiệp nào đó thuộc kiểu này còn hơn

  • Có gì đó rất lạ. Lập trình viên nộp vài trăm chỗ may ra mới được một cuộc phỏng vấn, trong khi nhân lực IT Triều Tiên tiếng Anh cũng không giỏi lắm mà vẫn liên tục kiếm được việc. Chắc trên LinkedIn giờ còn phải ca ngợi lãnh tụ tối cao nữa quá

    • Muốn lừa đảo thành công thì phải là người cực giỏi lừa. Họ nói dối rất chuyên nghiệp, có phân vai riêng cho việc tìm pipeline ứng viên, đội giúp qua tuyển chọn, xử lý phỏng vấn, v.v. Họ cũng dùng rất nhiều tự động hóa nên hiệu suất tăng mạnh. Một lập trình viên cá nhân thì ở từng điểm nộp đơn, CV, phỏng vấn đều bị sàng lọc hàng chục lần và lại không định nói dối, nên xác suất thành công thấp. Nhưng các tổ chức lừa đảo này thì chỉ làm đúng một việc đó cả ngày nên càng ngày càng giỏi. Lập trình viên thật khi tìm được việc thì không còn đi xin nữa, còn kẻ lừa đảo thì tiếp tục mài giũa kỹ năng xin việc

    • Họ không bị ràng buộc bởi giới hạn ngoài đời thật. Trong CV có thể ghi nào là Harvard, từng làm ở Meta, đủ loại kinh nghiệm. Và nhà tuyển dụng thấy các hồ sơ đó nổi bật nên xếp lên trên CV của tôi

    • Tôi cũng nhiều lần nhận được email từ các địa chỉ lạ kiểu “tôi sẽ kiếm việc cho bạn, bạn chỉ cần đi phỏng vấn, còn lại chúng tôi lo hết. Tên giả và số tiền lớn được đảm bảo”. Đến mức tôi kết luận chắc CV của mình đủ tốt nên dễ lọt vào tầm ngắm của kiểu lừa đảo này. Nhưng cách này quá cẩu thả, 99% kỹ sư sẽ chẳng bận tâm hoặc bỏ qua ngay

    • Thực ra có lẽ những người này không hẳn giành được việc, mà chỉ ở mức qua được đến vòng phỏng vấn thôi

    • Có lẽ họ đang dùng nhiều danh tính khác nhau