虚假IT从业者(用假身份混进企业IT岗位的伪装者/间谍/欺诈者)正利用AI伪造简历、通过面试,并获取企业系统的远程访问权限,应对这一日益严重的问题,需要各方协同努力。
近年来,雇佣虚假IT从业者已成为一个日趋严重的问题——但这往往是一个极少有人愿意承认的问题。从财富500强企业到小型机构,远程招聘流程已被利用,向身份造假者授予了可信访问权限,从而构成了内部威胁风险。
据估算,目前在美国有数千名虚假IT从业者,他们有能力窃取信息、知识产权和数据,将工作外包至海外,实施破坏活动,或将资金转移至外国政府。
据亚马逊的首席安全官Steve Schmidt透露,亚马逊已识别并拦截了超过1800次来自朝鲜的IT岗位求职尝试——而且这一数字还在不断上升。
在某些情况下,个人冒充美国员工以谋取私利,而在另一些情况下,来自朝鲜等国家的国家级操作人员则以IT从业者的身份出现,为国家谋取经济利益并服务于其他不可告人的目的。
AI如今正使深度伪造、更具说服力的视频面试以及快速身份轮换成为可能。
Schmidt还警告称,对手的战术也在转变——从伪造个人资料转向购买合法的美国身份。
SentinelOne的杰出威胁研究员Tom Hegel表示:"这并非传统意义上的'招聘骗局'。这是一个内部风险问题,对手的第一步就是先被录用。"
CIO、首席信息安全官(CISO)及其他IT领导者需要时刻警惕虚假和欺诈性IT从业者,但企业往往在不知不觉中就成了受害者。
虚假员工是如何蒙混过关的
招聘流程中不存在单一的失效环节,虚假和欺诈性IT从业者隐匿真实身份、伪造技能和工作经验,并在面试和筛选流程中未被察觉地通过。
SentinelOne已追踪到约360个虚假身份以及与朝鲜IT从业者行动相关的1000多份求职申请,其中包括试图应聘该公司内部职位的尝试。
据Hegel介绍,对手正越来越多地大规模运用社会工程战术和身份混淆手段,而招聘流程正是首要的入侵入口。
他们利用合成身份或被盗身份来创建简历和在线资料,借助脚本、替身或AI辅助应答通过面试,而背景调查仅能验证所提交的信息。
Hegel表示:"虚假求职者如今利用AI工具模仿合法候选人,创建能通过初步背景调查的合成身份,伪造工作经历,甚至在面试中借助实时AI辅助给出令人信服的回答。"
Flashpoint的调查发现了感染恶意软件的主机,其中包含HR和招聘网站的登录凭证、浏览器历史记录中显示有谷歌翻译的辅导笔记、用于从海外控制企业设备的远程访问'笔记本农场',以及用于为伪造简历提供背景调查证明的空壳公司。
一旦被录用,凭证即被发放、设备被寄出、访问权限被授予——他们便成了受信任的内部人员。Hegel说:"长期风险不仅在于雇佣了一名虚假员工——更在于在不知情的情况下,向恶意访问敞开了系统和敏感数据的大门。"
如果你怀疑有虚假IT从业者该怎么办
当CIO怀疑存在虚假IT从业者时,接下来的步骤至关重要,因为问题已从招聘转向内部风险管理。
George Gerchow(IANS顾问委员会成员、Bedrock Data首席安全官)在MongoDB任职期间,主导了公司在发现不知情地雇佣了一名朝鲜IT从业者后的调查工作。
最初的发现源于一条告警:有人试图卸载终端防护软件,包括CrowdStrike Overwatch。Gerchow说:"Overwatch随后检测到该笔记本电脑正在与一个朝鲜IP地址通信。"
"工具篡改加上与朝鲜相关的流量,这一组合立即表明这并非一名普通的新员工。"他告诉记者。
Mongo发现,这名虚假从业者使用了被盗身份,配合AI生成的简历内容和事先编写好的面试应答,从而绕过了仅验证所提交信息、无法检测欺诈行为的背景调查。
这暴露了许多背景调查的一个漏洞,Gerchow说:"它们无法检测伪造的工作经历、合成身份或循环使用的开发者资料——而这名个体正是通过这种方式在筛选和面试中未触发任何正式警报的。"
随后的调查发现了试图禁用安全工具、在设备上建立持久化存在,以及探测提升权限的行为。
Gerchow补充道:"如果他们未被发现,其访问权限最终将扩展到我们的FedRAMP环境中——这使得这些欺诈手段的风险尤其高。"
事后发现,有几个明显的黄色预警信号:面试时视频质量差、画面模糊;不同通话之间口音明显不一致,面试反馈分散、缺乏集中审核。
另一个破绽是笔记本电脑收货地址在最后一刻被更改,Gerchow指出:"这是一种常见的影子员工策略。"
事后回顾,Gerchow将这些线索串联起来后,事情变得清晰了——由于任何异常都被孤立看待,此人才得以成功入职。
"单独来看,其中任何一项都不足以阻止录用,然而,由于没有人负责汇总这些细微的异常,直到终端告警触发,这一模式才被识别出来。"他说。
被发现后,团队迅速隔离了该设备、撤销了所有凭证、进行了完整的取证调查,并通知了联邦当局,Gerchow说:"我们确认没有发生数据泄露或横向移动。"
随后采取的缓解措施包括:在招聘流程中加强身份欺诈筛查、指定黄色预警负责人以关联早期信号,以及对新员工在获得信任前实施零访问策略。
Gerchow还认为,入职后的行为遥测是必要的,因为暴露冒充者的是行为,而非凭证。
Mongo建议组织在安全部门或HR部门指定一名审核员,以识别招聘流程中的不一致之处,例如视频质量差,Gerchow说:"同时要留意AI生成的LinkedIn资料、不匹配的简历,以及笔记本电脑收货地址的可疑变更。"
他建议:"采用小组面试和基于项目的评估来识别循环使用被盗或虚假开发者身份的候选人,并让新员工在没有敏感数据或生产环境访问权限的情况下开始工作。"
然后,如果安全代理(如IAM、EDR、VPN)在新员工登录前被禁用,则启用告警;并通过模拟雇佣虚假开发者来测试检测、升级和设备恢复能力。
"还要留意非工作时间的访问、广泛的内部搜索活动,以及大规模克隆文档或代码仓库的行为。"他补充道。
IT领导者在内部看到了什么
就业欺诈问题预计只会进一步恶化,Gartner预测,到2028年,全球每四份候选人资料中就有一份是虚假的。
Energy Solutions的CIO David Weisong说:"虚假和欺诈性求职者的崛起已在各组织中成为一种流行病。"
Weisong表示,攻击者持续瞄准高访问权限的技术岗位,如DevOps、系统管理员、数据工程师和数据库管理员——成功入职者可以获得对核心系统的深度可见性和控制权。
"这些是掌握城堡钥匙的角色,"Weisong说,"如果你想获取访问权限,这些岗位的价值远超普通开发岗位。"
Energy Solutions在受监管的能源市场中运营,根据合同要求必须雇佣美国本土员工,并将数据保留在美国司法管辖范围内。
Weisong在检测虚假IT从业者方面有第一手经验,他希望将自己的建议分享给其他IT领导者。最早的预警信号之一是申请量突然出现异常激增——数小时内收到数百份申请,与公司的品牌知名度严重不成比例,表明存在自动化或协同行动。
在面试阶段,还出现了身份切换的情况。Weisong说:"我们发现有些案例中,一个人通过了电话初筛,Zoom上出现的是另一个人,有时后面又出现了第三个人——但用的都是同一个名字和同一份简历。"
部分问题在于,标准招聘流程将信息和技能验证孤立进行。Weisong也指出:"传统背景调查仅核实所提交的信息,无法检测欺诈行为。"
对一些CIO来说,一个令人不安的现实是:工作可能完成得很出色,而被发现靠的是信号,而非绩效。
然而,虚假IT从业者带来的不仅是安全风险,还有业务和合规风险,使组织面临合同违约、监管后果和客户信任丧失——尤其是在受监管行业中。
Weisong表示,虚假IT从业者带来的业务和合规风险与安全风险同样严重,使受监管行业中的组织面临合同违约、监管审查和客户信任丧失。
应对虚假IT从业者问题
据Schmidt介绍,亚马逊正在使用AI工具配合人工审核,以识别异常的联系方式,以及简历中虚假的学术机构和公司。安全团队会标记可疑的LinkedIn资料、要求更多线下面试和到岗出勤、监控电脑使用情况和工作质量,并使用物理令牌进行身份验证。
他还表示,IT部门和HR部门需要在招聘方面展开协作以应对这一问题。
亚马逊的Schmidt告诉《财富》杂志:"如果我们能在前端就发现问题,对HR部门来说实际上要便宜得多。"
SentinelOne的Hegel表示,所需的转变是将招聘决策视为访问控制问题,而非招聘任务,他说:"不要再把身份验证当作HR的一次性勾选框,而要像授予特权访问一样对待远程招聘。"
在经历此事后,Weisong对其申请人跟踪系统以及整个组织的内部系统和流程进行了一系列改革。
在发布职位广告时,他们明确表示:申请技术岗位的候选人已知悉所有书面沟通中列明的期望和后果,Weisong说:"此外,从招聘流程中移除'完全远程'这一表述,显著减少了欺诈机会以及美国境外申请人的申请。"
"虽然对所有招聘采用'零信任'方式是理想的,但我们不能让它阻碍流程或吓退合法候选人,相反,我们需要足够的对策,从一开始就阻止自动化和欺诈性申请人进入招聘漏斗。"他补充道。
为了控制大量申请(其中许多来自机器人),Energy Solutions的职位发布现在设有严格的CAPTCHA设置,推荐奖金有助于利用员工人脉,新员工还需接受90天的满意度绩效评估。
在筛选过程中,面试通过视频而非电话进行,申请人必须共享屏幕以完成实时挑战,视频面试后的报告使他们能够在筛选和面试结束后核实申请人的确切位置,如果候选人在美国境外,则被视为黄色/红色预警。
申请人必须选择希望工作的办公室,并须确认知悉:在面试中使用AI将导致取消资格。
为核实推荐信和工作经历,他们要求提供两份推荐信,其中一份来自前主管或经理。工作经历将被核查,包括前雇主,并须提供完整的家庭住址。
为保护访问权限,在入职表中增加了一个问题,用于表明新岗位是否将获得机密或敏感信息的提升权限。
入职第一天要求新员工到办公室领取设备并接受培训和入职引导,所有岗位必须到岗工作,在绩效达标后可选择转为混合办公。
Weisong表示,应对这一问题需要审查招聘流程、与HR密切合作,并监控每项对策的有效性。对CIO而言,教训不在于招聘本身有问题,而在于信任必须逐步建立。
