O problema dos falsos profissionais de TI da Coreia do Norte está em toda parte

 (theregister.com)
1 pontos por GN⁺ 2025-07-14 | 1 comentários | Compartilhar no WhatsApp
  • O problema dos falsos candidatos a vagas de TI vindos da Coreia do Norte vem sendo amplamente confirmado na maioria das grandes empresas
  • Os métodos de infiltração usados por eles são variados, incluindo IA, deepfakes e identidades falsificadas, chegando até mesmo ao roubo de materiais internos e exigência de resgate
  • Recentemente, não apenas os EUA, mas também empresas europeias passaram a ser alvo, e a maioria dos casos ocorre em vagas de trabalho remoto
  • As empresas estão adotando várias estratégias de defesa, como verificação de documentos durante o processo de contratação, onboarding presencial e compartilhamento de indicadores de comprometimento (IoC)
  • Como os métodos criminosos estão evoluindo e se espalhando para o crime organizado, é essencial reforçar a colaboração entre equipes de segurança e recrutamento, o treinamento e o firewall humano

Visão geral e situação atual

  • Recentemente, o problema de falsos candidatos de TI ligados à Coreia do Norte tornou-se comum em grandes empresas globais
  • Muitos CISOs de empresas da Fortune 500 mencionaram ter enfrentado esse problema, e responsáveis por segurança de Google e Snowflake também confirmaram casos assim em processos internos de contratação
  • O Departamento de Justiça dos EUA anunciou que, nos últimos 6 anos, os prejuízos causados por eles chegaram a US$ 88 milhões
  • Em alguns casos, foi relatado que eles usaram acesso a sistemas internos para roubar código-fonte e informações confidenciais e até exigir resgate
  • Com o reforço da vigilância por parte das empresas americanas, o targeting do mercado europeu agora também está crescendo rapidamente

Tendências características no processo de contratação

  • Em empresas como a Socure, milhares de candidaturas anormais têm chegado recentemente
  • Perfis no LinkedIn costumam ser superficiais ou ter poucas conexões, apesar de exibirem experiências impressionantes, e inconsistências são detectadas em número de telefone, e-mail e uso de VPN
  • Durante entrevistas em vídeo, repetem-se casos demograficamente incoerentes, como nomes ocidentais com aparência do Leste Asiático e sotaque incompatível
  • Foi detectado em muitos casos que as respostas dos candidatos são semelhantes às geradas por ferramentas de IA como o ChatGPT
  • Na prática, eles podem parecer amigáveis e normais, mas uma checagem mais profunda revela vários sinais suspeitos

Necessidade de colaboração entre segurança e recrutamento

  • A maioria dos recrutadores não tem conhecimento suficiente de cibersegurança ou gestão de identidade, e a falta de comunicação entre RH e equipe de segurança é um problema
  • Empresas como a Netskope estão estruturando sistemas de colaboração multilateral, com reuniões entre segurança, RH e jurídico, além de briefings com o FBI local
  • Em ambientes de trabalho remoto, processos de verificação real, como visita presencial para retirada do computador e validação de endereço, têm papel importante
  • Também se observa repetidamente que candidatos falsos desistem no meio do processo quando se exige verificação documental

Respostas com IA e compartilhamento de informações

  • Embora os casos de abuso de novas tecnologias como IA e deepfakes estejam aumentando, empresas como a Snowflake usam a criação de datasets de IoCs (indicadores de comprometimento) e o compartilhamento de informações com parceiros
  • Os IoCs incluem informações com alta possibilidade de falsificação, como e-mail, endereço real e número de telefone
  • Com a estratégia de firewall humano (treinamento de recrutadores), são ensinadas formas de detectar sinais como exagero no currículo, demora para responder na entrevista, confusão técnica e ambiente de call center
  • Em última análise, entrevistas presenciais — e desculpas para não comparecer presencialmente por motivos inevitáveis — são tratadas como fortes sinais de suspeita
  • A cooperação entre empresas, parceiros e órgãos governamentais busca impedir que candidatos suspeitos sequer entrem na triagem inicial

Perspectiva de expansão da organização e criminalização

  • Organizações criminosas tendem a imitar e disseminar rapidamente métodos quando sua rentabilidade é comprovada
  • Há grande possibilidade de que o fenômeno se expanda para além da liderança norte-coreana, alcançando outros países e o crime organizado
  • Em todos os processos de contratação, cresce a necessidade de fortalecer a colaboração entre segurança e recrutamento e de treinar as equipes com casos atualizados

Leituras relacionadas

1 comentários

 
GN⁺ 2025-07-14
Comentários do Hacker News

  • Acho que dá para evitar esse tipo de problema tornando obrigatórias as etapas de verificação de identidade presencial

  • Dizem que diferenciam perfis verdadeiros/falsos por perfis com apenas 25 conexões no LinkedIn, mas na verdade também existem contas do LinkedIn hackeadas. A conta de um colega foi invadida e ele tinha mais de 1.000 conexões reais. A foto e o nome foram alterados para algo de aparência leste-asiática, e o CV também foi mudado para mostrar experiência em contratadas de defesa dos EUA. Por sorte, foi detectado graças ao recurso automático de bloqueio de conta, mas também poderia ter ficado assim por muito tempo. Como nem alguém com milhares de conexões lembra de todos os contatos individualmente, e não há alerta de mudança de nome, é totalmente possível que esses perfis hackeados sejam vendidos e explorados por trabalhadores de TI norte-coreanos

    • Muita gente, como eu, nem sequer tem conta no LinkedIn. Acho muito mais eficaz a ideia de uma verificação offline do tipo “você precisa vir buscar o notebook pessoalmente”

  • Jeff Geerling compartilhou recentemente uma experiência em que foi contatado pelo FBI, sobre equipamentos mini KVM usados estrategicamente por falsos candidatos a emprego de TI da Coreia do Norte vídeo relacionado

    • Pelo que ouvi, esses dispositivos KVM são conectados a vários notebooks e operados de fato em lugares como porões ou quartos na casa das pessoas. Alguém recebe um valor mensal por cada notebook fornecido pela empresa, conecta um pequeno KVM ao notebook e permite que o trabalhador remoto acesse. Isso torna o rastreamento muito mais difícil

    • Posso estar por fora, mas o que exatamente um KVM faz? É só um dispositivo com portas Ethernet e HDMI que permite controle remoto? E falam como se fosse comum norte-coreanos invadirem a casa de outras pessoas para instalar isso, o que eu sinceramente tenho dificuldade de imaginar. Também não entendo por que o FBI entrou em contato com o Jeff Geerling. Sinceramente, eu só conhecia KVM no sentido de virtualização do kernel Linux

  • Havia um trecho dizendo que “à medida que as empresas de TI americanas começam a ficar melhores em detectar candidatos falsos, empresas europeias estão se tornando o novo alvo”. Todas as empresas em que trabalhei nos EUA verificaram minha identidade de forma muito rigorosa. Quase todas fazem background check por padrão. Empresas europeias parecem ser um pouco mais frouxas

    • Às vezes o background check de empresas americanas chega a ser excessivo a ponto de invadir minha privacidade. Por exemplo, antes da contratação pedem consulta de crédito, saldo de empréstimos de cartão, carro e casa, valor das parcelas mensais e até todos os salários dos últimos 7 anos. Acho isso exagerado. Fico em desvantagem até em negociação salarial, porque passam a saber toda a minha situação

    • Também há relatos de casos em que alguém dentro da empresa recebe a proposta “você deixaria usarem sua identidade?”. Na aparência usam aquela pessoa, mas o trabalho real é feito por eles. O salário é dividido. Claro que isso envolve muitos elementos extremamente arriscados ou ilegais, mas ainda assim há bastante gente querendo ganhar dinheiro fácil

    • Muitas empresas europeias simplesmente não oferecem trabalho remoto, ou o fazem muito raramente, e mesmo quando há entrevista por vídeo ou telefone quase sempre exigem entrevista presencial. Então existe pelo menos a expectativa básica de que a pessoa realmente more naquele país. Além disso, também exigem domínio do idioma local, o que torna muito mais difícil para trabalhadores de TI norte-coreanos passarem por esse processo

    • Background check também não é perfeito. O currículo pode estar usando uma identidade fabricada, ou a pessoa pode até comprar a identidade de um americano. É praticamente a única forma de burlar a verificação de identidade do I-9. Também há muitos tipos de background check, e várias empresas simplesmente pulam procedimentos trabalhosos como verificar empregadores anteriores. Checagem de referências também não serve de muita coisa, porque as próprias referências podem ser forjadas. No fim, seria preciso verificar a identidade das referências também

    • Esse é um dos tipos de fraude. Um imigrante recém-chegado aos EUA pode até passar tranquilamente pelo background check. Um golpe comum é conseguir emprego como programador contratado com diploma e experiência falsificados, e terceirizar o trabalho para a Ásia durante a noite. Com ajuda do ChatGPT, basta tirar foto do monitor para converter imediatamente em texto e facilitar ainda mais o trabalho remoto. Há até desenvolvedores que terceirizam parte do próprio trabalho, e também gente que trabalha em vários lugares ao mesmo tempo desse jeito

  • Fico me perguntando qual é o objetivo depois que esses golpistas realmente conseguem ser contratados. Se é coletar informação como espionagem industrial, se realmente fazem o trabalho que recebem, ou se entram e já tentam extrair o máximo possível de dados ou dinheiro antes de serem pegos e fugirem, se de fato têm capacidade técnica para trabalho de TI, tenho curiosidade sobre tudo isso

    • O artigo menciona casos em que dados da empresa ou código-fonte são usados como refém para exigir resgate. Mesmo quando não são ligados à Coreia do Norte, a estratégia básica é receber salário do maior número possível de empresas e, quando forem descobertos, passar para outra. Às vezes não aguentam nem um ou dois meses em uma empresa, mas em alguns casos, como o gestor não presta muita atenção, conseguem trabalhar só algumas horas sem problemas especiais e receber salários de vários lugares. Assim extraem lucro de curto prazo e, quando o time inteiro é afetado por cortes, voltam ao mercado em busca de outra vaga

  • Segundo um tuíte que vi em algum lugar, daria para filtrar quem é ligado à Coreia do Norte pedindo ao candidato que critique Kim Jong-un

    • Isso seria facilmente neutralizado depois de uma ou duas tentativas. Se eu fosse um espião ou estivesse em missão secreta, imagino que a organização me faria dizer qualquer coisa que fosse necessária

    • Se alguém me pedisse para criticar Kim Jong-un, eu simplesmente encerraria a conversa ali. Eu critico quem eu quiser quando eu quiser. Desse jeito, talvez você acabe eliminando candidatos reais

    • Se esse tipo de triagem realmente se tornar comum, também pode haver a tendência de a pessoa pensar “ah, fui descoberto” ou concluir que o risco aumentou e desistir por conta própria. É como golpistas de e-mail que usam gramática ruim de propósito: uma estratégia para eliminar cedo os casos difíceis e mirar só nos mais fáceis

    • Esse tipo de pergunta precisa ser aplicado com muito cuidado. Tem que ficar registrado que foi feito igualmente a todos os candidatos, independentemente de raça ou status migratório. Na prática, seria mais seguro fazer essa pergunta até para pessoas que não são asiáticas ou não são nativas de países anglófonos, porque no futuro a Coreia do Norte pode passar a usar intermediários ou terceiros para se candidatarem em seu lugar

  • Acho curioso que esses casos continuem aparecendo. Eu sou uma pessoa comum e decente e ainda assim tenho dificuldade para encontrar um bom emprego. Mas esses candidatos falsos conseguem ser contratados em sequência, e eu não entendo como. Fico me perguntando o que exatamente as empresas estão fazendo

    • Essas pessoas mentem desde a candidatura. Roubam identidade, inventam experiência, falsificam referências e hackeiam LinkedIn. São especialistas em fraude e em entrevista. Como são grupos organizados para os quais conseguir emprego é a própria sobrevivência, acabam conseguindo vaga de um jeito ou de outro. E nem ligam para a qualidade da vaga. Só tentam ficar o máximo de tempo possível onde der. Em muitas empresas isso pode levar anos

  • E se a primeira semana inteira fosse obrigatoriamente presencial? Dá para vender isso facilmente como onboarding, e acho que resolveria esse problema

    • Nem toda empresa tem escritório. Na empresa anterior em que trabalhei, o escritório só surgiu depois de 6 meses da minha entrada, e mais da metade das pessoas no país levaria de 3 a 4 horas para chegar até lá. Na prática, só encontrei parte do time pessoalmente; o resto estava espalhado por 3 continentes

    • Depois da COVID, trabalho totalmente remoto e contratação totalmente remota se tornaram comuns, então o onboarding presencial praticamente desapareceu rapidamente. Mas agora, com a conscientização maior sobre esse problema, há grande chance de entrevistas e comparecimento presencial voltarem a virar padrão

    • É possível. É parecido com dizer que a segurança melhora se todo mundo usar senhas boas. Na prática, muitas empresas ainda não fazem isso. Outro motivo é que obrigar a primeira semana presencial reduz o pool de talentos. Mesmo com o clima atual de retorno obrigatório ao escritório e jornadas de 100 horas, isso ainda tem desvantagens

    • No meu trabalho, era obrigatório ir presencialmente por 3 meses. O “escritório” não passava de algo no nível de um pequeno estúdio, mas foi suficiente para atingir o objetivo

    • Acho que obrigar a primeira semana presencial já melhoraria bastante. Claro, mesmo assim ainda haveria muita desculpa esfarrapada, ou gente insistindo que só vai pedir comida específica pelo DoorDash, esse tipo de coisa

  • Às vezes penso que seria melhor se pelo menos um colega fosse desse tipo

  • Tem algo estranho nisso. Desenvolvedores mandam currículo para centenas de lugares e mal conseguem uma entrevista, mas trabalhadores de TI norte-coreanos com inglês ruim continuam conseguindo vagas. Do jeito que vai, no LinkedIn vai faltar só elogiar o líder supremo

    • Fraude só dá certo quando é feita por gente muito boa nisso. Eles mentem de forma totalmente profissional e dividem papéis entre busca de pipeline de candidatos, equipe para conseguir aprovação, resposta a entrevistas etc. Também usam muita automação, então a eficiência é muito maior. Um desenvolvedor individual é barrado dezenas de vezes por pontos da candidatura, currículo, entrevista etc. e ainda tenta não mentir, então a chance de sucesso é baixa. Mas essas organizações de fraude passam o dia inteiro fazendo só isso, então ficam cada vez melhores. Um desenvolvedor de verdade para de procurar emprego quando consegue um, mas golpistas continuam aperfeiçoando suas habilidades de conseguir vagas

    • Eles não se preocupam com as limitações do mundo real. No currículo colocam Harvard, experiência na Meta e todo tipo de histórico. E o recrutador vê isso e coloca aquele currículo acima do meu

    • Eu também já recebi várias vezes e-mails de endereços estranhos dizendo “eu consigo uma vaga para você, você só faz a entrevista e a gente cuida de todo o resto. Nome falso e muito dinheiro garantido”. A essa altura, concluo que meu currículo é bom o suficiente para me tornar alvo desse tipo de golpe. Mas esse método é uma fraude malfeita demais. 99% dos engenheiros simplesmente ignoram esse tipo de e-mail na hora

    • Na verdade, parece que esse pessoal mais passa da fase de entrevista do que realmente consegue a vaga

    • Provavelmente usam várias identidades diferentes