Em julho de 2024, a fornecedora de soluções de segurança KnowBe4 detectou atividades suspeitas envolvendo uma nova contratação. O profissional começou a manipular e transferir arquivos potencialmente maliciosos, além de tentar executar softwares não autorizados. Posteriormente, descobriu-se que se tratava de um trabalhador norte-coreano que havia enganado a equipe de RH para conseguir um emprego remoto na empresa. No total, ele conseguiu passar por quatro entrevistas em vídeo e por todas as verificações de antecedentes e pré-contratação.

O caso reforça que nenhuma organização está livre do risco de contratar, sem saber, um agente mal-intencionado. As ameaças baseadas em identidade não se limitam a senhas roubadas ou invasões de contas, elas também podem estar entre os próprios colaboradores que ingressam na equipe. E, à medida que a inteligência artificial se torna cada vez mais capaz de falsificar a realidade, é essencial aprimorar os processos de recrutamento.

A dimensão do desafio

Você talvez se surpreenda com o quão disseminada essa ameaça realmente é. Segundo um alerta do FBI, ela está em curso desde, pelo menos, abril de 2017. Rastreadas pela ESET Research sob o nome WageMole, as atividades se sobrepõem a grupos identificados por outros pesquisadores como UNC5267 e Jasper Sleet.

De acordo com a Microsoft, o governo dos Estados Unidos descobriu mais de 300 empresas, incluindo algumas da lista Fortune 500, que foram vítimas desse tipo de infiltração entre 2020 e 2022. A empresa de tecnologia chegou a suspender 3.000 contas do Outlook e do Hotmail criadas por falsos profissionais norte-coreanos em busca de emprego.

Em outro caso, uma acusação formal nos EUA responsabilizou dois norte-coreanos e três intermediários por obterem mais de US$ 860 mil em dez das mais de 60 empresas nas quais trabalharam.

No entanto, o problema não se limita aos Estados Unidos. Pesquisadores da ESET alertaram que o foco das atividades recentemente se deslocou para a Europa, afetando países como França, Polônia e Ucrânia. Ao mesmo tempo, o Google alertou que empresas do Reino Unido também estão sendo visadas.

Como eles fazem isso?

Milhares de trabalhadores norte-coreanos podem ter conseguido emprego por meio dessa técnica. Eles criam ou roubam identidades compatíveis com a localização da organização alvo e, em seguida, abrem contas de e-mail, perfis em redes sociais e contas falsas em plataformas de desenvolvimento como o GitHub para conferir legitimidade. Durante o processo de contratação, podem usar imagens e vídeos deepfake, bem como ferramentas de troca de rosto e alteração de voz, para disfarçar a identidade ou criar perfis sintéticos.

Segundo pesquisadores da ESET, o grupo WageMole está ligado a outra campanha norte-coreana rastreada como DeceptiveDevelopment, que se concentra em enganar desenvolvedores ocidentais para se candidatarem a vagas inexistentes. Os golpistas pedem que as vítimas participem de um desafio de programação ou tarefa pré-entrevista. Mas o projeto que a vítima baixa para participar contém código trojanizado. O WageMole rouba essas identidades de desenvolvedores para usá-las em seus esquemas de “falso trabalhador”.

A peça-chave do golpe são os facilitadores estrangeiros. Primeiro, eles ajudam a:

bull; criar contas em sites de trabalhos freelance
• abrir contas bancárias, ou emprestar suas próprias contas aos trabalhadores norte-coreanos
• adquirir números de celular e chips (SIM cards)
• validar a identidade fraudulenta do trabalhador durante a verificação pré-emprego, recorrendo a serviços de checagem de antecedentes

Uma vez contratado o “trabalhador” falso, esses facilitadores recebem o laptop corporativo e o configuram em uma espécie de fazenda de laptops localizada no país da empresa contratante. O trabalhador norte-coreano então usa VPNs, serviços proxy, ferramentas de Remote Monitoring and Management (RMM) e/ou servidores privados virtuais (VPS) para ocultar sua localização real.

O impacto para as organizações enganadas pode ser enorme. Além de, involuntariamente, pagar funcionários de um país fortemente sancionado, esses empregados costumam receber acesso privilegiado a sistemas críticos — um convite aberto para roubar dados sensíveis ou até mesmo exigir resgate da empresa.

Como identificar e impedir esses falsos candidatos

Financiar, ainda que sem saber, o programa nuclear de um Estado sob sanções internacionais é uma das piores formas de dano reputacional possíveis, isso sem mencionar o risco financeiro e de vazamento de dados que isso representa. Então, como evitar que sua organização se torne a próxima vítima?

1. Identifique falsos profissionais durante o processo seletivo

  • Verifique o perfil digital do candidato, incluindo redes sociais e outras contas online, buscando semelhanças com identidades possivelmente roubadas. Criminosos podem criar diversos perfis falsos para se candidatar sob nomes diferentes.
  • Observe inconsistências entre as atividades online e a experiência alegada: um “desenvolvedor sênior” com repositórios genéricos ou contas criadas recentemente deve acender um alerta.
  • Certifique-se de que o candidato possui um número de telefone legítimo e único, e revise o currículo em busca de incoerências. Verifique se as empresas listadas realmente existem. Contate as referências diretamente (por telefone ou videochamada) e redobre a atenção ao lidar com profissionais de empresas de recrutamento terceirizadas.
  • Como muitos candidatos podem usar deepfakes de áudio, vídeo e imagem, insista em entrevistas por vídeo e realize mais de uma durante o processo.
  • Durante as entrevistas, considere qualquer alegação de “problemas na câmera” como um grande sinal de alerta. Peça ao candidato que desative filtros de fundo para facilitar a detecção de deepfakes. (Indícios incluem falhas visuais, expressões faciais rígidas e movimentos labiais dessincronizados.) Faça perguntas relacionadas à localização e cultura do local onde ele supostamente vive ou trabalha, como comidas típicas ou esportes locais.

2. Monitore atividades potencialmente suspeitas de funcionários

  • Fique atento a sinais como números de telefone da China, download imediato de software de RMM (Remote Monitoring and Management) em laptops corporativos recém-entregues ou trabalho realizado fora do horário habitual. Se o login for feito a partir de endereços IP da China ou da Rússia, isso também deve ser investigado.
  • Acompanhe o comportamento dos colaboradores e padrões de acesso ao sistema de logins incomuns, grandes transferências de arquivos ou mudanças no horário de trabalho. Foque no contexto, não apenas nos alertas: a diferença entre um erro e uma ação maliciosa pode estar na intenção.
  • Utilize ferramentas de detecção de ameaças internas para monitorar atividades anômalas.

3. Contenha a ameaça

  • Se você suspeitar que há um trabalhador norte-coreano infiltrado na organização, aja com cautela para não levantar suspeitas.
  • Limite imediatamente o acesso dessa pessoa a recursos sensíveis e revise suas atividades de rede, envolvendo apenas um grupo restrito de profissionais de confiança das áreas de segurança da informação, RH e jurídico.
  • Preserve as evidências e comunique o incidente às autoridades competentes, buscando também orientação jurídica para a empresa.

Depois que a situação estiver controlada, é fundamental atualizar os programas de conscientização em segurança cibernética. Garanta que todos os colaboradores, especialmente gestores de TI e profissionais de RH saibam reconhecer os sinais de alerta. As táticas, técnicas e procedimentos (TTPs) dos agentes de ameaça evoluem constantemente, por isso essas orientações devem ser revisadas periodicamente.

A melhor forma de impedir que falsos candidatos se tornem ameaças internas é combinar o conhecimento humano com controles técnicos. Certifique-se de cobrir todas as frentes.