Ancaman Global Berkedok Pekerja IT –

Kasus yang menimpa vendor keamanan siber KnowBe4 pada Juli 2024 menjadi pengingat keras: Tidak ada perusahaan yang kebal dari risiko merekrut penyabotase tanpa disadari.

Seorang karyawan baru mulai memanipulasi file, mencoba mengeksekusi software tidak sah, dan belakangan terungkap sebagai pekerja asal Korea Utara yang berhasil menipu tim HR untuk mendapatkan pekerjaan jarak jauh. Individu tersebut lolos empat sesi wawancara video conference, pemeriksaan latar belakang, dan pre-hiring check.

Ancaman berbasis identitas saat ini tidak hanya terbatas pada pencurian kata sandi, tetapi meluas hingga ke individu yang kita rekrut.

Dengan AI yang semakin mahir memalsukan realitas, inilah saatnya perusahaan memperkuat proses perekrutan.

Ancaman Global Berkedok Pekerja IT

Fenomena ini sudah terjadi sejak setidaknya April 2017 dan terus membesar. Kegiatan ini dilacak sebagai WageMole oleh ESET Research, dan tumpang tindih dengan kelompok lain seperti UNC5267 dan Jasper Sleet.

Statistik Mengejutkan: Antara tahun 2020 hingga 2022 saja, Pemerintah AS menemukan lebih dari 300 perusahaan yang menjadi korban skema ini, termasuk beberapa perusahaan Fortune 500.
Aktivitas Global: Awalnya berfokus di AS, tetapi ESET memperingatkan bahwa fokus kini telah bergeser ke Eropa (termasuk Prancis, Polandia, dan Ukraina). Google juga mengingatkan perusahaan di Inggris agar waspada.
Keuntungan Finansial: Sebuah dakwaan di AS menyebut dua warga Korea Utara dan tiga “fasilitator” berhasil meraup lebih dari $860.000 hanya dari 10 perusahaan dari total 60 lebih perusahaan yang mereka masuki.

Modus Operandi

Ribuan pekerja Korea Utara mungkin telah mendapatkan pekerjaan melalui cara ini. Metode mereka sangat terorganisir dan bergantung pada pihak ketiga:

1. Menciptakan Legitimasi Digital.

Mereka mencuri atau membuat identitas palsu yang cocok dengan lokasi target. Mereka membuka akun email, profil media sosial, dan akun palsu di platform pengembang seperti GitHub untuk membangun kredibilitas.

2. Menggunakan Deepfake.

Selama proses perekrutan, mereka menggunakan citra dan video deepfake, atau software penukar wajah dan pengubah suara (voice changing) untuk menyembunyikan identitas asli atau menciptakan identitas sintetis.

3. Mencuri Identitas Pengembang:

Kelompok WageMole terkait dengan kampanye DeceptiveDevelopment, yang menipu pengembang Barat agar melamar pekerjaan palsu. Para penipu meminta korban menyelesaikan coding challenge yang sebenarnya mengandung kode ter-Trojan. Identitas pengembang yang dicuri ini kemudian digunakan dalam skema pekerja palsu.

4. Peran Fasilitator Asing:

Fasilitator ini adalah kunci sukses, mereka akan membantu:

Membuat akun di situs kerja freelance.
Membuat atau meminjamkan rekening bank.
Membeli nomor ponsel atau kartu SIM.
Memvalidasi identitas palsu selama proses verifikasi.

5. Penyembunyian Lokasi

Setelah dipekerjakan, fasilitator akan menerima laptop perusahaan dan menyiapkannya di “peternakan laptop” (laptop farm) yang berlokasi di negara perusahaan.

Pekerja IT Korea Utara kemudian menggunakan VPN, proxy services, RMM (Remote Monitoring and Management), atau VPS (Virtual Private Server) untuk menyembunyikan lokasi asli mereka.

Dampaknya sangat besar, perusahaan tidak hanya secara tidak sadar membayar pekerja dari negara yang diberi sanksi berat, tetapi karyawan palsu ini seringkali mendapatkan akses istimewa ke sistem kritikal, yang menjadi undangan terbuka untuk mencuri data sensitif atau bahkan meminta tebusan.

Cara Mengidentifikasi dan Menghentikan Ancaman Ini

Kerusakan reputasi dan risiko finansial akibat pelanggaran keamanan sangat besar. Perusahaan harus menggabungkan kecerdasan manusia dengan kontrol teknis untuk memitigasi risiko ini.

1. Deteksi Pekerja Palsu Selama Proses Perekrutan

Audit Profil Digital

Periksa profil digital kandidat (media sosial, GitHub) untuk mencari kesamaan dengan individu lain yang identitasnya mungkin dicuri. Waspadai jika ada beberapa profil palsu yang dibuat untuk melamar pekerjaan dengan nama berbeda.

Perhatikan Ketidaksesuaian Pengalaman

Curigai jika seorang “pengembang senior” memiliki repositori kode yang generik atau akun yang baru saja dibuat.

Verifikasi Kredibilitas

Pastikan nomor telepon unik dan sah.
Periksa resume untuk inkonsistensi.
Hubungi referensi secara langsung melalui telepon atau video call.

Melawan Deepfake:

Wawancara Video Berulang, selalu lakukan wawancara video dan ulangi beberapa kali selama proses rekrutmen.
Waspadai Filter Kamera, anggap klaim kamera rusak sebagai peringatan utama. Minta kandidat mematikan filter latar belakang untuk mengidentifikasi deepfake (ciri-cirinya: glitch visual, ekspresi wajah kaku, dan gerakan bibir yang tidak sinkron dengan audio).
Pertanyaan Lokasi/Budaya, ajukan pertanyaan spesifik tentang lokasi dan budaya tempat mereka tinggal atau bekerja, misalnya tentang makanan lokal atau olahraga.

2. Memantau Aktivitas Mencurigakan Karyawan

Pantau Tanda Bahaya (Red Flags): Waspadai tanda-tanda seperti nomor telepon Tiongkok, instalasi langsung software RMM ke laptop baru, dan pekerjaan yang dilakukan di luar jam kerja normal.
Lokasi Autentikasi: Selidiki jika laptop melakukan autentikasi dari alamat IP Tiongkok atau Rusia.
Pola Akses: Awasi pola akses sistem dan perilaku karyawan yang tidak biasa, seperti login yang tidak wajar, transfer file besar, atau perubahan jam kerja.
Gunakan Alat Ancaman Insider: Manfaatkan alat insider threat untuk memantau aktivitas anomali. Fokus pada konteks dan niat, bukan hanya peringatan.

3. Batasi dan Laporkan Ancaman

Jika Anda menduga telah merekrut pekerja palsu:

Batasi Akses: Segera batasi akses mereka ke sumber daya sensitif.
Tinjau Aktivitas: Tinjau aktivitas jaringan mereka, dan batasi proyek investigasi ini hanya pada sekelompok kecil orang dalam yang tepercaya dari tim keamanan IT, HR, dan hukum.
Laporkan: Kumpulkan bukti, laporkan insiden tersebut kepada penegak hukum, dan cari nasihat hukum.
Tingkatkan Pelatihan: Setelah insiden mereda, perbarui program pelatihan kesadaran keamanan siber Anda, pastikan staf HR dan manajer perekrutan IT memahami tanda-tanda bahaya yang harus diwaspadai di masa mendatang. Taktik musuh (TTPs) terus berkembang, jadi panduan ini perlu diperbarui secara berkala.

Baca artikel lainnya: