Hakerzy kochają rekrutacje. Polska walczy z nową metodą infiltracji
Myśleliście, że najsłabszym ogniwem w firmie jest księgowa klikająca w podejrzane faktury? Błąd. Najnowszy raport polskich służb wskazuje na rekruterów.
Pełnomocnik Rządu ds. Cyberbezpieczeństwa Krzysztof Gawkowski ostrzegł, że zidentyfikowano grupy cyberprzestępcze biorące udział w procesach zatrudniania po to, by po wejściu do organizacji infiltrować ją i wykradać dane. To nie jest zwykłe oszustwo na fałszywe CV ani kandydat, który dopisał sobie dwie nieznane sobie technologie do profilu w LinkedIn. Mowa o działaniach grup APT, czyli zaawansowanych, długotrwałych aktorów cyberzagrożeń, często powiązanych z interesami wrogich państw.
APT nie działa jak przypadkowy oszust, który rozsyła masowo ten sam link. Tego typu grupa potrafi miesiącami przygotowywać atak, badać strukturę organizacji, tworzyć wiarygodne tożsamości, dobierać ofiary i wykorzystywać słabe punkty procedur. Jeżeli takim słabym punktem staje się HR, problem przestaje dotyczyć wyłącznie rekruterów. Dotyczy zarządów, administratorów systemów, działów prawnych, compliance i bezpieczeństwa informacji.
Najbardziej narażone są podmioty krajowego systemu cyberbezpieczeństwa, czyli firmy i instytucje ważne dla działania państwa. W tej grupie znajdują się m.in. energetyka, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę, zarządzanie ICT, produkcja i dystrybucja żywności oraz część podmiotów publicznych. Innymi słowy, nie chodzi o ataki na przypadkowe biura. Chodzi o miejsca, których zakłócenie mogłoby mieć skutki daleko wykraczające poza jedną firmę.
HR stał się bramą, bo rekrutacja przeniosła się do sieci
Rynek pracy sam stworzył warunki, które cyberprzestępcy potrafią wykorzystać. Rekrutacja zdalna, rozmowy przez komunikatory, praca hybrydowa, szybkie zatrudnianie specjalistów IT, presja na pozyskiwanie talentów i globalny rynek usług technologicznych sprawiły, że kandydat nie musi już pojawić się fizycznie w siedzibie firmy, by przejść dużą część procesu.
To wygodne dla pracodawców i pracowników, ale tworzy nowe ryzyko. Jeżeli kandydat może przejść rozmowę z dowolnego miejsca na świecie, pokazać spreparowany profil, użyć pośrednika, narzędzi AI, zmienionego głosu, fałszywego obrazu z kamery albo zdalnego dostępu do komputera wysłanego na inny adres, klasyczna intuicja rekrutera przestaje wystarczać.
W tradycyjnym modelu firma weryfikowała człowieka w dużej mierze społecznie: dokumenty, spotkanie, rozmowa, referencje, fizyczna obecność. W modelu zdalnym wiele z tych elementów zamienia się w sygnały cyfrowe. A te można stosunkowo łatwo podrabiać, przechwytywać i automatyzować. To dlatego Gawkowski zwraca uwagę nie tylko na CV, ale też na wideorozmowy, domeny linków, techniczne problemy podczas spotkań i fizyczny dostęp do sprzętu.
Fałszywy pracownik to groźniejszy problem niż fałszywy mail
Phishing da się często zatrzymać na bramce pocztowej, filtrze antyspamowym albo szkoleniu użytkownika. Fałszywy pracownik jest trudniejszy, bo po zatrudnieniu dostaje coś, o czym cyberprzestępcy zwykle marzą: legalne konto, dostęp do narzędzi, sprzęt, komunikatory firmowe i zaufanie zespołu.
Osoba podająca się za pracownika nie musi od razu forsować zabezpieczeń z zewnątrz. Może działać od środka. Może sprawdzać strukturę katalogów, widzieć nazwy projektów, poznawać ludzi, prosić o dodatkowe uprawnienia, testować reakcję administratorów i szukać danych, które mają wartość wywiadowczą, finansową albo operacyjną.
Właśnie dlatego szczególnie ważna jest zasada stopniowego przyznawania dostępu. Nowy pracownik nie powinien dostawać szerokich uprawnień na zapas, tylko dlatego, że tak jest szybciej. Dostęp powinien wynikać z realnej potrzeby, być ograniczony w czasie i monitorowany. Każda próba nieuzasadnionej eskalacji uprawnień powinna zapalać lampkę ostrzegawczą.
W firmach, które szybko rosną, zatrudniają zdalnie i mają rozproszone zespoły, taka dyscyplina bywa po prostu trudna. Presja biznesowa mówi: dajmy człowiekowi narzędzia, niech zacznie pracować. Bezpieczeństwo mówi: najpierw sprawdźmy, czy człowiek naprawdę jest tym, za kogo się podaje, czy ma fizyczny dostęp do firmowego sprzętu i czy jego zachowanie pasuje do deklarowanej lokalizacji oraz roli. W normalnych warunkach to może wyglądać jak biurokracja. W przypadku działań APT to podstawowa linia obrony.
Sztuczna inteligencja pogorszyła problem
Nowe ostrzeżenie jest szczególnie poważne, bo cyberprzestępcy nie muszą już ręcznie budować każdej fałszywej tożsamości. AI pozwala tworzyć wiarygodne CV, listy motywacyjne, profile zawodowe, zdjęcia, odpowiedzi na pytania rekrutacyjne, a nawet wspierać rozmowę w czasie rzeczywistym. To nie oznacza, że każdy kandydat korzystający z narzędzi AI jest podejrzany. Oznacza, że próg wejścia dla oszustów bardzo mocno spadł.
Fałszywy kandydat może użyć AI do dopasowania CV do ogłoszenia, poprawienia języka, udawania doświadczenia w konkretnych technologiach albo budowania spójnej historii zawodowej. Może korzystać z gotowych odpowiedzi podczas rozmowy, tłumaczeń na żywo, zmiany głosu czy narzędzi do manipulacji obrazem. W skrajnych przypadkach firma może rozmawiać nie z prawdziwym specjalistą, lecz z operatorem wspieranym przez zestaw narzędzi, które mają przejść podstawową weryfikację.
Właśnie dlatego Gawkowski zwraca uwagę na pozornie drobne sygnały: nienaturalne pauzy, opóźnienia, wyciszenia dźwięku w momentach, gdy kandydat powinien mówić, problemy techniczne pojawiające się w wygodnym dla rozmówcy momencie. Każdy z tych objawów osobno może być niewinny. Internet się zacina, mikrofony zawodzą, kamery nie zawsze działają. Ale w procesie zatrudniania do wrażliwych organizacji takie sygnały nie powinny być zbywane machnięciem ręki.
Największy problem polega na tym, że rekruterzy są szkoleni, by oceniać ludzi, a nie wykrywać operacje wpływu i tożsamości syntetyczne. To musi się zmienić. Działy HR nie muszą stać się zespołami kontrwywiadu, ale muszą rozumieć, że w niektórych procesach są pierwszą linią wykrywania zagrożenia.
Nie klikaj, nie instaluj, nie ufaj dziwnym domenom
Gawkowski wskazuje, że firmy powinny sprawdzać domeny używane do wideokonferencji. Poprawny adres Zoom to zoom.us, a Microsoft Teams działa w domenie teams.microsoft.com. Podobnie wyglądające adresy, literówki, podstawione domeny powinny być traktowane jak sygnał alarmowy.
To klasyczna technika socjotechniczna. Atakujący nie musi łamać zabezpieczeń, jeśli przekona rekrutera, by sam wszedł na fałszywą stronę, zalogował się, pobrał plik albo zainstalował poprawkę bezpieczeństwa. Szczególnie groźna jest pułapka technicznych problemów: kandydat mówi, że nie działa mu dźwięk, że trzeba przełączyć narzędzie, że prosi o instalację dodatku, aktualizacji albo pliku pomocniczego. W pośpiechu i stresie rozmowy rekrutacyjnej łatwo kliknąć coś, czego normalnie nikt by nie zaakceptował.
Przeczytaj także:
Zasada powinna być prosta: to organizacja narzuca kanał rozmowy, link, narzędzie i procedurę. Kandydat nie powinien mieć możliwości przeniesienia rekrutera do nieznanej aplikacji albo wysłania pliku, który trzeba uruchomić. Jeżeli rozmowa ma odbyć się przez Teams, Zoom albo inny system, firma powinna sama wygenerować spotkanie i kontrolować środowisko. To samo dotyczy testów technicznych, repozytoriów kodu, zadań rekrutacyjnych i narzędzi do współpracy.
