Şirketlerin yeni korkusu: Gerçek gibi görünen sahte çalışanlar

Modern işe alım süreçleri, artık sadece yetenek ve deneyim ölçümü değil, aynı zamanda sofistike bir kimlik doğrulama savaşına dönüştü. Kendilerine bilgi teknolojileri (BT) uzmanı görüntüsü veren siber suçlular, ileri düzey sosyal mühendislik yöntemleriyle kurumsal savunmaları aşıyor. Bu saldırganlar, sahte kimlikler, deepfake görüntüleri ve ses değiştirme yazılımları kullanarak şirketlerin kritik sistemlerine erişim sağlıyor, bu da büyük güvenlik riskleri oluşturuyor. Siber güvenlik uzmanları, son dönemde özellikle Kuzey Kore bağlantılı bu sahte BT çalışanı vakalarında ciddi bir artış olduğunu belirtiyor.

Tehdidin boyutunu gösteren çarpıcı bir örnek, 2024 yılı Temmuz ayında bir güvenlik tedarikçisi olan KnowBe4 şirketinde yaşandı. İşe alım sürecini başarıyla tamamlayan bir kişinin, daha sonra Kuzey Kore bağlantılı sahte bir çalışan olduğu anlaşıldı. Bu kişi, şirket sistemlerinde dosya manipülasyonu ve yetkisiz yazılım çalıştırma girişimleri gibi şüpheli faaliyetlerde bulunuyordu.

Saldırılar Avrupa’ya kayıyor: Yüzlerce şirket hedef alındı

Bu saldırı modelinin 2017’den bu yana aktif olarak sürdüğünü gösteren raporlar bulunuyor. Microsoft’a göre, yalnızca 2020 ile 2022 yılları arasında 300’den fazla şirket bu yöntemle hedef alındı. 2024 yılında, Kuzey Koreli tehdit aktörleri tarafından oluşturulan 3.000 sahte Outlook ve Hotmail hesabı askıya alındı. ABD savcıları, iki Kuzey Koreli ve üç aracı kişinin 60’tan fazla şirketten 860.000 doların üzerinde gelir elde ettiğini açıkladı. Güvenlik araştırmacıları, saldırıların son dönemde Fransa, Polonya ve Ukrayna gibi Avrupa ülkelerine doğru yayıldığı konusunda uyarılarda bulunuyor.

Deepfake ve laptop çiftlikleri: Sahte çalışanlar nasıl sızıyor?

Kuzey Kore bağlantılı bu kişiler, sahte kimliklerle iş bulmak için oldukça gelişmiş yöntemler kullanıyor. Saldırganlar, hedef kuruluşun bulunduğu ülkeye uygun kimlikler oluşturuyor ve sosyal medya, geliştirici platformları gibi yerlerde gerçekçi dijital profiller kuruyor.

İşe alım görüşmelerinde kimliklerini gizlemek için deepfake görüntüleri, yüz değiştirme ve ses değiştirme yazılımlarını kullanıyorlar. Aracılar ise freelance platformlarına kayıt açma, banka hesabı temin etme gibi süreçlerde kritik rol oynuyor. Şirket tarafından gönderilen dizüstü bilgisayarlar, işe alımın ardından başka ülkelerde kurulan “laptop çiftliklerine” yerleştiriliyor. Saldırganlar bu cihazlara VPN ve uzaktan izleme yazılımları üzerinden bağlanarak gerçek konumlarını gizliyor. Bu sahte çalışanların kritik sistemlere erişim sağlaması, hassas verilerin çalınması veya sistemlerin sabotaj edilmesi gibi ciddi sonuçlar doğuruyor.

İşe alım sürecinde kritik güvenlik adımları

Şirketlerin bu riski azaltmak için işe alım süreçlerinde bazı kritik adımlara dikkat etmesi gerekiyor:

Dijital Profil Kontrolü: Adayın dijital profili dikkatle incelenmeli, farklı isimlerle birden fazla sahte profil oluşturulabileceği unutulmamalı.

Video Görüşmelerinde Israrcı Olmak: Deepfake riskini azaltmak için görüşmelerde ısrarcı olunmalı ve bu görüşmeler birden fazla kez tekrarlanmalı. Adayın kamera arızası gibi bahaneleri önemli bir uyarı olarak değerlendirilmeli.

Deepfake Tespiti: Adaydan arka plan filtrelerini kapatması istenmeli. Görsel bozukluklar, sert ve doğal olmayan yüz ifadeleri veya sesle senkronize olmayan dudak hareketleri gibi deepfake ipuçları aranmalı.

Güvenlik uzmanları, içeriden yaratılan riskleri azaltmanın en etkili yolunun, teknik güvenlik kontrollerini güçlü insan odaklı süreçlerle birleştiren bütünsel bir yaklaşım olduğunun altını çiziyor.