Das Problem gefälschter IT-Fachkräfte aus Nordkorea ist überall präsent

 (theregister.com)
1 Punkte von GN⁺ 2025-07-14 | 1 Kommentare | Auf WhatsApp teilen
  • Das Problem gefälschter IT-Bewerber aus Nordkorea wurde in den meisten Großunternehmen breit nachgewiesen
  • Ihre Infiltrationsmethoden sind vielfältig, darunter KI, Deepfakes und gefälschte Identitäten; teils kommt es sogar zu Diebstahl interner Daten und Erpressungsforderungen
  • In jüngster Zeit geraten nicht nur die USA, sondern auch europäische Unternehmen ins Visier; die meisten Fälle betreffen Remote-Stellen
  • Unternehmen führen verschiedene Abwehrstrategien ein, darunter Dokumentenprüfung im Bewerbungsprozess, persönliches Onboarding und das Teilen von Indikatoren (IoCs)
  • Da sich die Methoden weiterentwickeln und sich auf organisierte Kriminalität ausweiten, sind eine engere Zusammenarbeit von Security- und Recruiting-Teams, Schulungen und die Stärkung einer menschlichen Firewall unerlässlich

Überblick und aktuelle Lage

  • Das Problem gefälschter IT-Bewerber mit nordkoreanischem Hintergrund tritt derzeit in globalen Großunternehmen allgemein auf
  • Viele CISOs aus Fortune-500-Unternehmen berichten, dass sie mit diesem Problem konfrontiert waren; auch Security-Verantwortliche bei Google und Snowflake haben entsprechende Fälle in internen Einstellungsprozessen festgestellt
  • Das US-Justizministerium gab bekannt, dass sich der durch sie verursachte Schaden in den vergangenen sechs Jahren auf 88 Millionen US-Dollar beläuft
  • In einigen Fällen wurde berichtet, dass der Zugriff auf interne Systeme zum Diebstahl von Quellcode und vertraulichen Informationen sowie zu Erpressungsforderungen führte
  • Da US-Unternehmen ihre Abwehr verstärkt haben, nimmt das targeting des europäischen Marktes derzeit stark zu

Typische Tendenzen im Bewerbungsprozess

  • Bei Unternehmen wie Socure gehen zuletzt tausende auffällige Bewerbungen ein
  • LinkedIn-Profile sind oft oberflächlich oder haben nur wenige Kontakte, während die Berufserfahrung beeindruckend wirkt; zudem werden Unstimmigkeiten bei Telefonnummern, E-Mail-Adressen und der Nutzung von VPNs erkannt
  • In Video-Interviews treten wiederholt demografisch unstimmige Fälle auf, etwa westliche Namen bei ostasiatischem Erscheinungsbild oder Akzent
  • Es wurde häufig festgestellt, dass Antworten von Bewerbern den Antworten von ChatGPT und anderen KI-Tools ähneln
  • Im persönlichen Eindruck wirken sie tatsächlich freundlich und unauffällig, bei genauerer Prüfung zeigen sich jedoch viele verdächtige Hinweise

Warum Security- und Recruiting-Teams zusammenarbeiten müssen

  • Den meisten Recruitern fehlt Wissen zu Cybersicherheit oder Identitätsmanagement, und mangelnde Kommunikation zwischen HR und Security ist ein Problem
  • Unternehmen wie Netskope schaffen daher Strukturen für die Zusammenarbeit mehrerer Bereiche, etwa durch Meetings zwischen Security, HR und Rechtsabteilung sowie Briefings mit dem lokalen FBI
  • In Remote-Arbeitsumgebungen sind reale Verifikationsschritte wichtig, etwa ein persönlicher Besuch zur Abholung des PCs oder die Prüfung der Adresse
  • Es wird wiederholt beobachtet, dass gefälschte Bewerber den Prozess abbrechen, sobald eine Dokumentenprüfung verlangt wird

Gegenmaßnahmen mit KI und Informationsaustausch

  • Zwar nimmt der Missbrauch neuer Technologien wie KI und Deepfakes zu, doch Unternehmen wie Snowflake nutzen den Aufbau von IoC-Datensätzen und den Informationsaustausch mit Partnern
  • Zu den IoCs gehören Informationen mit hohem Fälschungsrisiko, etwa E-Mail-Adressen, reale Anschriften und Telefonnummern
  • Mit der Strategie einer menschlichen Firewall (Schulung von Recruiting-Verantwortlichen) werden Methoden vermittelt, um Hinweise wie übertriebene Lebensläufe, verzögerte Interviewantworten, Verwechslungen technischer Begriffe oder Callcenter-Umgebungen zu erkennen
  • Letztlich gelten persönliche Interviews sowie Ausreden, warum ein persönliches Treffen angeblich unmöglich sei, als starke Verdachtsmomente
  • Durch die Zusammenarbeit von Unternehmen, Partnern und Behörden wird bereits im Pre-Screening versucht, den Zugang verdächtiger Bewerber vollständig zu blockieren

Ausblick: mehr Organisation und mehr Kriminalisierung

  • Wenn kriminelle Gruppen feststellen, dass eine Methode profitabel ist, neigen sie dazu, sie schnell nachzuahmen und zu verbreiten
  • Das Phänomen dürfte sich nicht auf Nordkorea beschränken, sondern sich wahrscheinlich auch auf andere Länder und die organisierte Kriminalität ausweiten
  • In allen Einstellungsprozessen wächst der Bedarf an engerer Zusammenarbeit zwischen Security- und Recruiting-Teams sowie an Schulungen zu aktuellen Fallmustern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-07-14
Hacker-News-Kommentare

  • Ich denke, man könnte solche Probleme verhindern, wenn persönliche Identitätsprüfungen verpflichtend wären

  • Es heißt, man unterscheide echt/fake anhand von LinkedIn-Profilen mit nur 25 Verbindungen, aber tatsächlich gibt es auch gehackte LinkedIn-Konten. Das Konto eines Kollegen wurde gehackt und hatte über 1.000 echte Kontakte. Foto und Name wurden in etwas ostasiatisch Klingendes geändert, und der Lebenslauf wurde auf Erfahrung bei einem US-Verteidigungsauftragnehmer umgeschrieben. Zum Glück wurde es dank der automatischen Kontosperrung entdeckt, aber es hätte auch gut sein können, dass so ein Zustand lange unbemerkt bleibt. Selbst bei Personen mit Tausenden Kontakten erinnert sich niemand an jede einzelne Verbindung, es gibt keine Benachrichtigung über Namensänderungen, und es ist durchaus denkbar, dass solche gehackten Profile an nordkoreanische IT-Arbeiter verkauft und missbraucht werden

    • Es gibt viele Leute wie mich, die gar kein LinkedIn-Konto haben. Die Offline-Prüfungsidee „Du musst den Laptop persönlich abholen“ halte ich für deutlich wirksamer

  • Jeff Geerling hat kürzlich seine Erfahrung geteilt, vom FBI kontaktiert worden zu sein; es ging dabei um Mini-KVM-Geräte, die nordkoreanische IT-Tarnbewerber strategisch einsetzen. Passendes Video

    • Soweit ich gehört habe, werden die KVM-Geräte hier an mehrere Laptops angeschlossen und tatsächlich in Kellern oder Zimmern von Leuten zu Hause betrieben. Jemand bekommt pro vom Unternehmen bereitgestelltem Laptop einen festen Betrag pro Monat, steckt einen kleinen KVM an das Gerät und ermöglicht so dem Remote-Mitarbeiter den Zugriff. Dadurch wird die Nachverfolgung sehr viel schwieriger

    • Ich kenne mich da nicht aus, aber was genau macht so ein KVM-Gerät? Hat es einfach Ethernet- und HDMI-Ports und ermöglicht Fernsteuerung? Und es wird so dargestellt, als würden Nordkoreaner tatsächlich in fremde Häuser eindringen und das dort anstöpseln, aber das kann ich mir kaum vorstellen. Ich verstehe auch nicht, warum das FBI Jeff Geerling kontaktiert hat. Ehrlich gesagt kannte ich KVM nur als Abkürzung für Linux-Kernel-Virtualisierung

  • Es hieß: „Während US-IT-Unternehmen immer besser darin werden, gefälschte Bewerber zu erkennen, werden nun europäische Firmen zum neuen Ziel.“ Alle Firmen, bei denen ich in den USA gearbeitet habe, haben meine Identität extrem gründlich überprüft. Bei fast allen gehört ein Background Check zum Standard. Europäische Firmen scheinen da eher etwas lockerer zu sein

    • Background Checks bei US-Firmen gehen manchmal so weit, dass sie meine Privatsphäre verletzen. Zum Beispiel verlangen sie vor der Einstellung eine Bonitätsprüfung, Informationen zu Restschulden bei Karten, Auto und Haus, monatlichen Ratenzahlungen und sogar allen Gehältern der letzten sieben Jahre. Das geht meiner Meinung nach zu weit. Wenn sie meine gesamte Lage kennen, ist das auch bei Gehaltsverhandlungen nachteilig

    • Es wurde auch von Fällen berichtet, in denen jemand in einem Unternehmen gefragt wird: „Würdest du deine Identität verleihen?“ Nach außen nutzt man diese Person, die eigentliche Arbeit erledigen aber andere. Das Gehalt wird dann geteilt. Natürlich ist das extrem riskant oder illegal, aber es gibt trotzdem viele Menschen, die leicht Geld verdienen wollen

    • Viele europäische Unternehmen bieten Remote-Arbeit entweder gar nicht oder nur sehr selten an, und selbst wenn sie Video- oder Telefoninterviews führen, verlangen sie fast immer zusätzlich ein persönliches Gespräch. Daher wird zumindest grundsätzlich erwartet, dass man tatsächlich im betreffenden Land lebt. Oft werden auch Kenntnisse der lokalen Sprache verlangt, sodass es für nordkoreanische IT-Arbeiter viel schwieriger ist, durch diesen Prozess zu kommen

    • Auch Background Checks sind nicht perfekt. Ein Lebenslauf kann auf einer gefälschten Identität beruhen, und es kommt auch vor, dass man die Identität eines US-Bürgers kauft und nutzt. Das ist fast die einzige Möglichkeit, die I-9-Identitätsprüfung zu umgehen. Es gibt viele Arten von Background Checks, und etliche Firmen lassen aufwendige Schritte wie die Überprüfung früherer Arbeitgeber einfach weg. Referenzprüfungen sind ebenfalls wenig wert, weil man schon die Referenzen selbst fälschen kann. Am Ende müsste man also auch die Identität der Referenzpersonen verifizieren

    • Das ist eine Form von Betrug. Ein neuer Einwanderer in den USA kann sogar problemlos durch einen Background Check kommen. Eine verbreitete Methode ist, mit gefälschten Abschlüssen und Berufserfahrung als Vertragsentwickler eingestellt zu werden und die Arbeit über Nacht nach Asien auszulagern. Mit Hilfe von ChatGPT wird Remote-Arbeit noch einfacher, weil schon ein Foto vom Monitor genügt, um den Text sofort zu erfassen. Es gibt sogar viele Entwickler, die Teile ihrer eigenen Arbeit auslagern, und manche arbeiten auf diese Weise gleichzeitig an mehreren Stellen

  • Ich frage mich, was das eigentliche Ziel ist, wenn diese Betrüger tatsächlich eingestellt werden. Geht es ihnen wie Industriespionen nur um Informationen? Machen sie auch die ihnen zugewiesene Arbeit? Oder stehlen sie direkt nach dem Einstieg möglichst viele Daten oder Geld und verschwinden, sobald sie auffliegen? Haben sie überhaupt echte IT-Fähigkeiten? Ich frage mich das alles

    • Im Artikel wurden auch Fälle erwähnt, in denen Unternehmensdaten oder Quellcode als Geisel genommen werden, um Lösegeld zu fordern. Selbst wenn sie nicht zu Nordkorea gehören, besteht die Grundstrategie oft einfach darin, bei möglichst vielen Firmen Gehalt zu beziehen und bei Entdeckung zur nächsten weiterzuziehen. Manche halten es in einer Firma ohnehin nur ein oder zwei Monate aus, aber wenn der Vorgesetzte wenig aufmerksam ist, arbeiten sie ohne besondere Probleme ein paar Stunden und kassieren parallel bei mehreren Arbeitgebern Gehalt. So nehmen sie kurzfristige Einnahmen mit, und wenn das ganze Team umstrukturiert wird, gehen sie wieder zurück auf den Arbeitsmarkt

  • Laut einem Tweet, den ich irgendwo gesehen habe, könne man Bewerber aussieben, indem man sie Kim Jong-un kritisieren lässt

    • Das lässt sich leicht aushebeln, wenn man es nur ein- oder zweimal versucht. Wenn ich ein Spion oder in einer Geheimoperation wäre, würde die Organisation mich vermutlich dazu bringen, alles Mögliche zu sagen

    • Wenn mich jemand auffordert, Kim Jong-un zu kritisieren, ist das Gespräch für mich an der Stelle vorbei. Ich kritisiere frei, wenn ich es will. So etwas könnte am Ende eher echte Bewerber aussortieren

    • Wenn solche Screenings tatsächlich häufiger werden, werden manche vermutlich denken: „Ah, ich wurde erkannt“, oder das Risiko als zu hoch ansehen und von selbst abspringen. Ähnlich wie E-Mail-Betrüger absichtlich schlechtes Englisch verwenden: Man will schwierige Fälle früh aussortieren und nur die leichten Ziele anvisieren

    • Solche Fragen muss man vorsichtig filtern. Es muss belegbar sein, dass dieselbe Frage allen Bewerbern gestellt wurde, unabhängig von Ethnie oder Einwanderungsstatus. Eigentlich müsste man diese Frage zur Sicherheit sogar Nicht-Asiaten oder englischen Muttersprachlern stellen, denn Nordkorea könnte künftig auch dazu übergehen, Stellvertreter oder Außenstehende zur Bewerbung einzusetzen

  • Ich finde es erstaunlich, dass solche Fälle immer wieder auftauchen. Ich bin ein ganz normaler und anständiger Mensch und habe trotzdem Mühe, einen vernünftigen Job zu finden. Aber solche Fake-Bewerber werden reihenweise eingestellt. Ich frage mich ernsthaft, was die Unternehmen da eigentlich machen

    • Diese Leute lügen schon in der Bewerbung. Sie stehlen Identitäten, fälschen Berufserfahrung, erfinden Referenzen und hacken LinkedIn. Es sind Spezialisten für Betrug und Interviews. Für sie ist die Jobsuche selbst der Lebensunterhalt, sie agieren organisiert und schaffen es deshalb auf die eine oder andere Weise, irgendwo unterzukommen. An der Qualität der Stelle sind sie gar nicht interessiert. Hauptsache, sie halten sich irgendwo so lange wie möglich. In vielen Firmen kann das Jahre dauern

  • Was wäre, wenn man einfach die erste Arbeitswoche verpflichtend vor Ort macht? Unter dem Vorwand des Onboardings ließe sich das leicht begründen, und ich denke, damit wäre das Problem gelöst

    • Nicht jedes Unternehmen hat ein Büro. Mein vorheriger Arbeitgeber hatte erst sechs Monate nach meinem Einstieg überhaupt ein Büro, und für mehr als die Hälfte der Leute im Land war es drei bis vier Stunden entfernt. Tatsächlich habe ich nur einen Teil des Teams jemals persönlich getroffen; der Rest war über drei Kontinente verteilt

    • Seit Corona sind vollständig Remote-Arbeit und vollständig Remote-Einstellungen alltäglich geworden, weshalb persönliches Onboarding in der Praxis schnell verschwunden ist. Aber da das Bewusstsein für solche Probleme nun wächst, ist es gut möglich, dass persönliche Interviews und Präsenz wieder zum Standard werden

    • Das wäre möglich. Es ist ähnlich wie bei der Aussage, dass gute Passwörter die Sicherheit verbessern. In der Realität machen es viele Unternehmen noch nicht so. Ein weiterer Grund ist, dass eine verpflichtende Präsenz in Woche 1 den Talentpool verkleinert. Auch wenn derzeit wieder viel von Rückkehr ins Büro und 100-Stunden-Wochen die Rede ist, bleibt das ein Nachteil

    • Bei einem Arbeitgeber von mir war es Pflicht, drei Monate lang ins Büro zu kommen. Das „Büro“ war kaum mehr als ein kleines Einzimmer-Apartment, aber für das Ziel hat es gereicht

    • Ich denke, eine verpflichtende Präsenz in Woche 1 würde die Lage verbessern. Natürlich gäbe es trotzdem viele Ausreden, endlose Erklärungen oder Dinge wie „Ich esse nur bestimmtes Essen und bestelle es per DoorDash“

  • Ich denke bei mindestens einem Kollegen, dass es besser gewesen wäre, wenn er lieber so jemand gewesen wäre

  • Irgendetwas ist seltsam. Entwickler schicken hunderte Bewerbungen und bekommen kaum ein einziges Interview, aber nordkoreanische IT-Arbeiter mit schlechtem Englisch landen ständig Jobs. Bald muss man auf LinkedIn wohl noch den Obersten Führer loben

    • Bei Betrug hat man nur Erfolg, wenn man wirklich gut darin ist. Dort wird hochprofessionell gelogen, und die Rollen sind aufgeteilt: Leute für das Finden von Bewerber-Pipelines, Teams zum Durchbringen der Kandidaten, Interview-Unterstützung und so weiter. Es wird auch viel automatisiert, um die Effizienz massiv zu steigern. Einzelne Entwickler werden bei Bewerbungsunterlagen, Lebenslauf und Interviews dutzendfach ausgesiebt und versuchen dabei nicht zu lügen, daher ist ihre Erfolgsquote niedrig. Solche Betrugsorganisationen machen dagegen den ganzen Tag nichts anderes und werden deshalb immer besser darin. Ein echter Entwickler sucht nach erfolgreicher Einstellung keinen Job mehr, ein Betrüger dagegen feilt ständig weiter an seinen Methoden der Jobsuche

    • Sie kümmern sich nicht um reale Einschränkungen. Im Lebenslauf steht dann Harvard, Erfahrung bei Meta und alles Mögliche andere, und die Recruiter stufen solche Profile wegen ihrer Auffälligkeit höher ein als meines

    • Ich habe auch mehrfach E-Mails von merkwürdigen Adressen bekommen mit Aussagen wie: „Ich besorge dir einen Job, du musst nur das Interview machen, den Rest erledigen wir. Falscher Name und viel Geld garantiert.“ Ich schließe daraus, dass mein Lebenslauf wohl gut genug ist, um für solche Betrugsmaschen interessant zu sein. Aber diese Variante ist viel zu plump gemacht. 99 % der Ingenieure ignorieren solche Mails einfach sofort

    • In Wirklichkeit schaffen solche Leute es vielleicht eher nur bis zum Interview, statt tatsächlich eingestellt zu werden

    • Vermutlich nutzen solche Leute mehrere Identitäten gleichzeitig