Sebuah penyedia alat verifikasi identitas dan pencegahan penipuan baru-baru ini menjadi target oleh beberapa pekerja IT dari Korea Utara yang mengelola banyak identitas palsu. Banyak resume dikirim ke Socure untuk posisi pengembang perangkat lunak yang mengaku pernah bekerja di perusahaan ternama seperti Amazon, Google, dan Netflix. Ternyata semuanya palsu.
“Anthony dari Staten Island” punya kredensial yang bagus dan mengaku pernah kerja di Meta Platforms. Saat wawancara via Zoom untuk posisi insinyur perangkat lunak senior, pria yang mengaku asal New York ini terlihat ramah dan fasih saat cerita tentang pengalamannya membuat aplikasi chat penting di raksasa media sosial bernilai $1,6 triliun itu.
Selama 20 menit pertama, semuanya berjalan lancar. Anthony tersenyum, menjawab dengan natural, dan memberikan respon yang baik. Tapi tiba-tiba semuanya berubah.
“Yang paling mencolok adalah dia sangat ramah,” kata Rivka Little, kepala petumbuhan di Socure. “Kamu bisa lihat kenapa orang bisa tertipu oleh ini.”
Saat wawancara masuk ke pertanyaan dua bagian yang lebih rumit, Anthony mulai kebingungan. Dia terlihat lebih kaku dan kurang yakin, kata Little ke Fortune.
Socure percaya Anthony adalah pekerja IT Korea Utara, bagian dari organisasi kriminal yang terlatih dan licik dari Korea Utara (DPRK). Pekerja IT DPRK ini pakai identitas Amerika, asli atau palsu, dan melamar kerja remote di perusahaan Amerika dan Eropa.
Skema ini sangat sukses. Ratusan perusahaan Fortune 500 tanpa sadar mempekerjakan ribuan pekerja IT dari DPRK, dan gaji mereka dikirim ke pemimpin Korea Utara Kim Jong Un. Uang itu dipakai untuk membiayai program senjata pemusnah massal negara itu. Skema ini menghasilkan $200 juta sampai $600 juta per tahun, menurut perkiraan PBB, dan pekerja IT DPRK bekerja sama dengan penjahat cyber yang bertanggung jawab atas pencurian crypto miliaran dolar.
Skema ini sangat luas sampai-sampai beberapa pendiri tech meminta calon pelamar untuk menghina Kim sebelum wawancara resmi. Pekerja IT DPRK selalu diawasi dan menghina pemimpin mereka akan berakibat hukuman berat.
Ancaman ini semakin besar. Tahun ini, Kim menggandakan target pendapatan untuk pekerja dan meluncurkan unit AI baru bernama Research Center 227 untuk mendukung kejahatan cyber, menurut penelitian dari perusahaan keamanan DTEX.
Tanda bahaya dan perubahan taktik
Socure mempublikasikan pengalaman dengan Anthony untuk mengingatkan perusahaan lain dan menghindari praktek perekrutan yang terlalu ketat yang bisa menyulitkan pelamar asli. Tantangannya adalah kandidat palsu ini sangat terampil dan beberapa sangat menarik, jelas Little.
“Siapapun bisa tertipu—dia sangat baik dalam waktu lama,” kata Little.
Beberapa tanda yang dipakai perusahaan tidak akan efektif jangka panjang. Misalnya, Anthony punya nama belakang yang terdengar Italia dan mengaku dari Staten Island. Tapi saat wawancara, logatnya tidak cocok dengan ceritanya.
“Orang datang dalam berbagai bentuk,” katanya. Perbedaan kecil jangan dipakai untuk menolak kandidat. Dan meski pekerja IT DPRK sering pakai nama Barat klise, jika mereka sedikit mengubah skema dan pakai nama yang cocok dengan logat mereka, tanda itu bisa hilang.
Yang lebih jelas, kata Little, adalah ketidaksesuaian dalam jejak digital Anthony. Banyak resume palsu yang dikirim ke Socure punya nama-nama besar seperti Google, Meta, Amazon, dan Netflix, dan pelamar mengaku bertanggung jawab atas produk inovatif di sana. Tapi saat dicek dengan karyawan Meta di masa Anthony katanya kerja di sana, tidak ada yang kenal dia.
Tanda lain adalah ketidakmatangan identitas digital Anthony. Email dan nomor teleponnya baru terhubung dengan namanya selama beberapa minggu. Biasanya orang punya nomor dan email yang sudah lama terkait dengan mereka. Dan meski punya profil LinkedIn dengan riwayat kerja dan tulisan “Open to work”, Anthony jarang aktif di platform itu. Tidak biasa untuk seseorang dengan latar belakang tech yang kuat.
Tapi perusahaan sebaiknya tidak membuat proses yang terlalu sulit bagi pelamar asli. Selain itu, meski skema pekerja IT Korea Utara berisiko bagi perusahaan, ada juga skema penipuan yang target pelamar kerja. Seorang wanita pernah menghubungi Socure dan cerita dia diwawancara oleh HR palsu dan kehilangan ribuan dolar setelah memberikan nama, KTP, dan detail rekening bank karena mengira dia diterima kerja.
Perlu keseimbangan, kata Little. Perusahaan harus lindungi diri dari karyawan palsu, tapi jangan sampai pelamar asli kesulitan melamar.
Little menyarankan perusahaan memakai verifikasi identitas pasif di platform HR mereka dan teknik wawancara yang cermat untuk mendeteksi jawaban script atau pemakaian AI. Jejak digital juga bisa membantu mengungkap penipuan.
“Saya jarang melihat persilangan penipuan, pencucian uang, dan pelanggaran sanksi seperti ini,” kata Little. “Ini badai sempurna.”
Cerita ini awalnya muncul di Fortune.com