“
Sebuah komponen kunci dari skema yang dikembangkan oleh warga Korea Utara dalam mendapatkan pekerjaan teknologi jarak jauh adalah bekerja dengan warga Amerika di daratan utama untuk bertindak sebagai fasilitator atau proxy—dalam pertukaran atas biaya yang besar. Seorang ahli keamanan cyber berpura-pura sebagai seorang Amerika yang bersedia untuk terlibat dalam skema pekerja IT untuk mempelajari seluk beluk skema yang diperkirakan telah menghasilkan ratusan juta dolar bagi Korea Utara, dan memengaruhi ratusan perusahaan Fortune 500.
Pesan yang dikirim Aidan Raney ke profil Fiverr yang dia ketahui dioperasikan 24/7 oleh para insinyur Korea Utara yang mencari rekrutan Amerika cukup sederhana dan langsung.
“Bagaimana saya bisa terlibat?” tanya Raney.
Pertanyaan dengan lima kata itu berhasil, kata Raney, dan beberapa hari kemudian pendiri Farnsworth Intelligence melakukan serangkaian panggilan dengan pengendali Korea Utara barunya. Raney berbicara dengan tiga atau empat orang yang berbeda, semua mengaku bernama “Ben,” dan tampak tidak menyadari bahwa Raney tahu bahwa dia berurusan dengan beberapa individu dan bukan hanya satu orang.
Pada panggilan kedua, Raney mengajukan pertanyaan cepat demi mempelajari titik-titik halus dalam bertindak sebagai proxy untuk pengembang perangkat lunak Korea Utara yang berpura-pura sebagai warga Amerika untuk mendapatkan pekerjaan teknologi jarak jauh.
Bagaimana para insinyur Korea Utara akan menangani beban kerjanya? Rencananya adalah menggunakan alat akses jarak jauh di Webex untuk menghindari deteksi, kata Raney kepada Fortune. Dari situ, Raney belajar bahwa dia akan diminta untuk mengirimkan 70% dari gaji yang dia peroleh di pekerjaan potensial ke Ben menggunakan kripto, PayPal, atau Payoneer, sementara mereka akan menangani pembuatan profil LinkedIn yang dimanipulasi untuknya serta aplikasi pekerjaan.
Para Ben memberi tahu Raney bahwa mereka akan melakukan sebagian besar tugas, tetapi mereka membutuhkannya untuk menghadiri pertemuan video, pertemuan pagi, dan pertemuan harian. Mereka bahkan mengambil foto kepala Raney dan mengubahnya menjadi foto hitam putih sehingga akan terlihat berbeda dari foto-foto miliknya yang beredar di internet, katanya. Persona yang mereka kembangkan menggunakan identitas Raney adalah seseorang yang sangat berpengalaman dalam pengembangan sistem informasi geografis, dan menulis dalam biografi palsunya bahwa dia telah berhasil mengembangkan perangkat lunak ambulans untuk melacak lokasi kendaraan darurat.
“Mereka menangani hampir semua pekerjaan,” kata Raney kepada Fortune. “Yang mereka coba lakukan adalah menggunakan identitas saya yang sebenarnya untuk menghindari pemeriksaan latar belakang dan hal-hal seperti itu, dan mereka ingin hal itu sangat mirip dengan identitas kehidupan nyata saya.”
Skema penipuan pekerja IT Korea Utara yang luas telah berlangsung sejak sekitar tahun 2018 dan telah menghasilkan ratusan juta dolar pendapatan setiap tahun bagi Republik Demokratik Rakyat Korea (DPRK). Menanggapi sanksi ekonomi yang ketat, pemimpin DPRK mengembangkan lingkaran kejahatan terorganisir untuk mengumpulkan intelijen yang akan digunakan dalam perampokan kripto dan operasi malware selain mendeploy ribuan pengembang perangkat lunak terlatih ke Tiongkok dan Rusia untuk mendapatkan pekerjaan sah di ratusan perusahaan Fortune 500, menurut Departemen Kehakiman.
Pekerja IT diperintahkan untuk mengirim sebagian besar gajinya kembali ke Korea Utara. PBB melaporkan pekerja yang dibayar lebih rendah yang terlibat dalam skema tersebut diizinkan untuk menyimpan 10% dari gaji mereka, sementara karyawan yang dibayar lebih tinggi menyimpan 30%. PBB memperkirakan pekerja tersebut menghasilkan sekitar $250 juta hingga $600 juta dari gaji mereka setiap tahun. Uang tersebut digunakan untuk mendanai program senjata pemusnah massal dan misil balistik Korea Utara, menurut Departemen Kehakiman, FBI, dan Departemen Luar Negeri.
Dalam dua tahun terakhir, Departemen Kehakiman telah menuntut puluhan orang yang terlibat dalam skema tersebut, tetapi para ahli keamanan cyber mengatakan bahwa dakwaan tersebut tidak menghentikan skema IT yang menguntungkan tersebut. Bahkan, skema tersebut telah menjadi lebih canggih dari waktu ke waktu, dan warga Korea Utara terus mengirimkan banyak aplikasi ke postingan pekerjaan terbuka menggunakan kecerdasan buatan untuk menyempurnakan biografi dan melatih proxy Amerika melalui pertanyaan wawancara.
Bojan Simic, pendiri perusahaan verifikasi identitas Hypr, mengatakan aspek rekayasa sosial telah berkembang, dan insinyur Korea Utara—serta lingkaran kejahatan lain yang meniru skema tersebut—menggunakan informasi publik ditambah kecerdasan buatan untuk memperkuat taktik-taktik masa lalu yang telah berhasil untuk mereka. Misalnya, pekerja IT akan melihat profil karyawan perusahaan di LinkedIn untuk mengetahui tanggal mulai mereka, dan kemudian menelepon helpdesk menggunakan kecerdasan buatan untuk menyamarkan suara mereka untuk mereset kata sandi mereka. Begitu mereka sampai ke pertanyaan keamanan berikutnya, mereka akan menutup telepon dan menelepon kembali begitu mereka tahu jawaban untuk pertanyaan berikutnya—seperti empat digit terakhir dari nomor Social Security.
“Dua setengah tahun yang lalu, ini adalah proses manual yang dilakukan oleh manusia,” kata Simic. “Sekarang, ini adalah proses yang sepenuhnya otomatis dan orang itu akan terdengar seperti seseorang yang berbicara seperti Anda.”
Dan bukan hanya aksen Amerika yang dipalsukan oleh warga Korea Utara. Seorang petugas keamanan di sebuah bank Jepang mengatakan kepada Simic bahwa dia hampir tidak pernah khawatir tentang peretas yang menelepon helpdesk IT dan menipu karyawan untuk memberikan informasi karena kebanyakan peretas tidak berbicara bahasa Jepang—mereka berbicara bahasa Rusia atau Tionghoa, ingat Simic.
“Sekarang, tiba-tiba, para peretas bisa berbicara bahasa Jepang lancar dan mereka bisa menggunakan kecerdasan buatan untuk melakukannya,” katanya. Ini benar-benar mengubah lanskap risiko tentang bagaimana perusahaan merespons ancaman-ancaman ini, kata Simic.
Meskipun demikian, ada metode untuk memperkuat praktik perekrutan untuk membasmi pencari kerja yang menggunakan identitas palsu.
“Menambahkan sedikit gesekan dalam proses memverifikasi identitas” orang yang melamar pekerjaan seringkali akan mendorong insinyur Korea Utara untuk mencari target yang lebih mudah, jelaskan Simic. Memadankan lokasi IP dengan lokasi telepon dan meminta kamera untuk dihidupkan dengan pencahayaan yang memadai dapat memberikan dampak besar, katanya.
Dalam kasus Raney, para Ben mendapatkannya wawancara kerja dan mereka menggunakan akses jarak jauh untuk membuka aplikasi Notepad di layarnya sehingga mereka dapat menulis tanggapan terhadap pertanyaan perekrut selama diskusi. Skema tersebut berhasil: Kontraktor swasta pemerintah AS memberikan Raney tawaran verbal untuk pekerjaan jarak jauh penuh waktu yang membayar $80.000 per tahun, katanya.
Raney segera harus mengatakan kepada perusahaan bahwa dia tidak bisa menerima tawaran tersebut dan bahwa dia terlibat dalam investigasi respons kejadian untuk seorang klien.
Akhirnya dia membiarkan semuanya mereda dengan para Ben Korea Utara, tetapi sebelum dia melakukannya, dia menghabiskan waktu mencoba membuat mereka terbuka. Dia bertanya tentang keluarga mereka, atau cuaca. Dia mengirim pesan teks kepada para Ben dan bertanya apakah mereka menghabiskan waktu dengan keluarga selama liburan. Mereka menjawab bahwa tidak ada yang lebih baik daripada menghabiskan waktu dengan orang yang dicintai, menambahkan emoji wink, yang membuat Raney merasa berbeda dari cara mereka biasanya merespons. Berdasarkan pesan-pesan tersebut, dan melihat orang-orang yang berjalan di belakang mereka dan berjalan di belakang mereka selama panggilan video, Raney menyimpulkan bahwa percakapannya selalu dimonitor dengan ketat dan para insinyur Korea Utara selalu disurvei.
Cerita Raney pertama kali dilaporkan di HUMINT, sebuah langganan Substack yang mencakup komunitas intelijen. Sebelum reporter keamanan nasional Sasha Ingber menerbitkan ceritanya, Raney mengirim catatan kepada para Ben Korea Utara yang mengatakan, “Maaf. Tolong kabur jika bisa.”
Pesan itu tidak pernah dibuka.
Sebagai tanggapan atas permintaan komentar, LinkedIn mengarahkan Fortune ke pembaruan mereka mengenai memerangi akun palsu.
Seorang juru bicara Fiverr mengatakan tim kepercayaan dan keamanan perusahaan terus memantau penjual untuk memastikan kepatuhan dan terus memperbarui kebijakan mereka untuk mencerminkan lanskap politik dan sosial yang berkembang.
Dalam sebuah pernyataan, Payoneer mengatakan kepada Fortune bahwa perusahaan menggunakan program kepatuhan dan pemantauan yang kuat untuk melawan tantangan agen DPRK yang berpura-pura sebagai konsultan IT.
Cerita ini awalnya diterbitkan di Fortune.com
“