Una nuova ondata di criminalità informatica che sfrutta assunzioni rilassate e processi di sicurezza interni richiede che i dipartimenti delle risorse umane siano più vigili, secondo due avvocati che hanno parlato con HR Dive.

Gli attacchi sono spesso perpetrati da attori statali – sostenuti soprattutto dalla Corea del Nord, sebbene anche altre nazioni possano essere implicate – e comportano l’uso di falsi candidati per ottenere posizioni di lavoro a distanza presso aziende statunitensi, hanno affermato Matthew Welling, partner, e Neda Shaheen, associata, entrambi di Holland & Knight. Una volta assunti, questi individui possono convogliare il reddito ricevuto dai datori di lavoro interessati verso i paesi ospitanti.

Funzionari delle forze dell’ordine federali hanno scoperto uno di questi schemi nel 2024, sostenendo che un cittadino statunitense cospirato con i lavoratori dell’informatica nordcoreani generare 6,8 milioni di dollari in fondi da aziende Fortune 500 in un periodo di circa tre anni. Il mese scorso, il Dipartimento di Giustizia degli Stati Uniti ha annunciato che altri due cittadini statunitensi erano stati condannati al carcere per il loro ruolo in a Schema di frode sul lavoro a distanza della Corea del Nordha riferito Cybersecurity Dive.

Gli autori dei reati utilizzano diversi metodi per infiltrarsi nei datori di lavoro, inclusi i deepfake, una categoria di contenuti fabbricati e prodotti digitalmente che tentano di passare per candidati reali. I cattivi attori impiegano poco tempo per farlo creare candidati al lavoro deepfake che sono in grado di ingannare i datori di lavoro durante il processo di assunzione.

“Non sempre seguono uno schema comune, ma ci sono alcuni punti in comune generali”, ha detto Welling, che ha osservato che le vittime dei sistemi spesso scoprono più dipendenti falsi. “Quello che abbiamo visto dalle organizzazioni che sanno cosa stanno cercando è che spesso, se trovano uno di questi attori, ne trovano di più.”

Come i team delle risorse umane individuano attività sospette

Identificare i dipendenti fraudolenti richiede un coordinamento interdipartimentale e la conoscenza dei potenziali segnali di allarme, ha affermato Welling.

Ad esempio, l’attore potrebbe connettersi a un punto inaspettato all’interno dei sistemi dell’organizzazione, compresi quelli a cui non ha o non dovrebbe avere accesso. Un altro esempio riguarda l’uso di servizi di rete privata virtuale non autorizzati. I fornitori di sicurezza esterni possono aiutare ad avvisare i datori di lavoro di tale attività.

Nel processo di reclutamento, Welling ha affermato che i datori di lavoro dovrebbero diffidare delle situazioni in cui le qualifiche di un dipendente non corrispondono a quelle fornite nel materiale scritto o in cui la voce o l’aspetto del dipendente cambia.

Infine, i datori di lavoro possono ricevere notifiche dalle forze dell’ordine che un dipendente è fraudolento. Queste notifiche tendono ad essere di natura retroattiva data la durata di una tipica indagine penale, ha osservato Welling, e le autorità di regolamentazione spesso non vogliono avvisare i trasgressori avvisando i datori di lavoro.

Se un truffatore identificato dalle forze dell’ordine ha avuto accesso a un database o a una piattaforma fortemente regolamentata, le leggi federali e statali sulla privacy potrebbero richiedere ai datori di lavoro di rivelare che si è verificata una violazione elettronica, ha aggiunto.

Anche i datori di lavoro potrebbero incorrere in sanzioni se un cattivo attore dovesse utilizzare i fondi derivati ​​dal sistema per finanziare attività illegali, ha affermato Shaheen. Le sanzioni possono essere imposte sulla base della responsabilità oggettiva, ha osservato, il che significa che non è necessaria alcuna intenzione da parte del datore di lavoro perché si verifichi una violazione.

“Le aziende potrebbero andare incontro a conseguenze anche se inconsapevolmente assumessero qualcuno e gli dessero il suo stipendio regolare”, ha detto Shaheen. “L’azienda sta cercando di bilanciare non solo l’essere vittima della frode, ma anche l’essere soggetta a controllo legale e normativo”.

Azioni da intraprendere una volta scoperta la sospetta frode

Il processo per rivolgersi a un falso dipendente segue quello di una tipica indagine delle risorse umane, ha affermato Welling, e lo scenario più comparabile è quello operazioni a rischio insider. “Queste persone assomiglieranno maggiormente a addetti ai lavori dannosi”, ha detto Welling dei dipendenti fraudolenti.

Non sempre le risorse umane aprono le indagini sospettando una condotta criminale, ha aggiunto, ma i datori di lavoro che hanno un alto grado di fiducia nella presenza di un cattivo attore possono decidere di limitare preventivamente l’accesso ai sistemi a tali individui per estrema cautela.

Non tutti i segnali d’allarme indicano che un dipendente è in realtà un criminale. Welling ha affermato che i dipendenti potrebbero avere spiegazioni legittime per attività sospette. Ad esempio, un dipendente potrebbe accedere al proprio computer in una posizione insolita perché si sta prendendo cura di un membro della famiglia affetto da una malattia prolungata. Idealmente, il dipendente può comunicare queste informazioni in anticipo, ma questi esempi mostrano le difficoltà legate al riconoscimento delle frodi, ha aggiunto.

Inoltre, i malintenzionati dietro i programmi di frode sui lavoratori spesso sono molto cooperativi e comunicativi con i datori di lavoro che li sospettano di comportamenti illeciti, ha osservato Welling. I clienti hanno visto sospetti truffatori arrivare al punto di restituire i loro laptop aziendali o organizzare un contatto di persona per incontrare il datore di lavoro in un ufficio per dissipare le preoccupazioni, uno dei tanti “passi estremi” che possono essere presi solo per garantire che il sistema possa persistere ancora un po’.

“Gli attori sembrano essere motivati ​​a ricevere un altro stipendio o una buonuscita o qualcosa del genere”, ha detto Welling. “Per un’organizzazione che non sa ancora cosa sta vedendo, non suscita lo stesso allarme di qualcuno che si comporta come un criminale.”

Se un cattivo attore riesce a farsi assumere in un’azienda, può fungere da riferimento per altri attori simili utilizzando la sua conoscenza del processo di assunzione del datore di lavoro, ha aggiunto Welling.

Internamente, le risorse umane dovrebbero lavorare con team legali e finanziari in modo che i modelli di attività criminale possano essere identificati e seguiti, ha affermato Welling. Se viene scoperta una frode, le risorse umane possono anche trasmettere i modelli osservati di comportamento sospetto a manager e altri leader per riferimento futuro.

I falsi programmi di lavoro tendono a influenzare la grande forza lavoro remota e i ruoli all’interno delle organizzazioni che non richiedono un’interazione minuto per minuto con altri dipendenti, ha affermato Welling. Tali ruoli tendono anche a essere suscettibili all’uso di strumenti di intelligenza artificiale che aiuterebbero il truffatore a svolgere il lavoro.

I datori di lavoro dovrebbero aver cura di documentare tutte le azioni intraprese per affrontare le sospette frodi, nonché tutto il lavoro svolto per corroborare i loro sospetti, ha continuato Welling. Ciò garantisce che l’azienda possa proteggersi da eventuali future pretese legali e può indicare il fatto che ha seguito politiche e procedure ragionevolmente sviluppate e che hanno coinvolto i membri corretti dell’organizzazione.

“Queste sono tutte decisioni che le aziende dovranno prendere, ma dovrebbero almeno avere un programma”, ha affermato.