มาดูกันว่าภัยคุกคามจากคนในรูปแบบใหม่ล่าสุด ที่พนักงานไอทีเกาหลีเหนือ ปลอมตัวแฝงไปในบริษัทตะวันตก มันเป็นยังไง
เรื่องเริ่มขึ้นเมื่อ ก.ค. 2024 ที่ KnowBe4 ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ เริ่มสังเกตเห็นอะไรแปลกๆ จากพนักงานใหม่คนหนึ่ง เขาคนนี้เริ่มไปยุ่งกับไฟล์ที่อาจเป็นอันตราย แถมยังพยายามรันโปรแกรมแปลกๆ ที่ไม่ได้รับอนุญาตด้วย
สุดท้ายก็โป๊ะแตก! ว่าเขาเป็นชาวเกาหลีเหนือที่หลอกทีม HR จนได้เข้ามาทำงานแบบรีโมตกับบริษัท ที่น่าทึ่งคือ เขาผ่านสัมภาษณ์วิดีโอคอลถึง 4 รอบ แถมยังผ่านการเช็กประวัติ และการคัดกรองก่อนจ้างงานมาได้อย่างฉลุย
เรื่องนี้สะท้อนให้เห็นเลยว่า ไม่มีบริษัทไหนรอดพ้นจากความเสี่ยงที่จะเผลอจ้าง "หนอนบ่อนไส้" เข้ามา ภัยคุกคามที่มาในคราบของ "ตัวตน" (Identity-based threats) มันไม่ได้มีแค่รหัสผ่านโดนขโมย หรือบัญชีถูกแฮ็กอีกต่อไป แต่มันลามมาถึงตัวคนที่กำลังจะเข้ามาเป็นพนักงานของเราแล้ว และในยุคที่ AI ปลอมแปลงอะไรๆ ได้เนียนขึ้นทุกวัน ก็ถึงเวลาที่เราต้องยกระดับกระบวนการจ้างงานกันอย่างจริงจัง
ภัยนี้มันใหญ่แค่ไหน?
คุณอาจจะอึ้งเลยถ้าได้รู้ว่า ภัยคุกคามนี้มันระบาดไปไกลแค่ไหน เรื่องแบบนี้มันเกิดขึ้นมานานแล้ว อย่างน้อยก็ตั้งแต่เดือนเมษายน 2017 ตามข้อมูลจากใบประกาศจับของ FBI
ESET Research เรียกขบวนการนี้ว่า "WageMole" ซึ่งก็ทับซ้อนกับกลุ่มที่นักวิจัยค่ายอื่นเรียกว่า UNC5267 และ Jasper Sleet
Microsoft บอกว่า รัฐบาลสหรัฐฯ เจอบริษัทมากกว่า 300 แห่ง (รวมถึงบริษัทใหญ่ระดับ Fortune 500) ที่ตกเป็นเหยื่อด้วยวิธีนี้ในช่วงปี 2020-2022 จนเมื่อเดือนมิถุนายนที่ผ่านมา Microsoft ต้องระงับบัญชี Outlook และ Hotmail กว่า 3,000 บัญชี ที่ถูกสร้างโดยนักหางานชาวเกาหลีเหนือเหล่านี้
ยังไม่หมด มีคดีในสหรัฐฯ ที่ฟ้องชาวเกาหลีเหนือ 2 คน กับ "ผู้ช่วย" อีก 3 คน ที่แอบเข้าไปทำงานในบริษัทกว่า 60 แห่ง และทำเงินไปได้มากกว่า 860,000 ดอลลาร์ (จากแค่ 10 บริษัทแรก)
แต่นี่ไม่ใช่แค่ปัญหาของอเมริกา นักวิจัย ESET เตือนว่าเป้าหมายเริ่มย้ายมาที่ยุโรปแล้ว ทั้งฝรั่งเศส โปแลนด์ และยูเครน ในขณะที่ Google ก็ออกมาเตือนว่า บริษัทในอังกฤษก็กำลังโดนจ้องอยู่เหมือนกัน
แล้วพวกเขาทำกันยังไง?
เชื่อกันว่า มีคนงานเกาหลีเหนือหลายพันคน อาจใช้วิธีนี้แฝงตัวเข้ามา
โดยพวกเขาจะสร้าง หรือขโมย ตัวตนให้ตรงกับประเทศของบริษัทเป้าหมาย จากนั้นก็เปิดบัญชีอีเมล, โปรไฟล์โซเชียลมีเดีย, หรือบัญชีปลอมบนแพลตฟอร์มอย่าง GitHub เพื่อให้โปรไฟล์ดูน่าเชื่อถือ
ในระหว่างสัมภาษณ์ พวกเขาอาจใช้ภาพและวิดีโอ Deepfake หรือใช้โปรแกรมสลับใบหน้าและเปลี่ยนเสียง เพื่อปลอมแปลงตัวตนหรือสร้างตัวตนใหม่ขึ้นมาเลย
นักวิจัย ESET ยังพบว่ากลุ่ม WageMole นี้ เชื่อมโยงกับอีกแคมเปญของเกาหลีเหนือที่ชื่อ "DeceptiveDevelopment" ซึ่งมุ่งเป้าไปที่การหลอกนักพัฒนาฝั่งตะวันตก ให้มาสมัครงานในตำแหน่งที่ไม่มีอยู่จริง มิจฉาชีพจะขอให้เหยื่อทำแบบทดสอบเขียนโค้ด (Coding challenge) แต่โปรเจกต์ที่เหยื่อดาวน์โหลดมาทำนั้น จริงๆ แล้วมีโค้ดอันตราย (Trojanized code) แฝงอยู่
หลังจากนั้น กลุ่ม WageMole ก็จะขโมยตัวตนของนักพัฒนาเหล่านี้ ไปใช้สมัครงานต่อนั่นเอง
หัวใจสำคัญของการต้มตุ๋นนี้อยู่ที่ "ผู้ช่วยเหลือ" ที่อยู่ในต่างประเทศ โดยคนเหล่านี้จะคอย:
- สร้างบัญชีบนเว็บหางานฟรีแลนซ์
- สร้างบัญชีธนาคาร หรือให้คนงานเกาหลีเหนือยืมบัญชีของตัวเอง
- ซื้อเบอร์มือถือหรือซิมการ์ด
- ช่วยยืนยันตัวตนปลอมๆ ในระหว่างที่บริษัทตรวจสอบประวัติ
พอพนักงานตัวปลอมได้งาน คนพวกนี้จะไปรับแล็ปท็อปของบริษัทมาติดตั้งใน "ฟาร์มแล็ปท็อป" (Laptop farm) ที่ตั้งอยู่ในประเทศเดียวกับบริษัท จากนั้น พนักงานไอทีเกาหลีเหนือตัวจริง ก็จะใช้ VPN, Proxy, โปรแกรมรีโมต (RMM) หรือเซิร์ฟเวอร์เสมือน (VPS) เพื่อซ่อนตำแหน่งที่แท้จริงของตัวเอง
ผลกระทบต่อบริษัทที่โดนหลอกนั้นมหาศาลมาก ไม่ใช่แค่คุณกำลังจ่ายเงินเดือน ให้คนจากประเทศที่โดนคว่ำบาตรหนักๆ โดยไม่รู้ตัว แต่พนักงานปลอมพวกนี้ ยังได้สิทธิ์ระดับสูง (Privileged access) ในการเข้าถึงระบบสำคัญๆ ของบริษัทด้วย
มันก็เหมือนเปิดประตูหลังบ้าน ต้อนรับให้โจรเข้ามาขโมยข้อมูลสำคัญ หรือแม้กระทั่งจับบริษัทเรียกค่าไถ่เลยทีเดียว
วิธีจับตาดู – และหยุดยั้ง
การที่เราเผลอไปสนับสนุนทางการเงิน (โดยไม่รู้ตัว) ให้กับโครงการนิวเคลียร์ของรัฐที่ถูกโดดเดี่ยว ถือเป็นความเสียหายต่อชื่อเสียงบริษัทอย่างรุนแรง ยังไม่นับความเสี่ยงทางการเงิน ที่จะโดนเจาะระบบอีก
แล้วเราจะป้องกันบริษัทของเรา ไม่ให้เป็นเหยื่อรายต่อไปได้ยังไง?
1. ต้องจับให้ได้ตั้งแต่ตอนสัมภาษณ์
- เช็กโปรไฟล์ดิจิทัล: ทั้งโซเชียลมีเดีย และบัญชีออนไลน์อื่นๆ ดูว่ามันไปคล้ายกับคนที่พวกเขาอาจขโมยตัวตนมาหรือเปล่า (พวกเขาอาจสร้างหลายโปรไฟล์ปลอม โดยใช้ชื่อต่างกันเพื่อสมัครงาน)
- สังเกตความไม่สมเหตุสมผล: อ้างว่าเป็น "นักพัฒนาซีเนียร์" แต่โค้ดใน GitHub ดูพื้นๆ หรือบัญชีเพิ่งสร้าง แบบนี้ต้องเอะใจแล้ว
- ยืนยันตัวตน: ต้องมีเบอร์โทรศัพท์ที่ใช้งานได้จริงและไม่ซ้ำใคร เช็กเรซูเม่ว่ามีอะไรแปลกๆ ไหม ตรวจสอบว่าบริษัทที่อ้างอิงมีอยู่จริง โทรหรือวิดีโอคอลหาคนอ้างอิงโดยตรง (โดยเฉพาะถ้าเป็นคนจากบริษัทจัดหางาน ต้องเพ่งเล็งเป็นพิเศษ)
- สู้ด้วยวิดีโอคอล: เพราะหลายคนใช้ Deepfake ทั้งเสียง วิดีโอ และภาพ เราต้องยืนยันที่จะสัมภาษณ์ผ่านวิดีโอ และควรสัมภาษณ์หลายๆ รอบ
- จับพิรุธตอนคอล: ถ้าอ้างว่า "กล้องเสีย" นี่คือสัญญาณอันตรายตัวใหญ่ๆ ขอให้เขาปิดฟิลเตอร์พื้นหลัง เพื่อจะได้เห็นชัดๆ (มองหาจุดผิดปกติ เช่น ภาพกระตุก, สีหน้าแข็งทื่อ, หรือปากขยับไม่ตรงกับเสียง)
- ลองถามคำถามเฉพาะถิ่น: ถามเรื่องที่เกี่ยวกับสถานที่ที่เขา "อ้างว่า" อยู่ เช่น ของกินดังๆ หรือทีมกีฬาแถวนั้น ดูว่าตอบได้ไหม
2. คอยสอดส่องพฤติกรรมน่าสงสัยหลังเริ่มงาน
- ระวังพฤติกรรมแปลกๆ: เช่น ใช้เบอร์มือถือจีน , ได้แล็ปท็อปบริษัทปุ๊บ ลงโปรแกรมรีโมต (RMM) ทันที , หรือทำงานนอกเวลาปกติบ่อยๆ
- เช็ก IP: ถ้าแล็ปท็อปไปโผล่ล็อกอินจาก IP จีนหรือรัสเซีย ต้องรีบสวนเลย
- ติดตามพฤติกรรม: คอยดูพฤติกรรมการล็อกอิน, การถ่ายโอนไฟล์ขนาดใหญ่, หรือเวลาทำงานที่เปลี่ยนไปจากปกติ
- ดูที่ "เจตนา": ไม่ใช่แค่เห็นแจ้งเตือนแล้วตัดสิน บางทีความผิดพลาด กับ "การจงใจทำ" มันต่างกันแค่ที่เจตนา
- ใช้เครื่องมือช่วย: ใช้เครื่องมือจับตาดู "ภัยคุกคามจากคนใน" (Insider Threat Tools) เพื่อมองหาพฤติกรรมที่ผิดปกติ
3. ถ้าเจอแล้ว ต้องจำกัดความเสียหาย
- อย่าเพิ่งโวยวาย: ถ้าคุณคิดว่าเจอ "ตัวจริง" เข้าแล้ว อย่าเพิ่งโวยวายให้ไก่ตื่น
- จำกัดสิทธิ์เงียบๆ: ค่อยๆ จำกัดสิทธิ์การเข้าถึงระบบสำคัญๆ แล้วแอบดูกิจกรรมในเครือข่ายของเขา เรื่องนี้ต้องคุยกันเงียบๆ แค่ในกลุ่มเล็กๆ ที่ไว้ใจได้ (เช่น ไอที, HR, และฝ่ายกฎหมาย)
- เก็บหลักฐาน: เก็บหลักฐานให้ครบ แล้วแจ้งตำรวจ พร้อมปรึกษาฝ่ายกฎหมายของบริษัททันที
พอเรื่องทั้งหมดจบลง ก็อย่าลืมอัปเดตโปรแกรมเทรนนิ่งให้พนักงาน โดยเฉพาะ HR และผู้จัดการฝ่ายไอทีที่คัดเลือกคน ให้พวกเขารู้ทันสัญญาณเตือนภัยเหล่านี้ในอนาคต
ต้องจำไว้ว่า กลยุทธ์และเทคนิคของคนร้ายมันพัฒนาตลอดเวลา คำแนะนำพวกนี้ก็ต้องปรับเปลี่ยนตามยุคสมัยเหมือนกัน วิธีที่ดีที่สุดคือการผสมผสานกัน ทั้ง "ไหวพริบของคน" และ "เครื่องมือเทคโนโลยี" ต้องแน่ใจว่าเราอุดรูรั่วไว้ทุกทางแล้วจริงๆ