Tuyển dụng freelancer Bắc Triều Tiên: Cẩn trọng chiêu thức gián điệp

Bạn có phải là một freelancer đang tìm kiếm cơ hội làm việc từ xa? Nguy cơ bị lợi dụng bởi các gián điệp Bắc Triều Tiên có thể đang rình rập, theo một nghiên cứu tình báo mạng mới nhất. Các đặc vụ Triều Tiên đang thay đổi chiến lược, nhắm mục tiêu vào các lao động tự do để sử dụng danh tính của họ làm vỏ bọc, nhằm giành lấy các hợp đồng làm việc từ xa và mở tài khoản ngân hàng, né tránh sự phát hiện của quốc tế. Đây là một chiêu thức tinh vi mà mọi người cần hết sức cảnh giác.

Chiến lược chiêu mộ mới của gián điệp Bắc Triều Tiên

Trước đây, các đặc vụ IT của Bắc Triều Tiên thường sử dụng giấy tờ tùy thân giả mạo để giành được các hợp đồng từ xa. Tuy nhiên, theo Heiner García, chuyên gia tình báo mối đe dọa không gian mạng tại Telefónica và nhà nghiên cứu bảo mật blockchain, phương pháp này đã gặp nhiều rào cản. Giờ đây, họ đang chuyển sang một chiến lược nguy hiểm hơn: chiêu mộ freelancer Bắc Triều Tiên làm proxy định danh.

Từ ID giả mạo đến proxy định danh

Thay vì tự tạo ID giả, các đặc vụ liên hệ với những người tìm việc trên các nền tảng như Upwork, Freelancer và GitHub. Sau đó, họ chuyển cuộc trò chuyện sang Telegram hoặc Discord. Tại đây, họ hướng dẫn các lao động tự do cách thiết lập phần mềm truy cập từ xa và vượt qua các quy trình xác minh danh tính. Bằng cách dựa vào danh tính thật và kết nối internet địa phương, các đặc vụ có thể dễ dàng vượt qua các hệ thống được thiết kế để gắn cờ các khu vực địa lý có rủi ro cao hoặc sử dụng VPN.

Phương thức hoạt động tinh vi

Chủ sở hữu thực sự của danh tính chỉ nhận được một phần nhỏ trong số tiền lương, thường chỉ bằng 1/5. Phần còn lại được chuyển hướng cho các đặc vụ thông qua tiền điện tử hoặc thậm chí là tài khoản ngân hàng truyền thống. Quá trình chiêu mộ này cho phép các đặc vụ duy trì quyền truy cập liên tục vào các danh tính và chuyển sang các danh tính mới khi bị phát hiện. Nghiên cứu của García cho thấy các đặc vụ thường yêu cầu nạn nhân cài đặt phần mềm như AnyDesk hoặc Chrome Remote Desktop để làm việc từ máy của nạn nhân, khiến nền tảng tin rằng đó là một IP trong nước.

Nạn nhân và những âm mưu ẩn giấu

Nhiều freelancer bị lợi dụng không hề hay biết về bản chất thực sự của những kẻ mà họ đang giao dịch. Họ nghĩ rằng mình đang tham gia vào một thỏa thuận hợp đồng phụ bình thường. Tuy nhiên, có những trường hợp, nạn nhân dường như biết chính xác những gì mình đang làm, trở thành đồng phạm trong mạng lưới này.

Thao túng qua phần mềm truy cập từ xa

Theo nhật ký trò chuyện mà García đã xem xét, các tân binh chỉ hỏi những câu hỏi cơ bản như “Chúng ta sẽ kiếm tiền bằng cách nào?” và không thực hiện bất kỳ công việc kỹ thuật nào. Họ chỉ có nhiệm vụ xác minh tài khoản, cài đặt phần mềm truy cập từ xa và giữ thiết bị trực tuyến. Trong khi đó, các đặc vụ sẽ sử dụng danh tính của họ để nộp đơn xin việc, nói chuyện với khách hàng và hoàn thành công việc. Điều này cho thấy vai trò của lao động tự do bị lôi kéo chỉ là một công cụ trong âm mưu rộng lớn hơn.

Những kẻ đồng lõa và mạng lưới laptop farm

Hoạt động này không chỉ dừng lại ở việc lừa đảo cá nhân. Tháng 8 năm 2024, Bộ Tư pháp Hoa Kỳ đã bắt giữ Matthew Isaac Knoot ở Nashville vì điều hành một “trang trại laptop”. Knoot đã cho phép các nhân viên IT của Bắc Triều Tiên xuất hiện như những nhân viên có trụ sở tại Hoa Kỳ bằng cách sử dụng danh tính bị đánh cắp. Gần đây hơn, Christina Marie Chapman ở Arizona đã bị kết án hơn 8 năm tù vì điều hành một hoạt động tương tự, chuyển hơn 17 triệu USD cho Bắc Triều Tiên. Trang trại laptop của Chapman đã lừa dối hơn 300 công ty Hoa Kỳ, cho thấy quy mô và mức độ nghiêm trọng của vấn đề lừa đảo freelancer này.

Mục tiêu và hậu quả rộng lớn

Bắc Triều Tiên đã dành nhiều năm để xâm nhập vào các ngành công nghiệp công nghệ và tiền điện tử nhằm tạo ra doanh thu và giành được chỗ đứng ở nước ngoài. Liên Hợp Quốc cho biết công việc IT của Triều Tiên và việc trộm cắp tiền điện tử được cho là đang tài trợ cho các chương trình tên lửa và vũ khí của nước này.

Nhắm vào các đối tượng dễ bị tổn thương

Các đối tượng được nhắm đến có giá trị nhất là ở Hoa Kỳ, Châu Âu và một số khu vực của Châu Á, nơi các tài khoản đã được xác minh cung cấp quyền truy cập vào các công việc doanh nghiệp có giá trị cao và ít hạn chế về địa lý hơn. Tuy nhiên, García cũng quan sát thấy tài liệu thuộc về các cá nhân từ các khu vực có bất ổn kinh tế, như Ukraine và Đông Nam Á. “Họ nhắm mục tiêu vào những người có thu nhập thấp. Họ nhắm mục tiêu vào những người dễ bị tổn thương,” García nói. “Tôi thậm chí còn thấy họ cố gắng tiếp cận những người khuyết tật.”

Từ IT đến các ngành nghề khác

Chiến thuật này vượt ra ngoài lĩnh vực tiền điện tử. Trong một trường hợp được García xem xét, một nhân viên Triều Tiên đã sử dụng danh tính bị đánh cắp của một công dân Hoa Kỳ để giới thiệu mình là một kiến trúc sư từ Illinois, đấu thầu các dự án liên quan đến xây dựng trên Upwork. Khách hàng của họ đã nhận được bản vẽ hoàn chỉnh. Điều này cho thấy mô hình proxy định danh này không chỉ giới hạn trong ngành công nghệ, mà còn mở rộng sang nhiều lĩnh vực khác như thiết kế, hỗ trợ khách hàng và kiến trúc, phản ánh sự linh hoạt và nguy hiểm của hoạt động IT Bắc Triều Tiên.

Thách thức trong việc phát hiện và ngăn chặn

Ngay cả khi các đội ngũ tuyển dụng ngày càng cảnh giác hơn với rủi ro các đặc vụ Bắc Triều Tiên giành được các vai trò từ xa, việc phát hiện thường chỉ xảy ra sau khi hành vi bất thường kích hoạt các cảnh báo đỏ. Khi một tài khoản bị xâm phạm, các tác nhân sẽ chuyển sang một danh tính mới và tiếp tục công việc. Việc này tạo ra một vòng lặp không ngừng của các danh tính mới, gây khó khăn cho việc truy vết và ngăn chặn.

Vòng xoáy tạo tài khoản mới

Trong một trường hợp, sau khi một hồ sơ Upwork bị đình chỉ do hoạt động quá mức, đặc vụ đã chỉ thị cho người được tuyển dụng yêu cầu một thành viên trong gia đình mở tài khoản tiếp theo. Vòng xoáy tạo danh tính này khiến cả trách nhiệm giải trình và quy kết trở nên khó khăn. Người có tên và giấy tờ trên tài khoản thường bị lừa dối, trong khi cá nhân thực sự làm việc lại đang hoạt động từ một quốc gia khác và không bao giờ được các nền tảng tự do hoặc khách hàng nhìn thấy trực tiếp.

Dấu hiệu nhận biết quan trọng

Điểm mạnh của mô hình này là mọi thứ mà hệ thống tuân thủ có thể thấy đều có vẻ hợp pháp. Danh tính là thật, và kết nối internet là cục bộ. Trên giấy tờ, người lao động đáp ứng mọi yêu cầu, nhưng người đứng sau bàn phím lại là một người hoàn toàn khác. García cho biết dấu hiệu cảnh báo rõ ràng nhất là bất kỳ yêu cầu nào liên quan đến việc cài đặt công cụ truy cập từ xa hoặc cho phép ai đó “làm việc” từ tài khoản đã được xác minh của bạn. Một quy trình tuyển dụng hợp pháp không bao giờ cần quyền kiểm soát thiết bị hoặc danh tính của bạn.

Kết luận, nguy cơ tuyển dụng freelancer Bắc Triều Tiên để phục vụ các mục đích phi pháp là có thật và đang ngày càng tinh vi. Các lao động tự do cần đặc biệt cảnh giác trước các yêu cầu bất thường liên quan đến truy cập thiết bị hoặc chia sẻ danh tính. Bảo vệ thông tin cá nhân và thiết bị của mình là cách tốt nhất để tránh trở thành nạn nhân trong các âm mưu tài trợ cho các chương trình vũ khí của Triều Tiên.

Câu hỏi thường gặp (FAQ)

1. Câu hỏi: Gián điệp Bắc Triều Tiên chiêu mộ freelancer để làm gì?
   Trả lời: Gián điệp Bắc Triều Tiên chiêu mộ freelancer để sử dụng danh tính của họ làm proxy, nhằm ký kết các hợp đồng làm việc từ xa, mở tài khoản ngân hàng và thực hiện các giao dịch tài chính bất hợp pháp. Mục đích là để né tránh các hệ thống phát hiện rủi ro địa lý và VPN, từ đó thu lợi bất chính để tài trợ cho các chương trình tên lửa và vũ khí của Triều Tiên.
2. Câu hỏi: Làm thế nào để nhận biết mình đang bị gián điệp Bắc Triều Tiên nhắm đến?
   Trả lời: Dấu hiệu rõ ràng nhất là bất kỳ yêu cầu nào liên quan đến việc cài đặt phần mềm truy cập từ xa (như AnyDesk, Chrome Remote Desktop) hoặc cho phép người khác “làm việc” từ máy tính hoặc tài khoản đã được xác minh của bạn. Quy trình tuyển dụng hợp pháp không bao giờ yêu cầu quyền kiểm soát thiết bị hoặc danh tính của bạn.
3. Câu hỏi: Các nền tảng làm việc tự do như Upwork hay GitHub có thể làm gì để ngăn chặn điều này?
   Trả lời: Mặc dù các nền tảng liên tục cập nhật hệ thống phát hiện, thách thức lớn là các gián điệp sử dụng danh tính và kết nối internet hợp pháp. Việc giám sát hành vi bất thường và cảnh báo người dùng về các yêu cầu truy cập từ xa đáng ngờ là cần thiết. Tuy nhiên, việc liên tục tạo mới các tài khoản thông qua người thân hoặc nạn nhân khiến việc truy vết và ngăn chặn triệt để trở nên khó khăn.