Задержка ввода при нажатии клавиш не является чем-то чуждым, особенно в экосистеме Windows. Устаревшие драйверы клавиатуры, фильтрация клавиш и фоновое программное обеспечение — вот некоторые из причин проблемы. В игровых кругах ставки выше, где скорость ответа может составлять менее миллисекунды, особенно для энтузиастов киберспорта. Интересно, что Amazon использовал ту же метрику, чтобы обнаружить удаленного работника, находящегося в шокирующем регионе.
Amazon удалось поймать работника после того, как он обнаружил подозрительно высокую задержку нажатия клавиш. Начальник службы безопасности Amazon Стивен Шмидт рассказал Bloomberg, что их нажатия клавиш регистрируются в рабочем процессе за 110 миллисекунд, а для сотрудника, работающего удаленно в США, это число обычно составляет всего несколько десятков миллисекунд.
Сотрудник был уволен через несколько дней после того, как было отмечено подозрительное поведение и установлено его истинное местонахождение. Ноутбук, отправленный Amazon указанному сотруднику, предположительно находившемуся в США, на самом деле управлялся удаленно из совершенно другого места: Северной Кореи. Страна подверглась серьезным санкциям, и в результате американские компании не могут нанимать из нее работников. Когда команда Amazon углубилась в детали, представленные подрядчику по найму, были обнаружены явные признаки мошенничества, которое в последнее время было использовано северокорейцами в качестве оружия. «Если бы мы не искали рабочих КНДР, мы бы их не нашли», — сказал Шмидт. Напомним, что компании часто устанавливают программное обеспечение, которое распознает угрозы безопасности на компьютерах, закрепленных за сотрудниками, а также отслеживает их производительность с помощью частоты щелчков мыши и ввода с клавиатуры.
Темный узор
Обнаружение и последующее увольнение сотрудника Amazon из Северной Кореи не является единичным инцидентом для гиганта электронной коммерции. Amazon отклонил 1800 заявлений о приеме на работу, связанных с северокорейскими агентами, которые полагаются на украденные или поддельные личные данные при удаленной работе. Шмидт написал в сообщении на LinkedIn, что число таких кандидатов выросло на 27%, добавив, что эти приложения нацелены на ИТ-компании по всему миру, и что США являются горячей точкой для этих инцидентов.
«Их цель, как правило, проста: получить работу, получить зарплату и направить зарплату обратно на финансирование оружейных программ режима», — написал руководитель Amazon, предупредив, что мошенничество разворачивается по всей отрасли. Amazon полагается на сочетание проверки на базе искусственного интеллекта и человеческой проверки для выявления факторов риска и несоответствий местоположения в заявлениях о приеме на работу. Кроме того, существуют строгие протоколы проверки анкетных данных, позволяющие гарантировать, что компания нанимает законного кандидата. Шмидт подчеркнул, как мошенники захватывают неактивные профили LinkedIn, чтобы выдать себя за законных американских работников с опытом, и что существует сеть злоумышленников, предлагающих такие услуги за определенную плату.
В июне правительство США обнаружило 29 известных или предполагаемых «ферм ноутбуков», действующих в 16 штатах, связанных с Северной Кореей. Рабочие использовали поддельные удостоверения личности для удаленной работы в технологических компаниях после получения помощи от лиц из США, Китая, Объединенных Арабских Эмиратов и Тайваня. Месяц спустя женщина из Аризоны была арестована за то, что она помогала гражданам Северной Кореи получить работу в сотне американских компаний и приносила миллионные доходы стране, попавшей под санкции. В то же время хакеры, связанные с Северной Кореей, продолжают представлять собой серьезную угрозу безопасности: в ходе их последней кибер-ограбления было украдено 1,5 миллиарда долларов в криптовалюте.
