Theo CIO, nhân viên IT giả mạo đang dùng AI để "phù phép" hồ sơ, vượt qua phỏng vấn và chiếm quyền truy cập từ xa vào hệ thống doanh nghiệp. Đây là bài toán hóc búa đòi hỏi sự phối hợp chặt chẽ từ nhiều phía để ngăn chặn.
Thuê nhầm nhân viên IT giả là vấn đề nhức nhối những năm gần đây nhưng ít tổ chức muốn thừa nhận. Từ các tập đoàn Fortune 500 đến công ty nhỏ, quy trình tuyển dụng từ xa đang bị lợi dụng để cài cắm các mối đe dọa nội bộ.
Ước tính có hàng ngàn nhân viên giả đang hoạt động tại Mỹ. Những người này có thể đánh cắp dữ liệu, tuồn thông tin ra nước ngoài, phá hoại hệ thống hoặc chuyển tiền cho các tổ chức bất hợp pháp.
Đại diện Amazon cho biết, họ đã chặn hơn 1.800 nỗ lực nhằm chiếm đoạt các vị trí IT. Giám đốc an ninh Steve Schmidt cảnh báo con số này vẫn đang tiếp tục tăng nhanh.
Trong một số vụ việc, các cá nhân mạo danh người Mỹ để trục lợi cá nhân. Ở mức độ nghiêm trọng hơn, các đặc vụ quốc tế cũng đóng giả nhân viên IT để phục vụ mục đích chính trị và tài chính.
Công nghệ AI đang giúp tạo ra các video deepfake và các buổi phỏng vấn trực tuyến cực kỳ thuyết phục. Khả năng thay đổi danh tính nhanh chóng khiến việc phát hiện trở nên vô cùng khó khăn.
Ông Schmidt cảnh báo đối thủ không còn chỉ làm giả hồ sơ đơn thuần. Chúng đang chuyển sang mua lại các danh tính hợp pháp của công dân Mỹ để thâm nhập sâu hơn.
Chuyên gia Tom Hegel từ SentinelOne nhận định: "Đây không phải là lừa đảo tuyển dụng truyền thống. Đó là vấn đề rủi ro nội bộ, nơi kẻ địch tìm cách được tuyển dụng làm bước đi đầu tiên."
Các CIO và CISO cần đặc biệt cảnh giác vì doanh nghiệp có thể trở thành nạn nhân mà không hề hay biết. Quy trình tuyển dụng hiện nay đang bộc lộ nhiều kẽ hở cho tội phạm khai thác.
Những lỗ hổng trong quy trình tuyển dụng
Nhân viên giả mạo thường che giấu danh tính, làm khống kỹ năng và kinh nghiệm. Họ di chuyển qua các vòng sàng lọc một cách tinh vi mà không để lại dấu vết đáng nghi.
SentinelOne từng theo dõi khoảng 360 danh tính giả với hơn 1.000 đơn xin việc. Đáng chú ý, có những kẻ đã nỗ lực ứng tuyển vào chính công ty bảo mật này.
Kẻ xấu đang triển khai các chiến thuật tâm lý và che giấu danh tính trên quy mô lớn. Quy trình tuyển dụng từ xa vô tình trở thành "cửa ngõ" lý tưởng cho các cuộc tấn công.
Chúng dùng danh tính đánh cắp để tạo hồ sơ trực tuyến hoàn hảo. Khi phỏng vấn, ứng viên dùng kịch bản soạn sẵn, người đóng thế hoặc AI hỗ trợ phản hồi trong thời gian thực.
Ông Hegel cho biết: "Ứng viên giả mạo tận dụng AI để bắt chước người thật, vượt qua kiểm tra lý lịch ban đầu và trả lời phỏng vấn cực kỳ trôi chảy."
Các cuộc điều tra cho thấy nhiều máy chủ chứa thông tin nhân sự bị nhiễm mã độc. Tội phạm còn dùng các "trang trại laptop" để điều khiển thiết bị công ty từ xa từ bên kia biên giới.
Khi đã được thuê, họ được cấp quyền truy cập và trở thành nhân viên nội bộ tin cậy. Rủi ro dài hạn là bạn đã vô tình mở cửa dữ liệu nhạy cảm cho những kẻ có ý đồ xấu.
Phản ứng khi nghi ngờ có nhân viên giả mạo
Khi phát hiện nghi vấn, các CIO cần chuyển hướng từ quy trình tuyển dụng sang quản lý rủi ro nội bộ. Các bước tiếp theo sẽ quyết định mức độ thiệt hại của doanh nghiệp.
Ông George Gerchow (IANS) từng giám sát cuộc điều tra tại MongoDB khi phát hiện thuê nhầm nhân viên IT nước ngoài. Sự việc bắt nguồn từ cảnh báo có người cố gỡ phần mềm bảo mật.
Ông Gerchow chia sẻ: "Hệ thống Overwatch phát hiện laptop của nhân viên mới đang liên lạc với một IP tại nước ngoài. Sự kết hợp giữa việc can thiệp công cụ bảo mật và lưu lượng truy cập lạ chính là dấu hiệu báo động đỏ."
Kẻ này đã dùng danh tính đánh cắp kết hợp với hồ sơ do AI tạo ra. Các bước kiểm tra lý lịch thông thường đã thất bại vì chỉ xác minh thông tin bề nổi mà không phát hiện được gian lận gốc.
Ông Gerchow nhấn mạnh: "Nhiều đợt kiểm tra không thể phát hiện lịch sử làm việc hư cấu. Đó là lý do cá nhân này lọt lưới mà không gây ra cảnh báo chính thức nào."
Nếu không bị phát hiện kịp thời, kẻ gian sẽ thiết lập sự hiện diện lâu dài và chiếm quyền truy cập cao hơn. Điều này đặc biệt nguy hiểm đối với các môi trường dữ liệu nhạy cảm.
Sau sự cố, nhiều dấu hiệu "cờ vàng" đã được nhìn thấy rõ hơn. Ví dụ như chất lượng video phỏng vấn kém, giọng nói thay đổi giữa các cuộc gọi và phản hồi phỏng vấn rời rạc.
Một dấu hiệu điển hình khác là việc thay đổi địa chỉ nhận laptop vào phút chót. Đây là chiến thuật quen thuộc của những "nhân viên bóng ma" nhằm chuyển thiết bị ra nước ngoài.
Vì mỗi bất thường nhỏ đều được xử lý riêng lẻ nên không ai nhận ra quy luật chung. Chỉ đến khi các cảnh báo an ninh đồng loạt kích hoạt, sự thật mới được phơi bày.
Đội ngũ an ninh sau đó đã lập tức cách ly thiết bị, thu hồi quyền truy cập và báo cáo liên bang. Rất may, cuộc điều tra cho thấy chưa có dữ liệu nào bị đánh cắp hay rò rỉ.
Bài học thực tế và giải pháp ngăn chặn
Gartner dự báo đến năm 2028, cứ 4 hồ sơ ứng viên thì có 1 hồ sơ là giả mạo. Đây thực sự là một "đại dịch" đang âm thầm tấn công các doanh nghiệp toàn cầu.
Ông David Weisong (CIO của Energy Solutions) cho biết tội phạm thường nhắm vào các vị trí kỹ thuật cao. Các vai trò như DevOps hay quản trị cơ sở dữ liệu là mục tiêu hàng đầu vì nắm giữ quyền kiểm soát hệ thống.
Ông Weisong nhận định: "Những vai trò này nắm giữ 'chìa khóa của tòa lâu đài'. Nếu muốn xâm nhập, chúng có giá trị hơn nhiều so với một lập trình viên thông thường."
Một trong những dấu hiệu cảnh báo sớm nhất là lượng đơn ứng tuyển tăng đột biến. Hàng trăm đơn đến trong vài giờ cho thấy các hoạt động tự động hóa do bot điều khiển.
Thực tế tréo ngoe là nhiều nhân viên giả mạo lại hoàn thành công việc rất tốt. Việc phát hiện thường đến từ các tín hiệu kỹ thuật chứ không phải qua hiệu suất làm việc hàng ngày.
Tuy nhiên, rủi ro về pháp lý và tuân thủ là rất lớn. Doanh nghiệp có thể bị hủy hợp đồng hoặc mất lòng tin từ khách hàng nếu để lộ thông tin cho bên thứ ba trái phép.
Để đối phó, Amazon hiện dùng công cụ AI phối hợp với con người để soi xét kỹ hồ sơ. Họ yêu cầu phỏng vấn trực tiếp nhiều hơn và buộc nhân viên phải đến văn phòng làm việc.
Chuyên gia Hegel gợi ý nên coi tuyển dụng là một vấn đề kiểm soát truy cập đặc quyền. "Đừng coi danh tính là mục kiểm tra một lần của nhân sự, hãy coi đó là việc cấp quyền bảo mật tối cao."
Energy Solutions hiện đã loại bỏ thuật ngữ "làm việc từ xa hoàn toàn" khỏi tin tuyển dụng. Điều này giúp giảm đáng kể lượng ứng viên gian lận từ bên ngoài lãnh thổ Mỹ.
Công ty này cũng áp dụng CAPTCHA nghiêm ngặt để chặn bot và dùng phần thưởng giới thiệu nhân viên. Ngoài ra, họ thiết lập chế độ thử thách 90 ngày để theo dõi sát sao nhân viên mới.
Trong phỏng vấn, ứng viên buộc phải bật video và chia sẻ màn hình để làm bài kiểm tra trực tiếp. Việc sử dụng AI hỗ trợ khi trả lời sẽ bị tước quyền ứng tuyển ngay lập tức.
Vào ngày đầu tiên, nhân viên phải đến văn phòng để nhận thiết bị và tham gia đào tạo. Quy trình này giúp xác thực người thật việc thật một cách chính xác nhất.
Ông Weisong kết luận rằng niềm tin phải được bồi đắp dần dần qua từng giai đoạn. Các lãnh đạo IT cần phối hợp chặt chẽ với bộ phận nhân sự để xây dựng hàng rào bảo mật vững chắc.
*Nguồn: CIO
