🧠 Как Amazon отбивает атаки через фальшивые ИТ-вакансии из Северной Кореи — подробный разбор
В последние годы мир цифровой безопасности столкнулся с необычной, но крайне серьёзной угрозой. Это не классические вирусы, трояны или фишинговые сайты — это гораздо более изощрённая тактика: попытки проникнуть в компании через «удалённые ИТ-работы», якобы от квалифицированных специалистов. 🌐💻
Причём эти попытки совершаются не какими-то случайными злоумышленниками, а операторами, связанными с Северной Кореей (DPRK) — страной, известной своей активностью в киберпространстве.
📈 Масштаб проблемы: 1 800 попыток проникновения
По словам Стивена Шмидта (Stephen Schmidt), старшего вице-президента и главного специалиста по безопасности Amazon, только с апреля 2024 года по декабрь 2025 года компания заблокировала более 1 800 подозрительных заявок на ИТ-вакансии от лиц, связанных с DPRK. И это число растёт на 27 % каждый квартал.
📌 Что это значит? За примерно полтора года Amazon удалось отсечь почти две тысячи фальшивых профилей, которые пытались пройти отбор как «легальные» ИТ-специалисты.
🎯 Цель атак — не только зарплата
Что хотели эти «кандидаты»? Ответ довольно прямолинеен:
💰 получить высокооплачиваемую удалённую работу;
🤐 получать зарплату и переводить значительную её часть обратно в Северную Корею;
📡 финансировать государственные программы, включая разработку оружия и другие проекты режима.
Это отличает такие кампании от обычного трудового мошенничества — здесь задействована целая государственная стратегия получения доходов и расширения влияния через ИТ-ринок труда.
🛡️ Почему такая схема опасна
На первый взгляд попытка проникнуть через вакансию может показаться шуткой или «плохой идеей», но она может привести к гораздо более серьёзным последствиям:
🚩 если злоумышленник получает доступ к корпоративной сети как наёмный ИТ-специалист — это означает, что
🔓 он получает доступ к внутренним данным, системам и проектам;
🔓 может обходить многие механизмы защиты, считая себя «уже внутри»;
🔓 в некоторых случаях способен внедрять скрытые инструменты для дальнейшего вредоносного влияния.
📊 Это не просто потеря рабочих мест — это реальная угроза безопасности данных, интеллектуальной собственности и даже национальной инфраструктуры, когда оперируют крупные международные компании.
🤖 Как обнаруживают злоумышленников: сочетание ИИ и «человеческого чутья»
Amazon заявил, что их защита устроена не 100% на автоматике, но в основе лежит комбинация продвинутых технологий и экспертной проверки:
🔍 ИИ-анализ профилей: система сканирует резюме, проверяет образование, контактные данные и географические признаки.
👥 Проверки человека: реальные эксперты пересматривают подозрительные кандидаты и проводят личные интервью.
🧩 Дополнительные признаки: несоответствия в телефонных номерах, необычные временные рамки учёбы, подозрительные образовательные учреждения — всё это добавляет «очки подозрительности».
📍 Такой гибридный подход помогает отличить реального кандидата от того, кто просто пытается обмануть систему, используя украденную или фальсифицированную информацию.
🧠 «Лаптоп-фермы» и фальшивые профессионалы
Одной из самых хитрых тактик злоумышленников стало использование так называемых «laptop farms» — сетей компьютеров, расположенных в США или других странах, которые управляются удалённо.
📌 Эти фермы помогают злоумышленникам обойти базовые проверки геолокации, заставляя их соединения выглядеть как нормальные «американские». Это делает борьбу с мошенничеством ещё сложнее.
👥 Более того, зачастую для создания видимости легитимности злоумышленники:
✔️ крадут профили реальных специалистов (например, в LinkedIn);
✔️ создают фальшивые резюме с удачным опытом;
✔️ даже используют ИИ-инструменты для генерации грамотных сопроводительных писем.
📈 Поражения крупного масштаба
Важно отметить, что эта проблема совершенно не ограничена одной компанией. По данным следственных органов США, более 100 американских организаций уже стали жертвами попыток таких схем — включая компании из списка Fortune 500.
🔎 В некоторых случаях мошенничество доходило до того, что злоумышленники получали зарплаты и затем направляли заработанные средства обратно к режиму Северной Кореи через сложные финансовые сети и посредников.
⚖️ Важные расследования также выявили, что американские граждане стали соучастниками таких схем, управляя теми самыми «laptop-фермами» и помогая иностранным операторам обойти проверку.
🧠 Не только Amazon: тренд становится массовым
Эксперты предупреждают, что это явление уже вышло за рамки одной компании. Другие крупные корпорации сталкиваются с похожими угрозами, а количество таких попыток продолжает расти вместе с популярностью удалённой работы.
📌 Причём злоумышленники всё больше нацеливаются на престижные, высокооплачиваемые и технологии-ориентированные позиции — в первую очередь в областях:
💡 искусственного интеллекта;
💡 машинного обучения;
💡 облачных сервисов и инфраструктуры;
💡 разработки программного обеспечения.
Это неудивительно: эти специалисты получают доступ к ключевым цифрам, системам и интеллектуальной собственности — а значит, их труд приносит не только зарплату, но и ценную информацию или возможность её похитить.
⚠️ Ловушки современных обманщиков — как их распознать
Для компаний и специалистов, ориентированных на работу удалённо, важно знать, как отличить мошенника от настоящего кандидата.
🔎 Обычные признаки фальшивого ИТ-заявителя:
📍 образования или должности, не соответствующие заявленным датам;
📍 ссылки на образовательные заведения без нужных специальностей;
📍 электронные адреса, отличающиеся от ожидаемых доменов работодателей;
📍 телефонные номера со странным международным форматированием;
📍 активность профиля LinkedIn, незаметно захваченного и затем «восстановленного».
Даже незначительные детали, такие как формат телефонного номера или несоответствие дат в резюме, сами по себе могут быть не доказательством — но в совокупности дают повод для углублённой проверки.
🛡️ Как компании усиливают защиту при найме
Чтобы эффективно противостоять такой угрозе, организациям стоит применять целый комплекс мер безопасности:
🔐 многоуровневая проверка личности кандидатов;
🔐 проверка корпоративных данных против баз надёжных источников;
🔐 использование ИИ для поиска аномалий в процессах найма;
🔐 перекрёстная проверка образовательных учётных записей;
🔐 обязательные видео- или офлайн-интервью на поздних этапах отбора;
🔐 взаимодействие с правоохранительными органами при выявлении подозрительных кандидатов.
Такие меры не только помогают остановить враждебные инициативы, но и укрепляют корпоративную культуру безопасности, в которой HR-отдел становится частью защитной инфраструктуры, а не просто кадровой службы.
🧠 Вывод: опасности и уроки цифровой эпохи
📌 Современные угрозы уже не ограничиваются злонамеренным ПО и взломами серверов — они доходят до самого центра управления компаниями, влияя на процессы найма, доверия и доступ к сети.
📌 Схемы типа «фейковые ИТ-работы» показывают, что даже сам процесс отбора персонала может стать вектором атаки со стороны государств, стремящихся использовать корпоративные ресурсы для финансирования своих программ или обхода экономических санкций.
📌 Защититься от таких угроз можно — но это требует комплексного подхода, прозрачной оценки рисков и тесного сотрудничества между техническими, кадровыми и юридическими службами.
- Хотите ещё полезных статей? Подпишитесь на нашу рассылку — раз в неделю лучшие материалы .
- Чтобы первыми получать аналитику, кейсы и практические инструкции.
- Получайте еженедельный дайджест с проверенными решениями для вашей работы.
- Подписка бесплатна и её легко отменить. Присоединяйтесь!