FBI: laat freelance it'ers, sollicitanten zwaaien tijdens online meetings
De FBI adviseert bedrijven om freelance it'ers, uitzendkrachten en sollicitanten tijdens online meetings hun hand voor hun gezicht te laten bewegen. Dit zou namelijk kunnen aantonen dat er van AI-gegenereerde video gebruik wordt gemaakt, aldus de opsporingsdienst. Het advies is onderdeel van een nieuwe waarschuwing voor Noord-Koreaanse it'ers die volgens de FBI bij Amerikaanse bedrijven banen weten te krijgen.
Deze it'ers worden door personen in de VS geholpen, bijvoorbeeld met het maken van accounts op banensites, het installeren van remote access software op bedrijfslaptops, het voeren van sollicitatiegesprekken of het opzetten van detacheringbureaus die it'ers aanbieden, zo stelt de FBI. De opsporingsdienst adviseert organisaties om met sollicitanten en nieuw personeel 'in-person' gesprekken te houden.
Wanneer online meetings de enige oplossing zijn moeten organisaties verplichten dat deelnemers hun camera inschakelen en de achtergrond zichtbaar is. Verder moeten individuen hun webcam naar buiten laten wijzen en vragen over hun huidige locatie en de locatie op hun identiteitsdocument beantwoorden. Als laatste adviseert de FBI dat de persoon in de online meeting met zijn hand een zwaaiende beweging voor zijn gezicht maakt, omdat dit voor problemen met AI-gegenereerde video zou kunnen zorgen.
Verder wordt aangeraden om afbeeldingen op te slaan om die met toekomstige online meetings te vergelijken. Soms worden personen tijdens een online sollicitatiegesprek aangenomen, maar wordt het werk door een ander persoon uitgevoerd, zo laat de FBI weten. Volgens Amerikaanse autoriteiten hebben Noord-Koreaanse it'ers bij honderden Amerikaanse bedrijven gewerkt, waaronder Fortune 500-bedrijven. Het geld dat de it'ers verdienen zou naar het Noord-Koreaanse regime gaan. Daarnaast zouden de it'ers data stelen en bedrijven in sommige gevallen daarmee afpersen.
En als we toch op dat niveau beland zijn:
ik mis in het FBI advies de tip om het aantal vingers van de zwaaiende hand te tellen; dat zou kunnen duiden op een nazaat brilliante Wolfgang Amadeus Mozart, die aan polydactyly leed, hetgeen bij 0,4 tot 1,2 ‰ van nieuwe babies voorkomt.
Babies zijn eigenlijk altijd wel nieuw.
Onderaan de streep is iedereen mens en heeft daardoor een mate van vooringenomenheid.
Of een sollicitant aangenomen wordt, is vaak de doorslaggevende factor de intuïtie van de sollicitatieafnemer en niet de harde feiten zoals de beschreven diploma's en ervaringen in een CV.
Als de online sollicitatie af wordt genomen in een kamer dat door decoratie druk oogt of met controversiële decoratie, dan staat de sollicitant met 0-2 achter.
Ook als de sollicitant in een Vogelaarwijk woont, helpt die zichzelf er niet mee door zijn uitzicht te moeten laten zien en zijn plaats te moeten beschrijven. En ik zou als buur het ook niet fijn vinden dat ik of de inkijk in mijn huis daarvoor met een webcam voor wildvreemden gefilmd wordt.
Lazerus-groep, hoe is het daar mee? Teveel gezopen en met kater weer opgestaan.
De context maakt het nog interessanter: Noord-Koreaanse it’ers die via Amerikaanse accounts en fake detacheringsbureaus binnenkomen, om vervolgens niet alleen salaris te cashen maar ook data te stelen en bedrijven te chanteren. Voeg daar Fortune 500 in de mix aan toe en je hebt het script voor de volgende Netflix-thriller.
Maar eerlijk: als je moet vragen om “zwaai even met je hand” om AI-video te ontmaskeren, zitten we in een nieuw tijdperk van verificatie. Achtergrond zichtbaar, camera verplicht aan, locatievragen én een mini-gesture-test? Dit is de digitale variant van *“haal even je rijbewijs erbij”*.
Het wrange is dat veel organisaties remote hiring hebben omarmd en nu inzien dat gemak een prijs heeft. Misschien is het tijd om identity-proofing standaard te maken, niet alleen bij sollicitaties maar bij elke toegang tot kritieke systemen. Want zwaaien helpt tegen deepfakes, maar niet tegen een goed georkestreerd insider-threat-plan.
De echte takeaway: AI deepfakes zijn geen conference gimmick, maar een geopolitiek wapen. De FBI weet dat, en bedrijven moeten dat nu ook weten.
De context maakt het nog interessanter: Noord-Koreaanse it’ers die via Amerikaanse accounts en fake detacheringsbureaus binnenkomen, om vervolgens niet alleen salaris te cashen maar ook data te stelen en bedrijven te chanteren. Voeg daar Fortune 500 in de mix aan toe en je hebt het script voor de volgende Netflix-thriller.
Maar eerlijk: als je moet vragen om “zwaai even met je hand” om AI-video te ontmaskeren, zitten we in een nieuw tijdperk van verificatie. Achtergrond zichtbaar, camera verplicht aan, locatievragen én een mini-gesture-test? Dit is de digitale variant van *“haal even je rijbewijs erbij”*.
Het wrange is dat veel organisaties remote hiring hebben omarmd en nu inzien dat gemak een prijs heeft. Misschien is het tijd om identity-proofing standaard te maken, niet alleen bij sollicitaties maar bij elke toegang tot kritieke systemen. Want zwaaien helpt tegen deepfakes, maar niet tegen een goed georkestreerd insider-threat-plan.
De echte takeaway: AI deepfakes zijn geen conference gimmick, maar een geopolitiek wapen. De FBI weet dat, en bedrijven moeten dat nu ook weten.
Ik had ooit een laptop die ik kon ontgrendelen met mijn vingerafdruk. Was heel modern toen. Ik zie dit soort laptops wel weer in productie gaan. Moet je bij de beep (die je gesprekspartner kan aanvragen) je vinger bij de lezer houden, anders vergrendeld die.
"Toekomst, leuker kunnen we het niet maken, wel veiliger" Stagaire bij EU.
Ze hebben echt geen AI nodig om mensen te bedonderen.
Hier een instructievideo:
https://youtu.be/M0swBz5xm8o
Enne, als het werk gedaan wordt?
Secure werk zou zowiezo nooit online gedaan mogen worden, dus welk probleem?
Hier een instructievideo:
https://youtu.be/M0swBz5xm8o
Radio Helmond, Trots op Nederland. Kermisklanten, kampers en Snollebollekes links-rechts./s
Enne, als het werk gedaan wordt?
Dan krijg je één keer iemand te zien, die daarna permanent met de cam uit "werkt" .
Secure werk zou zowiezo nooit online gedaan mogen worden, dus welk probleem?
A"Hallo, ik ben anoniem 17:16, security expert. Ik wil graag bij in het security team werken".
E"Klink goed, vertel eens, wat zou jij voor beleid maken , om het risico van infiltranten onder het personeel te beperken ?"
A"Alleen bij de intake laten komen is goed genoeg , verder maakt het niet uit wat ze doen,normaal kantoor access kan nooit wat mee misgaan en is niet belangrijk, dus alleen 'secure werk' laat ik on site doen" .
E"Zo, interessante visie, Je hebt vast wel wat spraakmakende incidenten in de media gevolgd . Ik denk aan casus Maersk, Uni Maastricht, UvA of TUE . Ik neem aan dat in elk geval één ervan je bekend is ? Wil je voor die casus eens bespreken of het account waarmee de aanvallers begonnen in jouw optiek onder de definitie van "secure werk" viel " ?
E"Nog een paar kleine vragen : wil je ons nog uitleggen hoe je de term "lateral movement" definieert ?"
E"Dank je wel voor je interesse. U hoort nog van ons"
[..]
Ik had ooit een laptop die ik kon ontgrendelen met mijn vingerafdruk. Was heel modern toen. Ik zie dit soort laptops wel weer in productie gaan. Moet je bij de beep (die je gesprekspartner kan aanvragen) je vinger bij de lezer houden, anders vergrendeld die.
Je hebt toen blijkbaar niet gesnapt hoe die werkt , dat je in die richting denkt.
De hardware module doet namelijk de validatie helemaal intern , en geeft dan een OK of niet OK aan het OS.
Het is (uit allerlei heel terechte privacy overwegingen) dus NIET zo dat de scan van de vingerafdruk naar "centraal AAA" gestuurd wordt.
Gewoonlijk kan de gebruiker van de laptop ook nieuwe afdrukken (andere vinger ofzo) toevoegen.
Kortom - je hebt op die manier _geen_ optie om te controleren of het proton is die de laptop unlocked, of Kim Il Proton die door Proton online geholpen wordt.
(verder is eigenlijk ook altijd wel een pin/password om te unlocken - kijk maar hoe goed je telefoon je vinger herkent als je net uit de douche komt )
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?