Volgens Amazon-CSO Stephen Schmidt heeft zijn bedrijf sinds april 2024 kunnen voorkomen dat meer dan 1800 Noord-Koreaanse nepsollicitanten in dienst traden. Amazon registreerde in 2025 telkens een stijging van 27 procent ten opzichte van het kwartaal ervoor, schrijft IT Pro.
Noord-Koreanen azen op westerse IT-banen
'De afgelopen jaren hebben Noord-Koreaanse nepsollicitanten geprobeerd om op afstand IT-banen bij bedrijven wereldwijd te veroveren, met name in de VS,' schrijft Schmidt in een post op LinkedIn. 'Hun doel is doorgaans simpel: aangenomen worden, betaald worden en het salaris doorsluizen om de wapenprogramma's van het regime te financieren.'
Met dit aantal frauduleuze sollicitaties heeft Amazon volgens Schmidt een goed beeld van hoe deze dreigingen zich ontwikkelen, en zijn er verschillende opvallende aandachtspunten voor securityteams in het bedrijfsleven.
We hebben ook netwerken geïdentificeerd waarin mensen tegen betaling toegang tot hun accounts afstaan
Stephen Schmidt CSO Amazon
Noord-Koreaanse hackers scherpen hun tactieken aan
„Identiteitsdiefstal wordt steeds geraffineerder", aldus Schmidt. „Ze richten zich nu op individuele software-engineers met een geloofwaardig professioneel profiel, in plaats van mensen met een minimale online aanwezigheid".
Noord-Koreanen die bij deze campagnes betrokken zijn, werken vaak met facilitators die laptopfarms beheren, weet Schmidt. Dat zijn fysieke locaties waar apparatuur wordt ontvangen en een lokale aanwezigheid wordt gesimuleerd, terwijl de werknemer feitelijk vanuit het buitenland werkt.
Ook LinkedIn‑strategieën worden geavanceerder. Fraudeurs kapen slapende accounts met gestolen inloggegevens om snel verificatie te verkrijgen. „We hebben netwerken geïdentificeerd waarin mensen tegen betaling toegang tot hun accounts afstaan."
Cybertrends 2026: digitale soevereiniteit als noodzaak en strategische prioriteit in boardrooms
LinkedIn jachtterrein voor cybercriminelen
Onderzoek laat zien dat LinkedIn een belangrijk jachtterrein voor cybercriminelen is geworden. Een analyse van Clear Sky Security eind 2024 toonde aan dat hackers LinkedIn gebruiken om zowel slachtoffers te benaderen als een online aanwezigheid op te bouwen. Recenter onderzoek van Bitdefender Labs wees eveneens op de groeiende dreigingen voor bedrijven via LinkedIn en onthulde een campagne vanuit Iran, geïnspireerd op eerdere Noord-Koreaanse pogingen.
Schmidt waarschuwt met name dat dreigingsactoren zich in toenemende mate richten op functies in AI en machine learning, twee vakgebieden waar de vraag toeneemt nu bedrijven de technologie steeds sneller omarmen.
Aanvallers kiezen er steeds vaker voor om bedrijven van binnenuit te infiltreren om schade aan te richten met malware
Stephen Schmidt CSO Amazon
Hacker glipte door de mazen van het net
Amazon weet dat ondanks alle maatregelen één nep-sollicitant er in is geslaagd om door de mazen van het net te glippen. Volgens Bloomberg ontdekte het bedrijf de persoon door het volgen van toetsaanslaggegevens. Securityteams zagen een aanzienlijke vertraging bij toetsaanslagen, wat alarmbellen deed rinkelen. Normaal gesproken worden de toetsaanslagen van een in de VS gevestigde remote werknemer binnen enkele milliseconden geregistreerd. In dit geval bedroeg de vertraging bij de toetsaanslagen echter 'meer dan 110 milliseconden', wat erop wees dat de persoon zich buiten de VS bevond.
Niet alleen Amazon de pineut
Vorig jaar nam cybersecuritybedrijf KnowBe4 per ongeluk een Noord‑Koreaanse hacker aan, wat leidde tot een volledige herziening van de eigen wervingsprocessen. De persoon doorstond alle screenings, maar werd ontmaskerd nadat hij kort na ontvangst van zijn Mac‑laptop malware begon te installeren.
Noord-Koreaanse dreigingen zullen aanhouden
De afgelopen achttien maanden zijn herhaaldelijk waarschuwingen afgegeven over de dreiging die uitgaat van Noord-Koreaanse dreiging. Methoden zijn snel veranderd; aanvallers kiezen er steeds vaker voor om bedrijven van binnenuit te infiltreren om schade aan te richten met malware en waardevolle intellectuele eigendom buit te maken.
Onlangs publiceerde de FBI richtlijnen om dit soort fraude te voorkomen, waaronder het strikt toepassen van 'least privilege' en het intensiveren van netwerkmonitoring. Google waarschuwde recent dat steeds meer nep-Noord-Koreaanse freelancers actief zijn op platforms zoals Upwork, Telegram en Freelancer. Ze voeren bovendien meer afpersingspogingen uit en richten zich op grotere organisaties.
Lees ook: Amazon-CTO Werner Vogels: 'Lokale, open data transformeert crisisbeheer'
Advies CSO Stephen Schmidt
„Wie zich zorgen maakt over deze dreigingen, doorzoekt databases op veelvoorkomende indicatoren als patronen in cv's, e-mails, telefoonnummers en opleidingsachtergrond," adviseert Schmidt. „Voer identiteitsverificatie in bij meerdere stappen in het wervingsproces en monitor afwijkend technisch gedrag, zoals ongebruikelijke remote access en ongeautoriseerde hardware."
Lees ook!
Eerder publiceerde BusinessWise dit artikel: Sentinel Labs heeft een netwerk ontdekt van dekmantelbedrijven die met valse identiteiten Noord-Koreaanse telewerkers (IT) leveren. Met bedrijfsnamen als Independent Lab en Shenyang Tonywang Technology op hun cv: opgelet! Lees er hier alles over.
Ontvang elke week - op maandag - het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
