DPRK IT कर्मचारी योजनाएँ क्यों सफल होती हैं: वे संगठित टीमों के रूप में काम करती हैं

Claudia Regalado · · 8 मिनट पढ़ने का समय
शेयर करें

उत्तर कोरिया के IT कर्मचारी कार्यक्रमों को नियमित रूप से एक धोखाधड़ी की समस्या के रूप में तैयार किया जाता है। कोई रेज़्यूमे पर झूठ बोल रहा है, वीडियो कॉल पर नकल कर रहा है, या VPN का उपयोग कर रहा है। वह फ्रेमिंग बात से चूकती है।

जो राज्य, ट्रेजरी और FBI के विभागों से अमेरिकी सरकार की सलाह वर्णन करती है, वह कहीं अधिक संरचित है: एक कार्यबल तैनाती मॉडल जो राज्य-समर्थित, व्यवस्थित रूप से संगठित है, और वैध कंपनियों के अंदर बड़े पैमाने पर धोखाधड़ी वाले कर्मचारियों को रखने के लिए डिज़ाइन किया गया है। ये योजनाएँ सफल होती रहती हैं न इसलिए कि कंपनियाँ लापरवाह हैं, बल्कि इसलिए कि मॉडल स्वयं उन नियंत्रणों को हराने के लिए बनाया गया था जिन पर कंपनियाँ निर्भर करती हैं।

भूमिकाओं का विभाजन

ये योजनाएँ एकल अभिनेता का काम नहीं हैं। अमेरिकी सरकार की सलाह एक ऐसे पैटर्न का दस्तावेजीकरण करती है जहाँ शामिल जिम्मेदारियाँ एक टीम में वितरित होती हैं, प्रत्येक कार्य को अलग-अलग और विशेष रूप से संभाला जाता है। पहचान जोखिम किसी आवेदन के जमा होने से पहले और कोई बातचीत होने से पहले मौजूद होता है।

  • पहचान और प्रोफ़ाइल प्रबंधन वह आधार है जो उम्मीदवार को कागज़ पर विश्वसनीय बनाता है। टीम का एक हिस्सा जाली दस्तावेज़, गढ़े हुए रोजगार इतिहास, चोरी की पहचान, और यथार्थवादी उपनाम संभालता है ताकि आवेदन किसी के सवाल पूछने से पहले जांच से बच जाए।

  • हायरिंग और संचार वह है जो लाइव इंटरैक्शन में विश्वसनीयता बनाए रखता है। हर साक्षात्कार अंततः एक पहचान विश्वास निर्णय है न कि केवल एक कौशल मूल्यांकन, और यह कार्य उस परीक्षण को पास करने के लिए जिम्मेदार है जबकि चल रहे ग्राहक इंटरैक्शन में मानी गई पहचान बनाए रखता है।

  • एक्सेस और कनेक्टिविटी अस्पष्टता सुनिश्चित करती है कि वास्तविक ऑपरेटर अनट्रेसेबल रहे। VPN, virtual private server, तृतीय देश IP पते, और प्रति खाते के लिए समर्पित उपकरणों वाले लैपटॉप फार्म विशेष रूप से कर्मचारी के सच्चे स्थान और पहचान को नियोक्ताओं और प्लेटफार्मों से अदृश्य रखने के लिए प्रबंधित किए जाते हैं।

  • मुआवजा और खाता मध्यस्थता भुगतान को एक ट्रेसेबल लाभार्थी तक पहुँचने से रोकती है। प्रॉक्सी खाते और तृतीय-पक्ष वित्तीय मध्यस्थों का उपयोग लेनदेन रिकॉर्ड और वास्तविक प्राप्तकर्ता के बीच अलगाव बनाए रखने के लिए किया जाता है।

इन जिम्मेदारियों को जानबूझकर एक ही व्यक्ति द्वारा नहीं निभाया जाता, जो ठीक वह है जो सत्यापन को इतना कठिन बनाता है। हायरिंग प्रबंधक जिस व्यक्ति से बात करता है, काम देने वाला व्यक्ति, और भुगतान प्राप्त करने वाला व्यक्ति सभी एक ही ऑपरेशन के अलग-अलग सदस्य हो सकते हैं। धोखाधड़ी किसी एकल प्रतिभागी के असाधारण होने पर निर्भर नहीं करती। यह सिस्टम के डिज़ाइन के अनुसार काम करने पर निर्भर करती है।

मानकीकृत ऑपरेशन के माध्यम से स्केलिंग

ये ऑपरेशन एकल सफल नियुक्ति के आसपास नहीं बनाए गए हैं। वे एक साथ दर्जनों संलग्नताओं में लगातार चलने के लिए डिज़ाइन किए गए हैं।

गढ़ी हुई पहचान फ्रीलांस प्लेटफार्मों में घूमती हैं। बुनियादी ढाँचा, भुगतान चैनल, और खाता एक्सेस एक-से-एक संपत्तियों के बजाय साझा संसाधनों के रूप में कार्य करते हैं। अनुबंध जीतने, साक्षात्कार पास करने, और ग्राहक संबंधों का प्रबंधन करने के लिए खेल-पुस्तकें एक बार विकसित की जाती हैं और क्षेत्रों में फिर से उपयोग की जाती हैं।

संघीय मार्गदर्शन ने यह भी नोट किया है कि DPRK IT कर्मचारी अक्सर उन कंपनियों को अतिरिक्त DPRK कर्मचारियों की सिफारिश करते हैं जिन्होंने उन्हें पहले से काम पर रखा है। एक बार एक्सेस स्थापित हो जाने के बाद, ऑपरेशन फैलता है। प्रारंभिक भर्ती अंतिम लक्ष्य नहीं है। यह प्रवेश बिंदु है।

पारंपरिक सुरक्षा नियंत्रण क्यों विफल होते हैं

पारंपरिक सुरक्षा मॉडल परिचित खतरा श्रेणियों पर निर्भर करते हैं। DPRK IT कर्मचारी योजनाएँ अपेक्षित पैटर्न के बाहर काम करके उन मान्यताओं को बायपास करती हैं।

पता लगाने के लिए कोई व्यवहारिक बदलाव नहीं

  • अंदरूनी खतरा: एक विश्वस्त कर्मचारी को मानता है जो बाद में दुर्भावनापूर्ण हो जाता है, पहचान तंत्र उस व्यवहारिक बदलाव की पहचान करने पर केंद्रित होते हैं।

  • DPRK योजना: धोखाधड़ी पहली बातचीत से मौजूद है और पूरे समय सुसंगत रहती है, देखने के लिए कोई बदलाव नहीं छोड़ती और अलर्ट ट्रिगर करने के लिए विश्वासघात का कोई क्षण नहीं।

राज्य समर्थन बाधाएँ हटाता है

  • व्यक्तिगत धोखेबाज: आमतौर पर संसाधनों द्वारा सीमित होते हैं, जो यह सीमित करता है कि वे एक विश्वसनीय झूठी पहचान को कितने समय तक बनाए रख सकते हैं।

  • DPRK ऑपरेशन: राज्य-समर्थित ऑपरेशन उन्हीं सीमाओं का सामना नहीं करते। वर्षों तक फंडिंग, बुनियादी ढाँचा, और धैर्य बनाए रखा जा सकता है।

एक्सेस वैध रूप से प्रदान किया गया था

  • खाता अधिग्रहण: इन परिदृश्यों में शोषण के माध्यम से प्राप्त अनधिकृत एक्सेस शामिल होती है।

  • DPRK IT कर्मचारी: इसके विपरीत, वह एक्सेस प्राप्त करते हैं जिसे संगठन ने खुद मंजूरी दी थी। विशेषाधिकार तकनीकी रूप से वैध हैं, भले ही अंतर्निहित पहचान नहीं है।

निरंतर सत्यापन

सरकारी सलाह एक केंद्रीय कमज़ोरी पर सुसंगत रही है: हायरिंग प्रथाएँ ऑनबोर्डिंग पर दस्तावेज़ सत्यापन पर अत्यधिक निर्भर करती हैं। एक बार जाँचने के बाद, पहचान शायद ही कभी फिर से देखी जाती है।

खतरा हायरिंग पर समाप्त नहीं होता। रोजगार संबंध स्वयं वह जगह है जहाँ योजना संचालित होती है। एक कर्मचारी जो पहले दिन हर जाँच पास कर गया, वह महीनों बाद भी संगठन के अंदर काम कर रहा है, उसी एक्सेस और उसी मानी गई विश्वास के साथ।

निरंतर सत्यापन पहचान को एकल क्रेडेंशियलिंग घटना से चल रही पुष्टि प्रक्रिया में बदलता है। यह मानने के बजाय कि पहचान वैध रहती है, संगठन समय-समय पर पुष्टि करते हैं कि काम करने वाला व्यक्ति वही है जिसे काम पर रखा गया था।

संगठनों के लिए तत्काल कार्रवाइयाँ

  • एकल दस्तावेज़ सत्यापन पर अत्यधिक निर्भरता के लिए रिमोट कार्य नीतियों का ऑडिट करें

  • ऑनबोर्डिंग से परे पहचान चेकपॉइंट पेश करें

  • मूल्यांकन करें कि क्या टूलिंग वास्तविक डिवाइस ऑपरेटरों में दृश्यता प्रदान करती है

  • समीक्षा करें कि क्या मौजूदा प्रक्रियाएँ पहचान स्वैप का पता लगाएंगी

Polyguard जैसे समाधान वैध कर्मचारियों के लिए घर्षण पैदा किए बिना रिमोट कार्यबल में निरंतर सत्यापन को संचालित करने के लिए डिज़ाइन किए गए हैं।

हायरिंग प्रक्रिया के दूसरी तरफ का ऑपरेशन राज्य-समर्थित, धैर्यशील, और संरचनात्मक रूप से संगठित है। एक अलग खतरे के मॉडल के लिए डिज़ाइन किया गया सत्यापन आसन उस वास्तविकता से मेल नहीं खाता। अंतर बंद करना केवल एक सुरक्षा वृद्धि नहीं है। यह रिमोट हायरिंग जोखिम को कैसे प्रबंधित किया जाता है, इसके लिए एक लंबे समय से अपेक्षित समायोजन है।

स्रोत: U.S. Department of State / Treasury / FBI Advisory on DPRK IT Workers (May 2022); U.S. Treasury OFAC Sanctions Action on DPRK Cyber and IT Worker Activities (May 2023)

अक्सर पूछे जाने वाले प्रश्न

  • क्या हम यह सब ऑनबोर्डिंग के दौरान नहीं पकड़ेंगे?

संभावना नहीं। ये योजनाएँ ऑनबोर्डिंग पास करने के लिए बनाई गई हैं। जाली या चोरी की पहचान आवेदन प्रक्रिया शुरू होने से पहले तैयार की जाती है, जिससे साक्षात्कार और बैकग्राउंड जाँच वैध दिखते हैं।

  • एक उत्तर कोरियाई को काम पर रखना कितना गंभीर है?

गंभीर। अनजाने हायरिंग भी महत्वपूर्ण वित्तीय परिणाम पैदा कर सकती है। एकल घटना एक मध्यम आकार की कंपनी को करोड़ों डॉलर का नुकसान पहुँचा सकती है। (पूरा विश्लेषण पढ़ें)

  • हम अपने सभी कर्मचारियों के लिए बैकग्राउंड जाँच करते हैं। क्या यह हमें सुरक्षित नहीं रखता?

बैकग्राउंड जाँच पहचान सत्यापित करती है, व्यक्ति को नहीं। यदि पहचान चोरी की है और वैध है, तो यह साफ आती है। (इसके बारे में अधिक पढ़ें कि यह क्यों विफल होता है)

  • यदि फेस-स्वैप ID सत्यापन से गुज़र सकते हैं, तो हम वास्तव में यह कैसे सत्यापित कर सकते हैं कि कोई वास्तव में कौन है?

NFC पासपोर्ट स्कैनिंग स्वर्ण मानक है। जहाँ यह संभव नहीं है, डिवाइस अटेस्टेशन और GPS स्थान के साथ युग्मित ड्राइवर लाइसेंस बार को काफी बढ़ाता है। (फेसस्वैप हमलों के बारे में अधिक पढ़ें)

  • मुझे लगता है कि हमारी टीम में पहले से एक उत्तर कोरियाई हो सकता है। हमें क्या करना चाहिए?

ये योजनाएँ मानक नियंत्रणों के तहत वैध दिखने के लिए डिज़ाइन की गई हैं। व्यावहारिक प्रतिक्रिया निरंतर सत्यापन पेश करना है ताकि पहचान विश्वास का समय के साथ मूल्यांकन किया जाए न कि ऑनबोर्डिंग से मान लिया जाए।

  • डीपफेक पहचान के बारे में क्या — क्या हम इसे अपने वीडियो साक्षात्कारों में उपयोग कर सकते हैं?

डीपफेक पहचान टूल वीडियो साक्षात्कारों में उपयोग किए जा सकते हैं, लेकिन प्रभावशीलता भिन्न होती है और उन्हें प्राथमिक पहचान नियंत्रण के रूप में नहीं माना जाना चाहिए।

  • यदि उम्मीदवार कहते हैं कि उनका वीडियो काम नहीं करता तो क्या होगा?

यह एक लाल झंडा है। सरकारी मार्गदर्शन नोट करता है कि DPRK IT कर्मचारी अक्सर लाइव वीडियो से बचते हैं। यदि पहचान सत्यापित नहीं की जा सकती, तो एक्सेस नहीं दी जानी चाहिए।

  • यदि उम्मीदवार कहते हैं कि उनके पास पासपोर्ट नहीं है तो क्या होगा?

कोई समस्या नहीं। Polyguard ड्राइवर लाइसेंस सहित 12,000 से अधिक सरकार-जारी ID का समर्थन करता है, अतिरिक्त सत्यापन परतों के साथ युग्मित।

  • क्या उम्मीदवारों को आपका ऐप खरीदना होगा?

नहीं। उम्मीदवारों के लिए डाउनलोड और उपयोग करना निःशुल्क है।

Polyguard को क्रियान्वित देखना चाहते हैं?

अपनी संचार सुरक्षा के लिए रीयल-टाइम पहचान सत्यापन का अनुभव करें।

Polyguard आज़माएं
← ब्लॉग पर वापस

संबंधित पोस्ट

रिमोट हायरिंग में धोखाधड़ी के प्रकार

रिमोट हायरिंग धोखाधड़ी सरल रेज़्यूमे गलतबयानी से विकसित होकर समन्वित, उच्च-जोखिम वाले खतरों में बदल गई है, जो डेटा उल्लंघन, वित्तीय हानि और यहाँ तक कि प्रतिबंध-जोखिम का कारण बन सकती है। यह ब्लॉग हायरिंग धोखाधड़ी के प्रमुख प्रकारों — प्रॉक्सी उम्मीदवारों से लेकर राज्य-प्रायोजित योजनाओं तक — का विश्लेषण करता है और बताता है कि हमलावर पारंपरिक हायरिंग और पहचान जाँच को कैसे बायपास करते हैं।

Joshua McKenty ·

AI युग एक नए पहचान विक्रेता की माँग करता है

आधुनिक हायरिंग वर्कफ़्लो को सुरक्षित करने के लिए अब एक नए प्रकार के पहचान विक्रेता की आवश्यकता है। लीगेसी पहचान सत्यापन और एक्सेस प्लेटफ़ॉर्म दस्तावेज़ जाँचने या हायर के बाद कर्मचारियों का प्रबंधन करने के लिए बनाए गए थे, हायरिंग में AI-संचालित प्रतिरूपण को रोकने के लिए नहीं। यह पोस्ट बताती है कि वे सिस्टम इस अंतर को क्यों बंद नहीं कर सकते और एक आधुनिक पहचान विक्रेता को क्या क्षमताएँ प्रदान करनी चाहिए।

Claudia Regalado ·

रिमोट हायरिंग में बाइंडिंग की समस्या

अधिकांश हायरिंग पाइपलाइन अलग-अलग सिस्टम पर निर्भर करती हैं — जैसे ATS, बैकग्राउंड चेक विक्रेता, साक्षात्कार प्लेटफ़ॉर्म, और HR सिस्टम। प्रत्येक चरण अनुपालन के लिए अपना टुकड़ा सत्यापित करता है, लेकिन कोई भी पुष्टि नहीं करता कि पूरी प्रक्रिया में वही व्यक्ति उपस्थित रहा — जिससे एक अपुष्ट विषय से जुड़ी अनुपालन ऑडिट ट्रेल और एक संरचनात्मक अंतर बचता है जिसका रिमोट हायरिंग धोखाधड़ी अब फायदा उठाती है।

Claudia Regalado ·