La detección de fraude de empleo remoto se ha convertido en una prioridad crítica para las organizaciones que se esfuerzan por asegurar sus procesos de incorporación digital y salvaguardar los sistemas sensibles.
En los últimos meses, los actores de amenazas que se hacen pasar por las contrataciones legítimas han aprovechado las tácticas sofisticadas para evitar las proyecciones previas a la contratación e incrustarse dentro de las redes corporativas.
Este vector de amenaza emergente, conocido como fraude de empleo remoto (Ref), explota las brechas entre los flujos de trabajo de recursos humanos y el monitoreo de la seguridad, lo que permite a los expertos maliciosos obtener acceso persistente y exfiltrar datos bajo la cobertura de una identidad legítima de los empleados.
Las etapas iniciales de REF involucran a los actores de amenaza elaborando currículums meticulosamente, aprobando verificaciones de antecedentes y programar entrevistas que parecen indistinguibles de los candidatos genuinos.
Una vez que se encuentran, solicitan el envío de activos corporativos (captotas, dispositivos móviles o tokens de red) a direcciones que a menudo divergen de sus supuestas ubicaciones.
A través de una cuidadosa correlación de los registros de gestión de activos con los datos de seguimiento de los solicitantes, las organizaciones pueden revelar discrepancias que apuntan a la actividad fraudulenta.
Analistas de Splunk identificado La primera ola de estas anomalías al hacer coincidir los registros de envío de ServiceNow con los perfiles de los empleados del día laboral, marcando casos en los que la ubicación entregada no se alineó con el estado de origen registrado de un empleado.
La ubicación no se alineó con el estado de origen registrado de un empleado (fuente – Splunk)
Los analistas de Splunk señalaron que los actores de Ref con frecuencia aprovechan los servicios de VPN no estándar para ofuscar sus verdaderas direcciones IP y geolocaciones.
Si bien las redes privadas virtuales son comunes para el trabajo remoto legítimo, las inconsistencias entre los puntos finales de VPN corporativos esperados y los proveedores de VPN de terceros inusuales sirven como fuertes indicadores de fraude.
Al crear líneas de base en registros de proveedores de identidad (IDP), como OKTA o DUO, los equipos de seguridad pueden detectar sesiones de VPN anómalas y hacer cumplir las zonas de red que bloquean los servicios anonimizadores no autorizados.
Más allá de la evasión de la capa de transporte, los actores de Ref pueden emplear tácticas de viaje improbables para enmascarar su origen.
Los intentos de inicio de sesión de ubicaciones geográficamente distantes dentro de los plazos inverosímiles, como un inicio de sesión de Londres, minutos después de una sesión en Nueva York, se limita a la necesidad de análisis geoespaciales.
El modelo de datos de autenticación de Splunk Enterprise Security puede calcular la velocidad de viaje aproximada entre los eventos de inicio de sesión para producir estas anomalías, permitiendo una investigación rápida antes de que una violación se intensifique.
Mecanismo de infección y persistencia a través de la misión de activos
Una mirada en profundidad al mecanismo de infección de reflex más frecuente revela cómo las inconsistencias iniciales del envío del dispositivo proporcionan el punto de apoyo para el acceso continuo.
Los actores de amenaza solicitan que se envíen computadoras portátiles corporativas a ubicaciones alternativas, a menudo invocando circunstancias personales urgentes para justificar los desajustes.
Una vez que llega el dispositivo, las tácticas de persistencia incrustadas, como instalar herramientas de acceso remoto no autorizadas, la conectividad continua.
Los equipos de seguridad pueden evitar estas operaciones correlacionando los datos del Sistema de seguimiento del solicitante (ATS) con los registros de activos de TI en Splunk.
index = ServiceNow SourCeType = laptop_shipment | eval entreged_location = case (ArrivalState = “CA”, “California”, ArrivalState = “Tx”, “Texas”) | Tipo de unión = Correo electrónico exterior (Search index = Identity SourCeType = Workday_employee) | eval sospicion = if (entregaD_Location! = home_state, “sí”, “no”) | Search sospeche = “Sí” | Nombre de la tabla, EmployeeId, Home_state, Entrewed_Location, correo electrónico ubicaciones de trabajadores inconsistentes (fuente – Splunk)
Al automatizar esta consulta de detección, las organizaciones pueden superficial de inmediato los casos de referencia potenciales, lo que provocó investigaciones conjuntas de los equipos de seguridad y recursos humanos.
La integración de estas detecciones en un marco de alerta basado en el riesgo (RBA) mejora aún más la visibilidad, lo que permite flujos de trabajo de respuesta a incidentes priorizados que minimizan los falsos positivos y impulsan la mitigación eficiente.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
