Belangrijke noot: de kwaadwillende actor is er niet in geslaagd toegang te krijgen tot cside-systemen. Deze blogpost dient uitsluitend als waarschuwing voor andere startup-oprichters en werkgevers.
Bij het werven van een Senior full-stack engineer waren we aanvankelijk enthousiast toen we snel een paar honderd veelbelovende cv's ontvingen.
Ik besteedde een paar uur aan het selecteren van relevante profielen en stuurde hen een assessment via Coderbyte. Van een aantal kandidaten ontving ik de huiswerkopdracht snel terug en de resultaten waren redelijk, dus we gingen verder met een gesprek om de geschreven code te bespreken.
Toen ik de call insprong, vielen me een paar dingen op.
- De betreffende kandidaat had de meest Amerikaans-verzonnen klinkende naam. Denk aan "Tommy Jackson".
- De kandidaat had achtergrondgeluid dat leek op een callcenter.
- Het Engels van de kandidaat was slecht en hij vertoonde duidelijke etnische kenmerken van Koreaanse nationaliteit.
- De kandidaat gaf antwoorden die erg gescript klonken.
Omdat ik tijdens het werven had geleerd over onbewuste vooroordelen, dacht ik er aanvankelijk niets van. Maar na 3-4 vrijwel identieke gesprekken werd ik nieuwsgierig en liet ik die kandidaten door een identiteitsverificatie bij een externe dienst halen — tot mijn verbazing slaagden ze daarvoor.
Ik vroeg een mede-oprichter wat hier aan de hand was. Al snel werd er informatie gedeeld over bedrijven zoals KnowBe4 die deze mensen hadden aangenomen en direct ernstige gevolgen ondervonden.
Je zou verwachten dat Noord-Koreaanse pogingen om bedrijven te infiltreren algemeen bekend zijn, maar dat bleek niet het geval.
Wat we tegenkwamen waren georganiseerde en uiterst professionele pogingen om ons bedrijf te infiltreren.
Ik nam contact op met mede-ex-oprichter Bobbie Johnson om veel dieper in deze operatie te duiken en een manier te vinden om dit breder bekend te maken. Vandaag is het volledige Wired-artikel gepubliceerd, met uitgebreide details over de lokale werkwijze van de oplichting.
Tijdens het wervingsproces raakte ik als solo-oprichter steeds gefrustreerder door de hoeveelheid tijd die verloren ging aan het screenen van cv's om Noord-Koreaanse actoren eruit te filteren.
Eerst vroeg ik onze vriend Feross bij Socket of ik zijn AnnoyingSite-project mocht lenen om de Noord-Koreaanse actoren te irriteren en hen te stimuleren elders te solliciteren. Dat deden we, en het amuseerde me enigszins — bekijk de "take home assessment" hier. Maar het hielp niet echt…
Toen drong het tot me door: ik run een client-side beveiligingsbedrijf. Dus logischerwijs moest ik onze client-side intelligence gebruiken om patronen te herkennen en deze ruis aan de bron te filteren. Om de screening van sollicitanten te verbeteren, zijn we device fingerprinting gaan inzetten als manier om proactief verdachte patronen te detecteren die verband houden met frauduleuze sollicitanten.
Daarom kondigen we vandaag onze dienst voor het detecteren van sollicitantenfraude aan in een vroege gesloten BETA. Onze lichtgewicht fraudedetectiesoftware biedt een op maat gemaakte preventieoplossing specifiek voor het screenen van sollicitanten.
Zo kunnen startup-oprichters en recruiters hun tijd besteden aan het beoordelen van cv's van legitieme kandidaten.
