Frauderende ict’ers Zo’n drieduizend Noord-Koreaanse ict’ers proberen met valse identiteiten goedbetaalde banen in de softwaresector te krijgen. Met enige oefening zijn ze te ontmaskeren. NRC keek mee met een sollicitatiegesprek.
Geblurde screenshot uit sollicitatiegesprek dat Simon Wijckmans van Cside heeft gevoerd met vermoedelijke Noord-Koreaan.
Frank Chang heeft het assessment dat voorafgaat aan zijn sollicitatiegesprek zo snel gedaan dat bij werkgever Simon Wijckmans alarmbellen afgaan. Wijckmans bestudeert het verslag. „Veertien seconden nadat hij de opdracht had geopend, begon hij al te coderen.” En Chang rondde de test in 56 minuten af. „Dat is niet normaal.”
Wijckmans heeft meer aanwijzingen dat de sollicitant misschien niet de zeer ervaren allround developer is uit Austin, Texas, die hij beweert te zijn. Het begint al bij zijn naam. „Die klinkt heel erg fake.” Bijna alle sollicitanten kiezen namen als Nic, Harry of Frank.”
Op LinkedIn heeft Chang slechts veertien contacten en hij heeft geen enkele post geplaatst. En hoewel Wijckmans en hij bij hetzelfde bedrijf hebben gewerkt, zit er bij die contacten niemand die Wijckmans kent.
Wijckmans is oprichter en directeur van Cside, een jong bedrijf voor cyberbeveiliging, waar nu twintig mensen werken. Dat doen ze vanuit huis, verspreid over Europa en Amerika. Hij heeft vaak nieuwe software-engineers nodig voor zijn groeiende start-up, en goede mensen zijn niet gemakkelijk te vinden. Vooral ervaren frontend developers – die de zichtbare kant van een website of applicatie bouwen – zijn veelgevraagd en schaars.
Toch krijgt hij opvallend veel sollicitanten als hij een vacature online zet. Laatst achthonderd, binnen vier dagen. Wijckmans vertelt het via een videoverbinding vanuit San Francisco, waar de Vlaming onlangs naartoe is verhuisd om dichter bij investeerders te zitten.
Met een groot deel van die sollicitanten is iets raars aan de hand. Hun profielen lijken op elkaar. En ze zijn eigenlijk te indrukwekkend om waar te zijn. Zóveel ervaring, beheersing van zóveel programma’s. En toch per onmiddellijk beschikbaar, net als Frank.
Dat komt doordat ze niet zijn wie ze beweren te zijn. De markt voor op afstand werkende softwareontwikkelaars wordt tegenwoordig overspoeld door Noord-Koreanen. Gechanteerd door het Noord-Koreaanse regime proberen ze onder een valse identiteit bij bedrijven binnen te komen. Als dat lukt, blijven ze zo lang mogelijk in dienst zonder al te veel te doen, zodat ze meer banen tegelijk kunnen hebben. Een groot deel van hun salaris dragen ze af aan Noord-Korea.
Tegen dat land zijn zware internationale sancties van kracht vanwege zijn kernwapenprogramma. Daarom is het vrijwel geheel afgesloten van internet en het internationale betalingsverkeer. Het kan daardoor vrijwel geen handel drijven met het buitenland. De armoede is er enorm. Uitzenden van ict’ers is een manier om toch aan buitenlandse deviezen te komen.
Banen in de softwareontwikkeling zijn populair, want de salarissen zijn hoog (vanaf 120.000 euro per jaar) en de meeste functies kunnen op afstand worden vervuld. Zeker sinds de coronapandemie is thuiswerken de norm. Als het eenmaal is gelukt bij een bedrijf binnen te komen, houden de ict’ers het vaak wel een tijdje vol. „Het werk wordt echt gedaan, het salaris echt betaald – en een flink deel daarvan vindt zijn weg naar Pyongyang”, zegt Remco Breuker, hoogleraar Korea-studies aan de universiteit van Leiden. „En je hebt als bedrijf een zeer vaardige Noord-Koreaanse hacker achter je veiligheidssystemen zitten.”
De FBI waarschuwt werkgevers in de techindustrie sinds 2022 in steeds sterkere bewoordingen voor de North Korean IT worker threat. De laatste FBI-update, van 23 januari 2025, bevat een extra alert voor datadiefstal en chantage. Noord-Koreanen die betrapt zijn door een werkgever, kunnen bijvoorbeeld belangrijke codes van bedrijfsapplicaties ‘gijzelen’ en zo proberen nog wat geld los te krijgen voor ze verdwijnen.
Mede door de vervolgingen en strengere controles in de VS verplaatst de dreiging zich inmiddels naar andere landen. Noord-Koreanen richten zich vooral op Europa, waarschuwt de onderzoekstak van Google in een rapport van april 2025.
Na een aantal sollicitatiegesprekken begon Wijckmans een patroon te zien, dat hij nu ook bij Frank Chang ontwaart. Chang deed de test die hij hem als onderdeel van de procedure stuurde via een VPN-verbinding. Het betrokken IP-adres verwijst naar een „louche hosting provider met VPN”, zegt Wijckmans. Diezelfde VPN gebruikt Chang om in te loggen voor het sollicitatiegesprek.
Tijdens dat gesprek vertelt Wijckmans dat er iemand meeluistert, maar niet een journalist is. Chang ziet wel de naam van de NRC-verslaggever. Pogingen om dat na afloop te vertellen en hem vragen te stellen stranden. Chang reageert niet op contactverzoeken en heeft zijn LinkedIn-profiel een paar dagen na het gesprek verwijderd.
In de VS is het ochtend als Wijckmans en Chang elkaar online treffen voor de sollicitatie. Chang zit dicht bij de camera en heeft een goedkoop ogende headset op. De achtergrond die hij heeft gekozen, oogt extreem neutraal. Een schemerlamp naast een licht eiken boekenkast met wat slecht leesbare titels en een brandend kaarsje.
Geblurde screenshot uit sollicitatiegesprek.
De verbinding is beter dan bij de meeste van dit soort gesprekken, valt Wijckmans op. Er zijn meer stemmen te horen. De sollicitant is duidelijk niet alleen in de ruimte. Wijckmans: „Jammer dat hij geen bril draagt, de schermen in de weerspiegeling geven vaak veel weg.”
Het gesprek komt moeizaam op gang, hoewel Wijckmans geregeld bemoedigend „awesome” zegt. Chang zegt in Indonesië te zijn geboren en al zestien jaar in de VS te wonen. Hij zou inmiddels ook de Amerikaanse nationaliteit hebben, maar hij spreekt vrijwel onverstaanbaar Engels. Zijn ogen gaan voortdurend heen en weer, wat suggereert dat hij antwoorden vanaf een ander beeldscherm voorleest.
Als Wijckmans hem vraagt zich voor te stellen, dreunt hij in hoog tempo een standaardriedel op die begint met: „Let me introduce myself.” Wijckmans maakt intussen een screenshot en haalt de afbeelding door gezichtsherkenningssoftware om te zien of die aan iemand anders te linken is, maar hij krijgt geen treffers.
De technische methoden om identiteitsfraude te plegen, zijn geraffineerd en worden steeds beter. Als een sollicitant tijdens het gesprek een identiteitsbewijs voor de camera moet houden, lukt het tegenwoordig bijvoorbeeld daar live een afbeelding van een (gestolen) identiteit overheen te projecteren.
En het is een eitje om AI te gebruiken op een tweede computer, om de gewenste antwoorden te genereren en die voor te lezen. Daar klagen werkgevers in andere branches tegenwoordig ook over.
Maar bij het frauderen is wel enige hulp nodig. In de VS worden inmiddels mensen vervolgd omdat ze zich hebben laten inhuren als katvangers. Ze stelden bijvoorbeeld hun adres ter beschikking, zodat werkgevers een laptop van de zaak konden opsturen naar de persoon die volgens hen hun nieuwe werknemer was. In sommige gevallen installeerde de katvanger software waarmee de laptop op afstand overgenomen kon worden. En logde hij iedere dag rond een bepaalde tijd in.
Simon Wijckmans tijdens een online sollicitatiegesprek.
De actiefste katvangers deden dat voor tientallen Noord-Koreanen tegelijk. Een belangrijk advies van de FBI is dan ook altijd te proberen een nieuwe werknemer fysiek te ontmoeten. Zowel voor de controle van diens identiteit (het zijn vrijwel altijd mannen) als om hem de bedrijfslaptop te overhandigen.
Wijckmans heeft wel eens geprobeerd een verdachte sollicitant in het echt te ontmoeten. Hij moest voor een conferentie toch in de desbetreffende Amerikaanse staat zijn. De kandidaat zei de afspraak vervolgens een half uur tevoren af, onder het mom van ziekte. „Ze spelen het heel lang mee en laten je gerust een ticket kopen.”
Onder dictator Kim Jong-un is Noord-Korea vanaf 2012 begonnen met de opbouw van wat je een leger ict’ers kan noemen. Daarvoor worden vanaf jonge leeftijd talentvolle kinderen geselecteerd. In tegenstelling tot hun landgenoten hebben zij toegang tot internet en er wordt behoorlijk geïnvesteerd in hun scholing.
Als ze klaar zijn met hun opleiding worden ze in groepjes in bevriende andere landen gestationeerd, in de regel China of Vietnam. Noord-Korea heeft zelf geen noemenswaardige internetstructuur. Er is maar een zeer beperkt aantal IP-adressen beschikbaar. Als die worden gebruikt gaan onmiddellijk alarmbellen af.
Hun familie en vrienden blijven achter en dienen als een soort onderpand om te voorkomen dat ze vluchten. Vanuit hun locaties in het buitenland proberen ze binnen te komen bij goedbetalende westerse bedrijven. Volgens de meeste schattingen bestaat dit deel van het ‘cyberleger’ uit zo’n drieduizend mannen.
„IT-werkers zijn geen gewone arbeiders, zeker niet als ze zich buiten Noord-Korea bevinden”, vertelt hoogleraar Breuker. Het is een soort elite-eenheid. Ze hebben meer vrijheid en mogen een deel van hun verdiensten zelf houden. Vaak werkt het Noord-Koreaanse regime met doelstellingen: de IT’er moet bijvoorbeeld jaarlijks minimaal 100.000 dollar overmaken. Hoeveel vrijheid ze hebben, hangt samen met de plek waar ze zitten. Een ‘laptopfarm’ vlak over de grens met China – een soort callcenter vol ict’ers – biedt minder persoonlijke ruimte dan een hotel in Zuidoost-Azië, zegt Breuker.
Een andere eenheid van het ict-leger is gespecialiseerd in hacken. Vooral banken en bedrijven die met cryptovaluta werken, zijn daar tot nu toe het slachtoffer van. In februari 2024 werd de grootste cyberbankoverval ooit gepleegd door het Noord-Koreaanse hackerscollectief Lazarus. Het maakte daarbij zo’n 1,5 miljard dollar buit.
Geblurde screenshot uit sollicitatiegesprek.
Ook partijen in de cryptowereld huren geregeld per ongeluk Noord-Koreanen in. Afgelopen zomer kwam een aantal bedrijven erachter dat ze met Noord-Koreanen werkten, via het X-account @ZachXBT, van een anonieme blockchainonderzoeker. Hij onthulde 25 cryptoprojecten waarvoor softwareontwikkelaars uit Noord-Korea waren aangesteld, zonder dat de eigenaren het doorhadden.
Een door hem gevonden ‘entiteit in Azië’ werkte mee aan meer dan 25 projecten tegelijk, gebruikmakend van valse identiteiten. Het leverde maandelijks bijna een half miljoen dollar op, was te zien aan de cryptotransacties. De ‘mensen’ die met naam en toenaam werden genoemd in het overzicht van ZachXBT – hij postte ook foto’s van betrokken vervalste identiteitspapieren op X – verdwenen in de regel snel daarna uit de bedrijven en wisten hun online profielen op sociale media.
Wijckmans heeft er inmiddels een projectje van gemaakt om de Noord-Koreanen te ontmaskeren. Hij bouwde een tool die zijn klanten ook kunnen gebruiken om sollicitanten te filteren. Meer dan 90 procent kan op basis daarvan zo de prullenbak in, vertelt hij. Van de frauduleuze sollicitaties komt volgens hem zo’n 80 procent uit Noord-Korea. Al zijn er ook mensen uit Bangladesh en Pakistan die zich voor Amerikaan uitgeven, om een Amerikaans salaris te kunnen vragen.
Mocht een kandidaat toch in aanmerking komen voor een echt gesprek, dan stelt Wijckmans wat strikvragen. Tijdens het gesprek met ‘Chang’ bijvoorbeeld: hoe lang duurt het om alle ramen in Londen te wassen?
Het is het soort vraag waarop je een wedervraag zou verwachten. Bedoelt u ook autoramen, bijvoorbeeld? De binnen- en de buitenkant? Maar Chang vertrekt geen spier en begint meteen hardop te rekenen. Het is een typisch AI-antwoord, licht Wijckmans na afloop toe. Een large language model wil altijd antwoord geven. Dat gaat gewoon aan de slag met wat je zegt en berekent wat je vraagt. „We gebruiken die truc ook bij kandidaten die we niet van fraude verdenken, om te kijken of ze tijdens de sollicitatie AI gebruiken.”
Hij vraagt Frank Chang ook of hij mee mag kijken in zijn scherm terwijl hij hem live een kleine opdracht geeft. Na enige aarzeling en geklungel deelt Chang zijn scherm. Hij blijkt een Windows-computer te gebruiken, niet de Apple die hij eerder noemde. En de klok onderin het scherm staat niet op de tijdzone van Texas.
Aan het einde van het gesprek van een half uur confronteert Wijckmans zijn sollicitant met zijn sterke vermoedens. Hij benoemt diens sterke accent en zegt dat het hem aan Korea doet denken.
Hij zegt dat hij weet dat Frank Chang niet zijn echte naam is en dat hij denkt dat hij uit Noord-Korea komt. Chang reageert verward en herhaalt dat hij in Texas zit. Hij moet een beetje lachen. „Interesting”, zegt hij.
Wijckmans: „We kunnen nu twee dingen doen. We kunnen een eerlijk gesprek voeren en ik kan zien of ik je kan helpen. Of we beëindigen dit gesprek. Het is aan jou.” Chang kiest voor het laatste. „Have a great day”, zegt hij nog, voor het beeld op zwart gaat.
Doorzie de wereld van technologie elke week met NRC-redacteuren
Source: NRC