Các đội ngũ an ninh đang đối mặt với thách thức ngày càng tăng từ các cuộc tấn công Lừa đảo tuyển dụng từ xa (Remote Employment Fraud – REF). Những kẻ mạo danh này thường vượt qua quy trình kiểm tra nhân sự và thậm chí có được quyền truy cập vào mạng lưới nội bộ trước khi bị phát hiện. Bài viết này tập trung vào các chỉ số kỹ thuật để nhận diện những tác nhân lừa đảo một khi chúng đã xâm nhập vào cơ sở hạ tầng của tổ chức.

Bằng cách sử dụng các truy vấn Splunk và tích hợp dữ liệu hiệu quả, các tổ chức có thể củng cố tuyến phòng thủ cuối cùng chống lại REF: môi trường sau khi tuyển dụng. Điều này giúp ngăn chặn thiệt hại đáng kể và bảo vệ tài nguyên doanh nghiệp.

Giám sát Vận chuyển Thiết bị Doanh nghiệp để Ngăn chặn Lừa đảo Tuyển Dụng Từ Xa

Một quy trình tưởng chừng đơn giản – gửi laptop công ty – có thể tiết lộ các tác nhân REF. Những kẻ lừa đảo thường yêu cầu giao hàng đến các địa điểm không khớp với địa chỉ nhà đã khai báo. Chúng thường đưa ra nhiều lý do phức tạp như trường hợp y tế khẩn cấp hoặc chuyển địa điểm tạm thời để che giấu sự sai lệch này.

Kỹ thuật Đối chiếu Địa chỉ và Dữ liệu Tài sản

Mặc dù các trường hợp riêng lẻ có vẻ vô hại, việc đối chiếu dữ liệu theo dõi ứng viên với nhật ký quản lý tài sản có thể làm lộ ra các mô hình hành vi đáng ngờ. Để thực hiện điều này, các đội ngũ bảo mật có thể tích hợp dữ liệu vận chuyển thiết bị vào Splunk.

Một truy vấn SPL (Search Processing Language) mẫu được đề xuất là kết hợp hồ sơ vận chuyển laptop từ ServiceNow với hồ sơ nhân viên trong Workday. Truy vấn này sẽ gắn cờ các trường hợp mà trường home_state (tiểu bang/tỉnh nhà) khác với delivered_location (địa điểm giao hàng).

index=workday_employees source=workday_employee_profiles
| join type=left home_state [index=servicenow_assets source=servicenow_laptop_shipments
| fields employee_id, delivered_location]
| where home_state != delivered_location
| table employee_id, employee_name, home_state, delivered_location
| rename home_state as "Địa chỉ khai báo", delivered_location as "Địa điểm giao hàng"

Bằng cách mở rộng việc tra cứu sang các khu vực toàn cầu và tự động hóa logic khớp chuỗi, doanh nghiệp có thể đạt được khả năng phát hiện xâm nhập theo thời gian thực mà không bị chậm trễ do xác minh thủ công.

Nhận diện Dịch vụ VPN và VPS Trái phép

Một khi đã có thiết bị của công ty, các tác nhân Lừa đảo tuyển dụng từ xa thường định tuyến lưu lượng truy cập qua các dịch vụ VPN. Mục đích của chúng là che giấu vị trí thực của mình. Điều này gây khó khăn cho việc giám sát và nhận diện.

Phân tích Log từ Identity Provider (IdP)

Phương pháp tiếp cận được đề xuất bởi Splunk là thu thập nhật ký IdP (Identity Provider) – ví dụ từ Okta hoặc Duo. Điều này giúp phát hiện các kết nối có nguồn gốc từ các nhà cung cấp VPN hoặc VPS đã biết nhưng không được chính sách công ty cho phép. Việc này là một bước quan trọng trong việc tăng cường an ninh mạng.

Một truy vấn SPL mẫu có thể quét các kết nối khớp với các nhà cung cấp như NordVPN, Mullvad hoặc ProtonVPN. Bằng cách duy trì danh sách VPN được phê duyệt và tạo đường cơ sở, các đội ngũ bảo mật có thể lọc bỏ truy cập từ xa hợp pháp khỏi các hành vi gian lận tiềm ẩn.

index=okta_logs eventtype=user_login
| search connection_ip IN (known_vpn_ips) OR user_agent="*VPN*"
| lookup trusted_vpn_providers_list idp_ip_address as connection_ip OUTPUT provider_name as trusted_provider
| where isnull(trusted_provider)
| table _time, user, connection_ip, geo_city, geo_country, user_agent

Phát hiện Sự kiện “Di chuyển Bất thường”

Bên cạnh việc phát hiện VPN, Splunk cũng xử lý các sự kiện được gọi là “di chuyển bất thường”. Đây là những trường hợp đăng nhập nhanh chóng từ các vị trí địa lý xa nhau, gợi ý về việc giả mạo vị trí hoặc sử dụng nhiều điểm trung chuyển (hop points). Đây là một chỉ dấu mạnh mẽ của Lừa đảo tuyển dụng từ xa.

Xem thêm thông tin chi tiết về các hoạt động chống gian lận trong tuyển dụng từ xa tại Blog bảo mật của Splunk.

Đánh giá Tốc độ và Khoảng cách Đăng nhập

Sử dụng Mô hình Dữ liệu Xác thực (Authentication Data Model) trong Splunk Enterprise Security, hướng dẫn minh họa cách tính tốc độ và khoảng cách phiên làm việc. Nó gắn cờ các tốc độ di chuyển vượt quá ngưỡng có thể đối với con người, chẳng hạn như di chuyển trên 500 km/h và 750 km trong khung thời gian ngắn.

Chiến lược này tập trung vào các nhân viên mới, giúp giảm thiểu các cảnh báo sai cho nhân viên cấp cao. Những nhân viên này có thể thực hiện các chuyến đi hợp pháp rộng rãi, gây khó khăn cho việc phát hiện xâm nhập thực sự.

Giám sát Thiết bị Âm thanh/Video Ảo trong Cuộc gọi Cộng tác

Các tác nhân REF đã được quan sát là sử dụng các thiết bị âm thanh/video ảo để che giấu vị trí thực của họ trong các cuộc gọi cộng tác. Việc này làm phức tạp thêm quy trình nhận diện các đối tượng lừa đảo trong hoạt động Lừa đảo tuyển dụng từ xa.

Nhận diện Thiết bị Hiếm và Độ trễ Video

Hướng dẫn của Splunk phác thảo cách tạo đường cơ sở cho các định danh camera, micro và loa phổ biến trong nhật ký của Zoom, Webex hoặc Teams. Sau đó, áp dụng lệnh rare để làm nổi bật các thiết bị hầu như không xuất hiện trong các hoạt động bình thường.

Một ví dụ SPL tiếp theo sẽ đối chiếu các chỉ số người tham gia Zoom với hồ sơ HR của Workday. Mục tiêu là phát hiện sự không khớp vị trí giữa trường Region trong Zoom và tiểu bang đã đăng ký trong hồ sơ HR.

index=zoom_meetings eventtype=meeting_participant_joined
| join type=left participant_id [index=workday_employees source=workday_employee_profiles
| fields employee_id, registered_state]
| where zoom_region != registered_state
| table _time, participant_id, participant_name, zoom_region, registered_state

Độ trễ video cao cũng là một tín hiệu đáng chú ý. Bằng cách phân tích các chỉ số QoS (Quality of Service) cuộc họp Zoom – đặc biệt là độ trễ video trung bình – các đội ngũ bảo mật có thể gắn cờ các phiên vượt quá ngưỡng. Ví dụ, độ trễ trên 300 ms có thể cho thấy việc định tuyến qua các trang trại từ xa hoặc các trung gian truyền phát, đây là dấu hiệu của Lừa đảo tuyển dụng từ xa.

Ngăn chặn Công cụ Truy cập Từ xa (RATs/RMMs) Trái phép

Cuối cùng, hướng dẫn đi sâu vào việc phát hiện các công cụ truy cập từ xa (RATs và RMMs) trái phép trên các điểm cuối. Những công cụ này có thể được sử dụng để duy trì quyền truy cập hoặc thực hiện các hành động độc hại sau khi xâm nhập.

Phân tích Log EDR và Dòng lệnh Tiến trình

Sử dụng nhật ký EDR (Endpoint Detection and Response) từ các giải pháp như CrowdStrike hoặc SentinelOne, Splunk khuyến nghị kiểm tra các dòng lệnh tiến trình và tên ứng dụng. Việc này được thực hiện bằng cách đối chiếu chúng với danh sách các công cụ được tuyển chọn như Splashtop hoặc TeamViewer. Điều này giúp ngăn chặn các cuộc tấn công Lừa đảo tuyển dụng từ xa.

index=edr_logs eventtype=process_creation
| search command_line IN ("*Splashtop.exe*", "*TeamViewer.exe*", "*AnyDesk.exe*")
| lookup corporate_approved_tools tool_name as process_name OUTPUT is_approved
| where is_approved=false OR isnull(is_approved)
| table _time, host, user, process_name, command_line, parent_process

Báo cáo đường cơ sở phân biệt các công cụ được cấp phép của công ty với những công cụ thường bị kẻ gian lạm dụng. Điều này giúp các quản trị viên chặn hoặc cảnh báo về việc thực thi phần mềm bị cấm. Đây là một biện pháp thiết yếu để đảm bảo an toàn thông tin.

Tăng cường Tư thế Bảo mật Tổng thể

Hướng dẫn mới của Splunk định vị các đội ngũ kỹ thuật để giành lại quyền kiểm soát quy trình tuyển dụng của họ. Bằng cách kết hợp nhiều chỉ số – từ kiểm tra vận chuyển tài sản đến phân tích nhật ký IdP và cộng tác – các tổ chức có thể chống lại các tác nhân REF trước khi chúng gây ra thiệt hại. Điều này giúp củng cố an ninh mạng toàn diện.

Hợp tác chặt chẽ với các chức năng HR, pháp lý và quản lý tài sản, đồng thời tận dụng Tính năng Cảnh báo Dựa trên Rủi ro (Risk-Based Alerting) trong Splunk Enterprise Security, các tổ chức có thể đạt được tư thế bảo mật toàn diện và có thông tin rủi ro chống lại mối đe dọa đang nổi lên này.