朝鲜人为获取远程技术岗位制定了一套复杂的计划，其中关键的一环就是与身处美国本土的美国人合作，让他们充当中介或“代理人”，以换取高额报酬。一位网络安全专家假扮成愿意参与该计划的美国人，以了解这套运作流程的细节。美国当局估计，这一骗局为朝鲜带来了数亿美元的收益，涉及数百家《财富》500强企业。

安全专家艾登·雷尼（Aidan Raney）在自由职业平台 Fiverr 上联系了一个疑似由朝鲜工程师24小时运营的账户，想探查背后真相。他发出的消息很简单：

“我怎么参与？”雷尼问。

这短短五个字成功打入内部。几天后，雷尼便与自称“Ben”的朝鲜联系人进行了多次通话。他注意到对方其实是三四个人在轮流联系他，但他们似乎没意识到雷尼察觉到了这一点。

在第二次通话中，雷尼接连抛出问题，试图搞清楚如何以美国人身份充当“代理”，帮朝鲜软件工程师拿到远程工作。他们打算用 Webex 的远程访问工具隐藏身份，雷尼告诉《财富》杂志。他得知，如果他成功入职，需要将70%的薪资通过加密货币、PayPal 或 Payoneer 转给这些“Ben”，而对方则会帮他伪造 LinkedIn 个人资料、投递简历。

“Ben”们告诉他，他们会完成大部分工作，但需要他出席视频会议、早会和敏捷开发例会。他们甚至将他的头像做成黑白照片，以区别于网络上能搜到的其他图像。他们利用雷尼的身份打造了一个拥有地理信息系统开发经验的虚构角色，甚至写上他曾开发急救车定位软件的假经历。

“他们基本上包办了所有工作，”雷尼说，“他们想用我真实的身份来绕过背景调查，几乎贴近我本人的经历。”

这个朝鲜 IT 工程师骗局大约自2018年起开始运作，每年为朝鲜带来2.5亿至6亿美元的收入。为应对严厉的经济制裁，朝鲜领导层组建了有组织的犯罪网络，不仅进行加密货币盗窃和恶意软件攻击，还派遣大量训练有素的开发人员前往中俄，申请《财富》500强企业的远程技术岗位。

这些工程师被命令将大部分工资汇回朝鲜。据联合国报告，低薪工人可保留10%，高薪者可留30%。美国司法部指出，这些资金被用来资助朝鲜的大规模杀伤性武器和弹道导弹项目。

尽管近两年美国司法部已起诉数十名涉案人员，网络安全专家表示，这些打击并未真正遏制骗局的扩散。相反，该计划越来越精密。朝鲜人还利用 AI 技术，大量向职位空缺投递简历，并指导美国“代理人”应对面试。

身份验证公司 Hypr 创始人西米奇（Bojan Simic）表示，这一骗局的“社会工程”手段也在进化。他们利用公开信息和 AI 模拟过去成功的策略。比如，通过 LinkedIn 查看员工入职时间后，用 AI 伪装声音打电话重置密码，遇到安全问题答不上就挂断，再查清楚后重拨。

“两年半前，这还得真人操作。现在，整个流程都自动化了，听起来就像本地人说话。”

不只是美式口音。西米奇回忆，一家日本银行的安全官告诉他，过去很少担心黑客用电话套取信息，因为多数黑客不会说日语。但现在，黑客能说一口流利的日语，还能用 AI 实现。这让企业面临全新的安全威胁。

不过，还是有办法强化招聘流程、识别虚假身份。西米奇建议：“在验证身份流程中增加哪怕一点摩擦，都足以让这些朝鲜工程师转向更容易的目标。”比如，IP 和手机定位是否一致、视频面试是否有足够光线等细节，都可以成为筛查工具。

雷尼最后真的拿到了一份远程工作面试邀请，对方是一家美国政府承包商，年薪8万美元。在面试过程中，“Ben”们通过远程控制在记事本上输入答案，引导他应对问题。最终他拿到口头录用通知，却马上以客户事故响应为由婉拒了这份工作。

他也逐渐与“Ben”断了联系。但在最后阶段，他尝试与他们展开更私人化的交流，比如聊聊家人和节日。他曾发短信问：“你们过节会跟家人团聚吗？”对方回复说，没有什么比陪伴亲人更美好，还发了个眨眼表情符号，让雷尼觉得那一刻他们露出了一丝人性。他注意到视频中有人在他们背后走动，怀疑他们一直在被严密监控。

这个故事后来被公开讲述在国际间谍博物馆的播客上。播出前，雷尼给“Ben”们发去一条信息：

“对不起。如果可以的话，逃走吧。”

这条信息，他们从未打开。

对于此事，LinkedIn 向《财富》提供了其打击虚假账户的更新说明；Fiverr 表示其信任与安全团队会持续监控平台卖家；Payoneer 也称其使用严格的合规和监测机制，打击冒充 IT 顾问的朝鲜特工。（点击这里看原文）