Аудит безопасности, проведенный в одной из американских компаний, вскрыл необычную уловку программиста. Мошенник, как характеризуют его журналисты, передал свои функции китайской компании, перечисляя исполнителям сумму в пять-шесть раз меньше, чем его зарплата в США.
В результате этот сотрудник тратил все рабочее время на блуждание по социальным сетям, просмотр видеороликов с котятами и выбор товаров в интернет-магазинах, получая при этом неплохое жалование и хорошие отзывы руководства.
Обман сотрудника обнаружился при аудите безопасности. Дело в том, что фирма-наниматель установила у себя специальный VPN-шлюз, чтобы сотрудники могли работать из дома. В один прекрасный день начался аудит системных журналов, который показал большое число подключений к служебному ПК сотрудника из г. Шэньян (КНР). Работодатели решили, что столкнулись с хакерской атакой, и пригласили специалистов из компании Verizon ( группу Risk Team).
Эксперты из Verizon провели собственное расследование и обнаружили сотни счетов-фактур, выставленных от имени некоего китайского подрядчика. Оказалось, что сотрудник (в расследовании его называют "Боб") ежемесячно платил небольшую сумму от своей шестизначной зарплаты (более 0 тыс. в год) китайским исполнителям, а сам занимался "ничегонеделаньем".
Чтобы обойти механизм авторизации, "Боб" переслал свой RSA-жетон в Китай обычной посылкой через службу FedEx, так что китайские программисты без проблем авторизовались на VPN-шлюзе с помощью одноразовых паролей. Более того, эксперты из Verizon утверждают, что мошенник проделывал тот же трюк и в других компаниях, где работал параллельно. Тем не менее, никаких подозрений это не вызывало, потому что он всегда сдавал свой код вовремя, по окончании каждого дня отправлял начальству письмо с отчетом о проделанной работе. Долгое время руководство не сомневалось, что "Боб" действительно работает не покладая рук каждый день «с девяти до пяти».
Поскольку в компании, где работал "Боб", не было других систем мониторинга, мошенничество оставалось незамеченным довольно долгое время, в том числе, для отдела кадров. В итоге этот мошенник зарабатывал более 0 тыс. в год, нанявшись сразу в несколько компаний недалеко от своего места жительства, а сам просто поручал работу китайским подрядчикам за малую часть уплаченного вознаграждения (около 20%). Что грозит программисту, уличенному в скрытом аутсорсинге, пока неизвестно, но вряд ли ему позволят сохранить нынешнее место работы.