Han heter Thomas, jobbar på en tankesmedja och vill ge dig ett välbetalt uppdrag — men han finns inte
Thomas verkade seriös på LinkedIn — men han är en kinesisk bluff.
Rekryteraren som inte finns
Föreställ dig att du får en välformulerad förfrågan på LinkedIn. Avsändaren representerar en tankesmedja, erbjuder dig ett välbetalt uppdrag som utrikespolitisk analytiker, och intervjuprocessen känns professionell och seriös. Det är precis så kinesiska militära underrättelseofficerare vill att du ska känna det.
Det är kärnan i den gemensamma varning som säkerhetstjänsterna i USA, Storbritannien, Australien, Kanada och Nya Zeeland — de så kallade Fem ögon-länderna — nyligen gått ut med. Enligt SecurityWeek riktar sig kampanjerna mot personal med tillgång till känslig statlig information, och bedrivs öppet på välkända plattformar som LinkedIn, Indeed och Upwork.
Ett metodiskt och tålmodigt angreppssätt
Det som gör den här typen av underrättelseinhämtning särskilt svår att motverka är hur gradvis och logisk hela processen känns för den drabbade. Det handlar inte om ett plötsligt försök att stjäla lösenord eller ta sig in i system via tekniska sårbarheter. Det handlar om att bygga en relation.
Enligt rapporten rangordnas insamlade meritförteckningar utifrån hur stor tillgång till skyddsvärd information kandidaten bedöms ha. De mest intressanta personerna bjuds in till digitala intervjuer, där rekryterarna döljer sina verkliga identiteter och på ett naturligt sätt sondera vad kandidaten egentligen vet.
Därefter börjar det som kan beskrivas som en gradvis normalisering av informationsdelning. Kandidaten ombeds skriva provrapporter om till synes harmlösa ämnen — Kinas bilaterala relationer, händelseutvecklingen i Indo-Stillahavsregionen, internationell handelspolitik. Successivt höjs ribban. Mer detaljerad information efterfrågas, och kommunikationen flyttas till krypterade meddelandetjänster för att dölja spåren.
Ersättningen betalas kontant, via tjänster som PayPal, Wise eller i kryptovaluta — ofta från konton som är svåra att spåra tillbaka till en avsändare.
Varför det här är relevant även för Sverige
Fem ögon-samarbetet inkluderar inte Sverige, men det förändrar inte hotbilden. Sverige är ett Natoland med tillgång till gemensam försvarsunderrättelse, ett land med betydande försvarsindustri och myndigheter med känslig information om alltifrån exportkontroll till kritisk infrastruktur.
Den typ av social ingenjörskonst som beskrivs i varningen riktar sig inte mot IT-system — den riktar sig mot människor. Och människor är sårbara oavsett nationalitet. En handläggare på Försvarsmakten, en analytiker på Utrikesdepartementet eller en forskare vid ett tekniskt universitet kan alla vara intressanta måltavlor.
Det som är lätt att missa är att den här typen av angrepp inte kräver att offret gör något uppenbart fel. Många som hamnar i den här situationen tror på fullaste allvar att de deltar i ett legitimt konsultuppdrag. Gränsen mellan offentlig analys och skyddsvärd information är dessutom inte alltid solklar för den enskilde medarbetaren.
Tekniken möjliggör skalning
Som systemutvecklare fastnar jag vid en aspekt som inte alltid lyfts fram i den här typen av säkerhetsvarningar: den tekniska skalbarheten. Att skapa övertygande falska profiler, formulera trovärdiga jobbannonser och hålla igång parallella rekryteringsprocesser mot hundratals kandidater är ett arbete som i dag kan automatiseras och skalas upp på sätt som inte var möjliga för tio år sedan.
Språkmodeller kan formulera skräddarsydda meddelanden. Bildgenerering kan producera trovärdiga profilbilder. Automatiserade flöden kan hålla konversationer vid liv. Det innebär att den mänskliga kostnaden för den här typen av kampanjer sjunker, medan räckvidden ökar.
Det är inte en spekulation — det är en logisk konsekvens av hur dessa verktyg utvecklas, och det bör forma hur vi utformar säkerhetsutbildning och rutiner inom myndigheter.
Vad bör du göra?
Fem ögon-varningen ger också konkreta råd. Några av de viktigaste:
- Verifiera alltid avsändarens identitet oberoende av den kanal där kontakten etablerades
- Var skeptisk mot ovanligt välbetalda analysuppdrag med vaga uppdragsbeskrivningar
- Rapportera misstänkta kontaktförsök till din arbetsgivares säkerhetsfunktion
- Flytta aldrig känsliga diskussioner till privata krypterade kanaler på en rekryterares begäran
Vår analys
Det här är en varning som förtjänar mer uppmärksamhet än den troligen kommer att få. Problemet med den här typen av underrättelseinhämtning är att den är svår att synliggöra — den lämnar sällan digitala spår, den sker gradvis, och offren är ofta omedvetna om att de utsatts.
Det jag tycker är mest värt att fundera på är hur den tekniska utvecklingen förändrar hotbilden i grunden. När det blir billigare och enklare att skapa trovärdiga falska identiteter i stor skala, förskjuts bördan av försvar mot den enskilde medarbetaren — vilket är en ohållbar situation.
Det som behövs är inte bara säkerhetsutbildning (som tenderar att glömmas bort), utan strukturella skyddsmekanismer: tydliga rutiner för hur externa kontakter hanteras, stöd för medarbetare att rapportera utan att känna sig misstänkliggjorda, och ett aktivt arbete med att kartlägga vilka roller som är särskilt exponerade. Sverige bör ta den här varningen på fullt allvar — även om vi inte står på Fem ögon-listan.