Integrità e Rilevamento di Frodi

Come Rilevare Remote Desktop e TeamViewer negli Esami di Codifica

ClarityHire Team(Editorial)9 min read

La minaccia è reale, ma non è quello che la maggior parte dei team immagina

Il classico timore: un candidato installa TeamViewer o AnyDesk, affida la sua sessione a un ingegnere più bravo in un altro paese e lascia che quel ingegnere risolva l'esame di codifica mentre il candidato rimane sulla fotocamera annuendo. Le varianti includono Microsoft RDP, Chrome Remote Desktop, Parsec e ultimamente VS Code Live Share usato in modo improprio per l'impersonamento.

Succede. I servizi di completamento di esami a pagamento si pubblicizzano su LinkedIn. La frazione di esami tecnici remoti con coinvolgimento di telecomando rilevabile si situa nei bassi monocifrali - piccola, ma molto non-nulla, e concentrata nei ruoli in cui l'offerta è sufficientemente grande da rendere la tariffa economica.

La cattiva notizia: un browser di blocco non ferma questo. Il software di telecomando viene eseguito sul sistema operativo del candidato; il browser di blocco vede il proprio DOM. La buona notizia: nel momento in cui un secondo essere umano assume il controllo della sessione, il comportamento cambia in modi che i tuoi dati catturano. Questo articolo illustra i segnali che rilevano l'impersonamento del desktop remoto in modo affidabile e perché gli approcci ricchi di sorveglianza sia perdono i casi che contano sia alienano i candidati che vuoi assumere.

Che cosa rappresenta realmente l'impersonamento del desktop remoto nei tuoi dati

Quando un operatore remoto assume il mouse e la tastiera del candidato, diverse cose cambiano contemporaneamente:

  • L'impronta digitale della pressione dei tasti si sposta a metà sessione. I tempi di permanenza, i tempi di volo e la struttura di scoppio sono diversi per persona; l'operatore è, per definizione, una persona diversa.
  • La latenza dell'input aumenta e diventa irregolare. Anche un collegamento RDP veloce aggiunge 30-120 ms rispetto alla rete sottostante dell'operatore - e la varianza è il tradimento, non la media.
  • Gli schemi micromodelli del movimento del mouse cambiano. Le curve di accelerazione, i tempi di rilascio del clic e la deriva inattiva sono sorprendentemente individuali.
  • La webcam continua a mostrare il candidato originale, che ora è visibilmente non la persona che guida il cursore. Il canale audio spesso rimane silenzioso per periodi che non corrispondono al lavoro che accade sullo schermo.
  • Lo schema di messa a fuoco del browser si separa dallo schema del discorso. Il candidato spiega a cosa sta "pensando" mentre il lavoro di battitura accelera o si pausa a un ritmo diverso.

Nessuno di questi da solo è una prova. Impilati insieme, lo sono.

Segnale 1: deriva dell'impronta digitale della pressione dei tasti

Questo è il segnale singolo più forte e il più economico da catturare. La biometrica dei tasti costruisce un'impronta digitale di digitazione dai primi ~300 tasti, quindi osserva se il resto della sessione corrisponde. Quando un operatore remoto assume il controllo, le distribuzioni dei tempi di permanenza e dei tempi di volo si spostano visibilmente, spesso entro i primi 30 secondi dall'acquisizione.

Quello che stai cercando:

  • Divergenza dell'impronta digitale a metà sessione. I primi 10 minuti sembrano una persona; dal minuto 25 in avanti sembra qualcun altro. Il punteggio di paternità XGBoost oscilla ben al di fuori della banda di rumore.
  • Disadattamento della linea di base. L'esercizio di riscaldamento del candidato aveva uno schema di digitazione rilassato e soggetto a errori; il turno di codifica improvvisamente ha una digitazione nitida, sicura e senza backspace. Le persone non cambiano personalità di battitura in 5 minuti.

Il rapporto di integrità di ClarityHire fa emergere entrambi i segnali automaticamente con intervalli di tempo, il che li rende attuabili in una revisione guidata.

Segnale 2: latenza di input e jitter

Quando il candidato digita direttamente sulla sua macchina, la latenza da pressione del tasto a rendering è dominata dal ciclo di eventi del browser - tipicamente inferiore a 20 ms con bassa varianza. Quando un operatore remoto guida la sessione attraverso RDP / TeamViewer / Parsec, due cose cambiano:

  • La latenza media aumenta. I tasti dell'operatore viaggiano su Internet verso la macchina del candidato, quindi viene eseguito il rendering. Uno spostamento di 40-120 ms è comune.
  • La varianza esplode. Il jitter di rete sul collegamento dell'operatore si compone con quello del candidato. La deviazione standard cresce molto più velocemente della media.

Puoi acquisire questo dal lato client senza nulla di invadente: registra il divario di tempo tra gli eventi keydown e l'aggiornamento DOM corrispondente. Una sessione stabile ha una distribuzione stretta. Una sessione con un operatore remoto assomiglia alla telemetria di rete: occasionali valori anomali di 300 ms, forma irregolare e lo schema inizia a metà sessione piuttosto che essere presente dalla prima pressione del tasto.

Segnale 3: micromodelli del mouse

La tastiera è il segnale primario; il mouse è quello corroborante. Il movimento del mouse ha micromodelli individuali che cambiano quando il controllo viene trasferito:

  • Curve di accelerazione. Ogni persona muove il cursore diversamente - alcuni lo scattano verso i bersagli, altri lo arcano verso di loro.
  • Intervalli di rilascio del clic. Alcune persone fanno doppio clic in 80 ms, altre in 220 ms.
  • Micro-deriva inattiva. Quando il cursore è "stazionario", in realtà non lo è - le dita si spostano sul mouse e producono piccolissimi movimenti continui. Questi scompaiono sotto RDP perché il cursore viene reso remotamente.

L'ultimo è un indizio affidabile di RDP. Una sessione di desktop remoto tipicamente ha tratti in cui il cursore è perfettamente fermo per secondi alla volta, il che quasi mai accade con input diretto.

Segnale 4: continuità del volto e sincronizzazione audio

Lo strato di integrità negli esami video traccia la continuità del volto durante la sessione. In un tentativo di impersonamento, il volto del candidato è ancora sulla fotocamera - quella parte non cambia. Quello che cambia è la relazione tra ciò che è sullo schermo e ciò che dice:

  • Desincronizzazione audio-azione. Il candidato narra "Sto per refactoring questo loop" mentre il cursore l'ha già fatto 6 secondi prima - stanno descrivendo le azioni dell'operatore in ritardo, nello stesso modo in cui un telecronista ritarda il gioco.
  • Direzione dello sguardo. Il loro sguardo si sposta da qualche parte al di fuori del proprio schermo - spesso verso un telefono o un secondo monitor dove l'operatore è in una videochiamata che li guida.
  • Lunghi tratti di microfono muto durante la produzione di codice pesante. I veri ingegneri narrano o borbottano mentre lavorano. Lunghi, completi silenzi durante scoppi di codifica produttivi sono sospetti.

Vedi la nostra nota su verifica dell'identità del candidato negli esami online per come la continuità del volto si compone con gli altri segnali.

Segnale 5: struttura di incolla e tempistica di scoppio

Anche quando non c'è desktop remoto in gioco, lo stesso operatore spesso sta anche alimentando il candidato di codice tramite chat. Il risultato è lo stesso modello di coerenza di codice che emerge negli invii incollati da IA:

  • Grandi incollamenti puliti dopo lunghi silenzi
  • Stile di denominazione variabile che cambia tra le funzioni
  • Codice con gestione degli errori difensiva per i casi che il candidato non ha mai testato

Combinato con i segnali di latenza e pressione dei tasti, questo ti dà un composito multilivello. Raramente hai bisogno di una singola "pistola fumante" - il punteggio composito è il verdetto.

Perché i browser di blocco sono la risposta sbagliata

L'istinto è bandire il software di desktop remoto con una scansione di processo. Tre problemi:

  1. La scansione non può essere eseguita in un browser. Un blocco basato su browser vede il suo DOM. Il rilevamento di RDP a livello di sistema operativo richiede l'installazione di software nativo, che la maggior parte dei candidati correttamente rifiuta.
  2. I truffatori determinati usano un telefono fuori schermo. Se blocchi TeamViewer, il prossimo tentativo è un telefono con il problema sullo schermo e una chiamata Telegram all'operatore. Hai speso la tua buona volontà candidato bloccando l'attacco sbagliato.
  3. I falsi positivi colpiscono i candidati onesti. Molti ingegneri eseguono strumenti di accessibilità, registratori di schermo o laptop di lavoro con MDM aziendale che attiva avvisi di "rilevamento del software di controllo remoto". Rifiutarli automaticamente è peggio che perdere i reali impostore.

Il modello giusto è quello descritto nel nostro articolo su strumenti di proctoring: raccogliere i segnali comportamentali continuamente e senza intrusione, far emergere le anomalie a un revisore umano e non auto-rifiutare mai.

Cosa fare durante l'esame

Tre pratiche che catturano l'impersonamento senza spettacoli di sorveglianza:

  • Stabilisci una linea di base di 5 minuti. Chiedi al candidato di digitare una breve richiesta all'inizio ("presentati per iscritto"). Questo calibra l'impronta digitale della pressione dei tasti e la distribuzione della latenza. Qualsiasi spostamento a metà sessione viene quindi misurato rispetto a una linea di base che hai effettivamente.
  • Fotocamera attiva, schermo completamente visibile. Non perché vedrai TeamViewer nei loro tab del browser - non lo farai - ma perché il costo sociale di una coordinazione evidente fuori schermo aumenta con la fotocamera accesa.
  • Mescola la digitazione con la conversazione. Fai domande di processo mentre codificano: "parla di quello che stai facendo adesso". Un candidato guidato da un operatore cade fuori sincronizzazione dalle azioni sullo schermo.

La revisione guidata è ancora il tuo strumento migliore

Per qualsiasi candidato che i segnali segnalano, la risoluzione è la stessa di quella per l'assistenza IA: una revisione di 10 minuti in cui spiegano il loro proprio codice. Un candidato che l'ha scritto può difenderlo. Un candidato il cui operatore l'ha scritto improvvisa vagamente, si contraddice, o silenziosamente chiede che il problema sia riformulato. La revisione guidata risolve quasi ogni caso segnalato in una direzione o nell'altra.

Se anche la revisione guidata è falsa - operatore su una chiamata parallela che guida la spiegazione - l'impronta digitale della pressione dei tasti durante il follow-up di codifica della revisione guidata (chiedi loro di scrivere una piccolissima modifica, giusto?) è il tuo ultimo controllo.

Cosa fare dopo

Tre mosse concrete:

  1. Aggiungi una linea di base digitata di 60 secondi all'inizio del tuo round di codifica dal vivo in modo che la biometrica dei tasti abbia qualcosa con cui confrontare.
  2. Cattura la latenza da pressione del tasto a rendering dal lato client e revisionala come parte del tuo rapporto post-esame, non in tempo reale.
  3. Rendi il follow-up di codifica della revisione guidata obbligatorio su ogni turno dal vivo - quel singolo cambiamento chiude più il divario di impersonamento di qualsiasi strumento anti-frode.

Il rilevamento non riguarda la cattura di chiunque. Si tratta di rendere l'impersonamento abbastanza costoso da far smettere di provare la piccola frazione di cattivi attori, mentre il 97% dei candidati onesti non nota mai che lo strato è lì.

desktop remototeamviewerintegrità degli esamiimpersonamentorilevamento di frodi