Integritate și detecție fraude

Cum să detectezi Remote Desktop și TeamViewer în interviurile de codare

ClarityHire Team(Editorial)9 min read

Amenințarea este reală, dar nu este ceea ce o considera majoritatea echipelor

Preocuparea clasică: un candidat instalează TeamViewer sau AnyDesk, îi oferă sesiunea unui inginer mai bun din altă țară și permite acelui inginer să rezolve interviul de codare în timp ce candidatul rămâne pe cameră apărând că nu... Variațiunile includ Microsoft RDP, Chrome Remote Desktop, Parsec și, recent, VS Code Live Share utilizat necorespunzător pentru reprezentare falsă.

Se întâmplă. Serviciile plătite de completare a interviului se anunță pe LinkedIn. Fracțiunea interviului tehnic la distanță cu implicarea detectabilă a controlului de la distanță se află în cifrele mici unice - mică, dar nu deloc zero, și concentrată în roluri unde oferta este suficient de mare pentru a face taxa economică.

Vestea proastă: un browser de blocare nu oprește asta. Software-ul de control de la distanță rulează pe sistemul de operare al candidatului; browser-ul de blocare vede propria sa DOM. Vestea bună: în momentul în care o a doua persoană preia sesiunea, comportamentul se schimbă în moduri pe care datele tale le captează. Acest articol prezintă semnalele care detectează fiabil reprezentarea falsă prin remote desktop și de ce abordările pline de supraveghere atât că pierd cazurile importante cât și alienează candidații pe care vrei să-i angajezi.

Ce înseamnă de fapt "reprezentare falsă prin remote desktop" în datele tale

Când un operator de la distanță preia mouse-ul și tastatura candidatului, se schimbă mai multe lucruri în același timp:

  • Amprenta digitală a tastaturii se schimbă în mijlocul sesiunii. Timpurile de ținere, timpurile de zbor și structura burst sunt diferite pentru fiecare persoană; operatorul este, prin definiție, o persoană diferită.
  • Latența de intrare crește și devine neregulată. Chiar și o legătură RDP rapidă adaugă 30-120ms peste rețeaua subiacentă a operatorului - iar variația este trăsătura relevantă, nu media.
  • Micro-modelele de mișcare a mouse-ului se schimbă. Curbele de accelerație, cronometrarea eliberării clicului și deriva în starea de inactivitate sunt surprinzător de individuale.
  • Camera web continuă să arate candidatul original, care acum nu este vizibil nu persoana care conduce cursorul. Canalul audio rămâne des tăcut pentru intervale care nu se potrivesc cu munca care se întâmplă pe ecran.
  • Modelul de focalizare al browser-ului se decuplează de modelul vorbirii. Candidatul explică ce sunt "gândindu-se" în timp ce scrie se accelerează sau se întrerupe cu alt ritm.

Niciuna din ele nu este dovadă. Stivuite împreună, sunt.

Semnalul 1: derivarea amprentei digitale a tastaturii

Acesta este semnalul singular cel mai puternic și cel mai ieftin de capturat. Biometria tastaturii construiește o amprentă de dactilografie din primele ~300 de tastări, apoi observă dacă restul sesiunii se potrivește. Când un operator de la distanță preia controlul, distribuțiile timp de ținere și timp de zbor se schimbă vizibil, adesea în primele 30 de secunde de preluare.

Ce cauți:

  • Divergența amprentei în mijlocul sesiunii. Primele 10 minute arată o persoană; minutul 25 mai departe arată pe altcineva. Scorul de autorie XGBoost se schimbă bine în afara benzii de zgomot.
  • Nepotrivire de linie de bază. Exercițiul de încălzire al candidatului a avut un model de dactilografie relaxat, predispus la erori; runda de codare brusc are dactilografie curată, sigură, fără backspace. Oamenii nu-și schimbă personalitatea de dactilografie în 5 minute.

ClarityHire's raport de integritate suprafață ambele semnale automat cu intervale de timp, ceea ce le face acționabile într-o revizuire detaliată.

Semnalul 2: latența intrării și jitter

Când candidatul tastează direct pe mașina sa, latența de la tastare la redare este dominată de bucla de evenimente a browser-ului - de obicei sub 20ms cu variație scăzută. Când un operator de la distanță conduce sesiunea prin RDP / TeamViewer / Parsec, două lucruri se schimbă:

  • Media latențe crește. Tastele operatorului călătoresc peste internetul lor în mașina candidatului, apoi se redau. O schimbare de 40-120ms este comună.
  • Variația explodează. Jitter-ul rețelei pe legătura operatorului se compune cu al candidatului. Abaterea standard crește mult mai repede decât media.

Poți capta asta pe partea clientului fără nimic invaziv: înregistrează decalajul de timp între evenimentele keydown și actualizarea DOM corespunzătoare. O sesiune stabilă are o distribuție strânsă. O sesiune cu un operator de la distanță arată ca telemetrie de rețea: ocazional 300ms valori aberante, formă neregulată, și modelul începe în mijlocul sesiunii mai degrabă decât a fi prezent de la prima tastare.

Semnalul 3: micro-modelele mouse-ului

Tastatura este semnalul primar; mouse-ul este cel coraborator. Mișcarea mouse-ului are micro-modele individuale care se schimbă atunci când controlul este transferat:

  • Curbe de accelerație. Fiecare persoană flutură cursorul diferit - unele se mișcă brusc către ținte, altele arcuiesc spre ele.
  • Intervale de eliberare clic. Unii oameni fac dublu clic în 80ms, alții în 220ms.
  • Deriva micro în starea de inactivitate. Când cursorul este "staționar", nu este de fapt - degetele se deplasează pe mouse și produc mici mișcări continue. Acestea dispar sub RDP deoarece cursorul este redat de la distanță.

Ultimul este un semn fiabil de RDP. O sesiune desktop de la distanță de obicei are intervale în care cursorul este perfect imobil pentru secunde la rând, ceea ce aproape nu se întâmplă pe intrarea directă.

Semnalul 4: continuitate a feței și sincronizare audio

Stratul de integritate în interviurile video urmărește continuitatea feței pe toată sesiunea. Într-o încercare de reprezentare falsă, fața candidatului este încă pe cameră - acea parte nu se schimbă. Ceea ce se schimbă este relația dintre ceea ce este pe ecran și ceea ce spun:

  • Desincronizare audio-acțiune. Candidatul naratează "Sunt pe cale să refactorizez această buclă" în timp ce cursorul a făcut-o deja 6 secunde mai devreme - descriu acțiunile operatorului cu o bătaie târzii, la fel cum un comentator sportiv rămâne în urma jocului.
  • Direcția privirii. Privirea lor derivă undeva altceva decât propriul ecran - adesea la un telefon sau monitor secundar unde operatorul este într-un apel video care îi oferă coaching.
  • Intervale lungi cu microfon mut în timp ce se produce cod greu. Inginerii adevărați naratează sau se plâng în timp ce lucrează. Liniștea lungă și completă în timpul exploatării de cod productiv este suspectă.

Vezi observația noastră asupra verificării identității candidatului la interviurile online pentru a vedea cum continuitatea feței se compune cu celelalte semnale.

Semnalul 5: structura paste și cronometrarea burst

Chiar și atunci când nu este niciun remote desktop în joc, același operator este adesea și alimentând candidatul cu cod prin chat. Rezultatul este aceleași modele de coerență a codului care apar în trimiteri cu IA:

  • Paste-uri mari și curate după liniștea lungă
  • Stil de denumire a variabilelor care se schimbă între funcții
  • Cod cu gestionare de erori defensive pentru cazuri pe care candidatul nu le-a testat

Combinat cu semnalele de biometrie a tastaturii și latență, asta îți dă un compozit multi-strat. Aproape niciodată nu ai nevoie de un singur "dovezi concludente" - scorul compozit este verdictul.

De ce browser-ele de blocare sunt răspunsul greșit

Instinctul este să interzici software-ul de control de la distanță cu o scanare a proceselor. Trei probleme:

  1. Scanarea nu poate rula într-un browser. Un browser-blocat vede doar propria sa DOM. Detectarea RDP la nivel de sistem de operare necesită instalarea software-ului nativ, pe care majoritatea candidaților o refuză în mod corect.
  2. Hoții determinați folosesc un telefon în afara ecranului. Dacă blochezi TeamViewer, următoarea încercare este un telefon cu problema pe ecran și un apel Telegram către operator. Ți-ai cheltuit buna voință a candidaților blocând atacul greșit.
  3. Pozitivele false lovesc candidații onești. Mulți ingineri rulează instrumente de accesibilitate, înregistratoare de ecran sau laptop-uri de lucru cu MDM corporativ care declanșează avertismente "software de control de la distanță detectat". Refuzul automat al lor este mai rău decât să ratezi impersonatorii actuali.

Modelul corect este cel descris în articolul nostru despre instrumente de supraveghere: colectează semnale comportamentale continuu și în mod discret, suprafață anomalii unui revisor uman și nu respinge niciodată automat.

Ce să faci în timpul interviului

Trei practici care prind reprezentarea falsă fără teatru de supraveghere:

  • Configurează o linie de bază de 5 minute. Cere candidatului să tasteze o scurtă solicitare la început ("prezintă-te în scris"). Aceasta calibrează amprenta digitală a tastaturii și distribuția latențe. Orice schimbare în mijlocul sesiunii se măsoară apoi în comparație cu o linie de bază pe care o ai de fapt.
  • Cameră deschisă, ecran complet vizibil. Nu pentru că vei vedea TeamViewer în filele browser-ului - nu vei vedea - ci pentru că costul social al coordonării evidente în afara ecranului crește cu camera pornită.
  • Mesajul de text se amestecă cu conversația. Pune întrebări de proces în timp ce codifică: "vorbește despre ceea ce faci chiar acum." Un candidat condus de operator cade din sincronizare cu acțiunile de pe ecranul lor.

Walk-through-ul este încă instrumentul tău cel mai bun

Pentru orice candidat pe care semnalele îl marchează, rezoluția este același lucru ca și pentru asistență de IA: o walk-through de 10 minute unde explică propriul cod. Un candidat care l-a scris o poate apăra. Un candidat al cărui operator l-a scris improvizează vag, se contrazice pe sine sau cere în liniște ca problema să fie reformulată. Walk-through-ul rezolvă aproape fiecare caz marcat într-o direcție sau alta.

Dacă walk-through-ul este de asemenea fals - operator pe o apel paralel care oferă coaching la explicație - amprenta digitală a tastaturii în timpul codificării follow-up a walk-through (ceri să scrie o mică modificare, nu?) este controlul final.

Ce să faci mai departe

Trei mișcări concrete:

  1. Adaugă o linie de bază tastată de 60 de secunde la începutul rundei de codare live, deci biometria tastaturii are ceva să compare.
  2. Captează latența de la tastare la redare pe partea clientului și revizuiește-o ca parte a raportului post-interviu, nu în timp real.
  3. Fă codificarea follow-up walk-through obligatorie la fiecare rundă live - acea singură schimbare închide decalajul de reprezentare falsă mai mult decât orice instrument anti-fraude.

Detectarea nu este despre a prinde pe toți. Este despre a face reprezentarea falsă suficient de costisitoare pentru ca micra fracțiune de actori răi să înceteze să încerce, în timp ce 97% din candidații onești nu observă niciodată că stratul este acolo.

remote desktopteamviewerintegritate interviureprezentare falsădetecție fraude

Articole conexe