Werken op afstand biedt organisaties flexibiliteit, maar vormt inmiddels ook een toegangspoort voor georganiseerde cyberfraude door met name Noord-Koreaanse netwerken. Met een geraffineerde combinatie van synthetische identiteiten, deepfake-interviews en gestolen documenten dringen ze door tot de kern van bedrijfssystemen. Risico’s hiervan zijn onder andere datadiefstal, sabotage, spionage, financiële schade en langdurige compromittering van interne netwerken. Dit blijkt uit de Security Navigator 2026 van Orange Cyberdefense.
Remote-workerfraude begon als een manier voor Noord-Korea om internationale sancties te omzeilen en via IT-salarissen buitenlandse valuta voor de staat te genereren. Inmiddels is dit uitgegroeid tot een uiterst winstgevende industrie die naar schatting jaarlijks tussen de 300 en 600 miljoen dollar opbrengt.
De groei werd versneld doordat werken op afstand de norm werd, fysieke verificatie verdween en recruitment vaker wordt uitbesteed. Tegelijk leidt de druk om snel te werven tot minder grondige checks. Bovendien maakt generatieve AI synthetische identiteiten en interviews geloofwaardiger dan ooit. Eenmaal binnen hebben de nieuwe ‘medewerkers’ toegang tot intellectueel eigendom, broncode en interne systemen, met grote risico’s op datadiefstal of ‘achterdeurtjes’ voor toekomstige spionage en aanvallen.
Netwerken opereren via geraffineerde schaduwinfrastructuur
De Noord-Koreaanse netwerken opereren veelal vanuit China, Rusland en Zuidoost-Azië. Daar worden zij ondersteund door een schaduwinfrastructuur die gestolen of vervalste documenten levert, synthetische persona’s opbouwt en technische middelen aanbiedt om de gecreëerde identiteit overeind te houden. Deepfake-interviews, ondersteund door AI-gestuurde stem- en videomanipulatie, maken het voor hr-teams lastig om de fraude te herkennen.
‘Laptop farms’ spelen bij deze vorm van fraude een belangrijke rol. Fraudeurs versturen bedrijfslaptops fysiek naar lokale medeplichtigen in het land waar de sollicitant zegt te wonen. Deze ‘facilitators’ beheren vanuit hun eigen woning of kleine kantooromgeving tientallen laptops die continu verbonden zijn met lokale internetverbindingen en stroom. Hierdoor lijkt het voor de werkgever alsof de werknemer vanuit de juiste regio inlogt, terwijl de feitelijke gebruiker zich duizenden kilometers verderop bevindt. Betalingen verlopen vervolgens via cryptowallets en schijnbedrijven, waardoor de geldstromen naar Noord-Korea onzichtbaar blijven.
De impact van een enkele farm is enorm; zo hielp één facilitator Noord-Koreaanse werknemers aan banen bij 309 verschillende bedrijven. En dan te bedenken dat een enkele infiltrant in staat is om gemiddeld 300.000 dollar per jaar te genereren voor de staat. De FBI benadrukt dan ook de ernst van deze infiltraties. De Amerikaanse opsporings- en inlichtingendienst loofde een beloning van 5 miljoen dollar uit voor informatie die leidt tot de verstoring van deze netwerken.
Remote-workerfraude aanpakken: 5 maatregelen
Orange Cyberdefense adviseert vijf maatregelen om de risico’s van remote-workerfraude structureel te verkleinen:
1. Versterk identiteitsverificatie vóór, tijdens en na onboarding – Remote kandidaten kunnen zich met deepfakes en AI-persona’s overtuigend voordoen als iemand anders. Eén controlepunt is daarom niet genoeg. Combineer documentcheck, videobewijs, locatievalidatie en gedragsverificatie in meerdere fases van de onboarding. Door identiteiten later opnieuw te bevestigen, komen inconsistenties in beeld die bij de eerste screening nog niet zichtbaar waren.
2. Implementeer least privilege en zero trust in alle toegangslagen – Fraudeurs rekenen op ruime of blijvende toegangsrechten. Beperk daarom rechten vanaf dag één en laat elke toegang opnieuw controleren. Zero trust versterkt dit principe: toegang wordt niet één keer toegekend, maar continu verdiend. Zo voorkom je dat een kwaadwillende zich door het netwerk verplaatst.
3. Monitor afwijkend gedrag via identity‑, endpoint- en netwerkgovernance – Infiltranten proberen meestal niet op te vallen. Ze zijn te herkennen aan subtiele patronen zoals vreemde loginroutes, interesse in data buiten de functieomschrijving of onlogische werktijden. Gedragsprofielen en geautomatiseerde detectie helpen om die kleine afwijkingen sneller naar boven te krijgen. Dit verkleint de tijd waarin een frauduleuze medewerker onder de radar blijft.
4. Screen financiële stromen richting risicoregio’s en onbekende accounts – Deze netwerken verbergen hun inkomsten via cryptowallets en schijnbedrijven. Controleer daarom betalingen en facturen actief op herkomst en route. Zo vallen afwijkingen sneller op en wordt zichtbaar welke partijen mogelijk onderdeel zijn van een faciliterend netwerk.
5. Neem actief deel aan informatie-uitwisseling met sectorpartners en autoriteiten – Remote-workerfraude verspreidt zich in golven. Patronen vallen pas op wanneer meerdere organisaties hun signalen combineren. Als organisaties hun signalen en bevindingen delen, wordt sneller duidelijk wie er achter de fraude zit en welke methoden zij gebruiken. Die gezamenlijke zichtbaarheid verkleint de reactietijd en helpt herhaling voorkomen.
Digitale arbeidsmarkt vraagt om ander denkraam
“Voor een sterk gedigitaliseerde economie als de Nederlandse, waar remote werk diep geworteld is, vormt remote-workerfraude een direct en groeiend risico”, zegt Dennis de Geus, CEO bij Orange Cyberdefense Nederland. “We zien hoe fraudeurs complete identiteiten opbouwen die maandenlang geloofwaardig blijven.”
“Dat vraagt om een nieuw denkraam”, vervolgt De Geus. “We moeten niet alleen beter controleren, maar ook structureel herontwerpen hoe we identiteit, toegang en integriteit waarborgen in een digitale arbeidsmarkt. Organisaties die dat nu doen, bouwen een voorsprong op in een wereld waar mens en machine zich steeds overtuigender kunnen voordoen als iemand anders.”
De Security Navigator 2026 is het jaarlijkse internationale onderzoeksrapport van Orange Cyberdefense. Het combineert incidentdata, threat intelligence en OSINT met onderzoek naar criminologie, geopolitiek, AI en operationele technologie. Voor deze editie analyseerden onderzoekers meer dan 139.000 incidenten tussen oktober 2024 en september 2025.
Het volledige rapport download je hier.
