Os falsos golpes de trabalhadores de TI da Coreia do Norte estão evoluindo para incluir roubo e extorsão à medida que surgem mais exemplos de ataques a empresas de tecnologia e outras empresas.
O engano envolve frequentemente trabalhadores norte-coreanos disfarçados de profissionais legítimos de TI na tentativa de conseguir emprego em empresas ocidentais, quase sempre em cargos que oferecem opções de trabalho remoto.
Uma vez contratados, estes “trabalhadores remotos” utilizam o seu acesso privilegiado para espiar a infra-estrutura da empresa e roubar informações sensíveis enquanto cobram salários que são enviados de volta ao governo norte-coreano.
Fazendo isso
Num caso recente, um candidato que a empresa de defesa Exabeam estava a considerar para uma vaga aberta demonstrou conhecimentos técnicos suficientes para passar numa entrevista inicial com o pessoal de recursos humanos. Mesmo nesta primeira entrevista, os empregadores marcam as respostas do candidato “como escritas”. Em breve, durante as discussões com os chefes de departamento, as rodas começariam a cair.
A entrevista online para o cargo de analista sênior de governança, risco e conformidade com Jodi Maas, que lidera a equipe de GRC, e o CISO da Exabeam, Kevin Kirkwood, foi “estranha” desde o início.
“Seus olhos não se moviam, seus lábios não estavam sincronizados e sua voz era mecânica”, disse Kirkwood ao CSO. “Era como algo saído de um filme japonês do Godzilla dos anos 1970.”
Kirkwood e seus colegas concluíram rapidamente que estavam entrevistando um candidato usando tecnologia de vídeo imersivo. O atraso nas respostas e a natureza das respostas sugeriram que o candidato estava tentando usar tecnologia de tradução de voz para responder às perguntas.
“Isso foi fácil de detectar, mas a tecnologia irá melhorar e teremos deepfakes mais sérios no futuro”, alertou Kirkwood.
Criadas usando IA de aprendizagem profunda, imagens, vídeos e áudio profundos são vistos pelos cibercriminosos como uma ferramenta nova e poderosa que pode ser usada em engenharia social e campanhas de extorsão. De acordo com um estudo recente da Deloitte, os cibercriminosos já atacaram mais de um quarto de todas as empresas, concentrando-se em informações financeiras.
Após as entrevistas, Maas e Kirkwood trabalharam com os seus colegas de RH para renovar o processo de contratação da Exabeam e introduzir salvaguardas ainda mais fortes, incluindo a insistência em entrevistas em vídeo para candidatos a empregos remotos e mais formação dos funcionários.
Os potenciais empregadores são incentivados a verificar as identidades e documentos dos candidatos e a ter cuidado com atividades suspeitas durante videochamadas. Durante o processo de integração, as empresas recém-contratadas devem ser especialmente cautelosas com o uso não autorizado de acesso remoto e ferramentas VPN.
Acredita-se que mais de 300 empresas tenham sido vítimas de um golpe de TI envolvendo trabalhadores falsos que se estima terem rendido milhões ao governo norte-coreano. Em agosto, o fornecedor de EDR CrowdStrike divulgou um relatório sobre como um grupo norte-coreano se infiltrou em mais de 100 empresas por meio de campanhas de falsificação de identidade.
A RPDC [North Korean] Os trabalhadores de TI podem ganhar mais de 300.000 dólares por ano em alguns casos, e grupos de trabalhadores de TI podem ganhar mais de 3 milhões de dólares por ano, alertaram o Departamento de Estado dos EUA, o Tesouro dos EUA e o FBI num comunicado conjunto em maio de 2022.
O fornecedor de conscientização de segurança KnowBe4 contratou um funcionário de TI norte-coreano que tentou, sem sucesso, violar sua rede. A KnowBe4 divulgou suas informações em uma postagem de blog que fornece uma visão detalhada de como o golpe funciona.
Mais informações sobre o falso golpe de pessoal de TI – e dicas sobre como identificá-lo – podem ser encontradas no artigo do CSO de agosto de 2024 “Como não contratar um espião de TI norte-coreano”.
Roubo entra na mistura
Há uma nova reviravolta no golpe dos trabalhadores de TI da Coreia do Norte. Os criminosos adicionaram crimes baseados em roubo de identidade ao seu manual.
A empresa de resposta a incidentes de segurança cibernética Secureworks relata um caso em que um empreiteiro vazou informações proprietárias para uma empresa não identificada quase imediatamente após o início do emprego em meados de 2024.
O mau desempenho significou que o funcionário foi demitido após quatro meses, mas alguns dias depois a empresa recebeu uma série de e-mails, incluindo arquivos zip contendo evidências de propriedade intelectual e exigências fraudulentas para pagar uma quantia de seis quantias em criptomoeda para evitar a publicação. de informações confidenciais roubadas.
Ainda não está claro se a vítima cumpriu esta exigência de extorsão.
A Secureworks relata que investigou vários incidentes semelhantes envolvendo pessoal de TI norte-coreano que buscava cometer fraudes após “obter acesso ao interior, uma tática não vista em programas anteriores”.
A Coreia do Norte tem como alvo empresas na América do Norte, Europa e Austrália como parte de uma fraude contínua e em evolução, que suscitou avisos do governo do Reino Unido e de outros.
