Напоследък Северна Корея използва фалшиви Zoom-разговори, подсилени с изкуствен интелект, за да примамва потребители от криптосектора и да опразва портфейлите им за броени минути. Как една обикновена видеоконференция може да бъде достатъчна, за да поеме пълен контрол над устройствата ви и да заобиколи бдителността дори на най-опитните потребители?
Мащабна програма с цел да се напълнят държавните сметки
От началото на 2020 г. Северна Корея провежда глобална операция за проникване в компании чрез своята армия от „фалшиви дистанционни работници“ в рамките на програма за генериране на приходи за правителството. Изглежда, че част от тази работна сила наскоро е пренасочена към изцяло нова кампания за социално инженерство, насочена този път към сектора на криптовалутите.
ПРЕДУПРЕЖДЕНИЕ (ОТНОВО)
Злоумишлениците от КНДР все още измамват твърде много от вас чрез фалшивите си срещи в Zoom / Teams.
Те поемат контрол над вашите Telegram акаунти -> и ги използват, за да измамят всичките ви приятели.
Вече са откраднали над 300 млн. долара чрез този метод.
Прочетете това. Спрете цикъла. pic.twitter.com/tJTo9lkq0v
— Tay (@tayvano_) 13 декември 2025 г.
Наскоро бяха откраднати близо 300 милиона долара, обяснява Тейлър Монахан (по-известен под псевдонима Tayvano), изследовател по сигурността в MetaMask.
Начинът на действие е доста добре известен и документиран, тъй като от 2024 г. Microsoft Threat Intelligence наблюдава тези дейности. Нападателят започва с кражбата на подходящ и легитимен профил в зависимост от целта, към която се стреми. След това създава цяла цифрова екосистема около този откраднат профил (месинджъри, социални мрежи, профили в GitHub или LinkedIn), за да установи легитимен цифров отпечатък.
След това изкуственият интелект (AI) се използва, за да наложи изображението от изходния им профил върху снимки и видеоклипове, служещи на целите им. Те използват също VPN, VPS, прокси услуги и RMM инструменти, за да прикрият географското си местоположение и истинската си цифрова идентичност.
Това ни посочи наскоро и Кларис Хагеж, основателка на Dfns, която ни сподели, че е била обект на опит за проникване, извършен от 3 севернокорейски хакери.
Тя подчертава освен това, че секторът на криптовалутите представлява приоритетна цел в стратегията на Северна Корея. Вижте пълното ни интервю в нашия подкаст:
Кандидатите трябва да предоставят поне 3 препоръки за предишните си работни места. Хората забравят да го направят, но това работи много добре.
Кампания за социално инженерство, използваща платформи като Teams или Zoom
Днес тази стратегия се рециклира и насочва към нови цели. Както описва Тейлър Монахан, атаката започва с компрометирането на легитимен акаунт в Telegram. Тези целеви акаунти често са рискови инвеститори или лектори – профили, които могат да се възползват от нашата склонност да се подчиняваме на авторитети.
След като внимателно анализират историята на разговорите на първата си жертва, за да подкрепят своята легенда, те ще се възползват от вече установените контакти. Те ще бъдат насочени към срещи в Zoom или Teams чрез прикрит линк в Calendly.
В новините – Северна Корея се подозира, че стои зад хакването на Upbit за 30 милиона долара
На видеото жертвата взаимодейства с преработена записи от подкаст или публично изявление на авторитетната личност; благодарение на интелигентното използване на ИИ видеопотокът изглежда легитимен.
След това хакерът симулира проблеми със звука или видеото. Той моли жертвата си да изтегли SDK, което да му позволи да възстанови връзката. Този SDK разгръща злонамерен скрипт, който инсталира зловреден софтуер на компютъра на жертвата. Този троянски вирус осигурява пълен контрол над компютъра на жертвата, давайки пълен достъп до портфейлите на жертвата.
Засилване на оперативната сигурност и проява на бдителност
За да се предпазите от този тип заплахи, е от първостепенно значение да разполагате със силна (силна парола) и многофакторна (MFA и 2FA приложения) автентификация във вашите комуникационни приложения.
Освен това е важно да се припомни, че по време на разговор с вашия събеседник трябва да знаете кой ви пише (автентичност), трябва да знаете, че това, което ви пише, не е било променено (автентичност) и трябва да се уверите, че никой друг не знае какво сте си разменили (конфиденциалност).
Освен това, никога не изтегляйте пакети с данни, ако не сте сигурни в тяхната цялост и легитимност. Ако това не е така, можете да ги отворите в специална виртуална машина, за да проверите съдържанието им.
Накрая, в случай на компрометиране на вашия акаунт в Telegram, изтрийте профила си и уведомете вашите контакти, за да ги предупредите и да прекъснете веригата на измамите.
Бъдете бдителни и имайте предвид, че човешката природа ви излага на когнитивни предубеждения (предубеждение към авторитета, предубеждение към познатото, предубеждение към спешността…). Когато те бъдат експлоатирани, вероятно сте станали жертва.
