Home » Oto, w jaki sposób Korea Północna opróżnia Państwa portfele za pośrednictwem Zoom

Oto, w jaki sposób Korea Północna opróżnia Państwa portfele za pośrednictwem Zoom

by Patricia

Korea Północna wykorzystuje ostatnio fałszywe połączenia Zoom oparte na sztucznej inteligencji, aby zwabić osoby z branży kryptowalut i opróżnić ich portfele w ciągu kilku minut. W jaki sposób zwykła wideokonferencja może wystarczyć do przejęcia całkowitej kontroli nad Państwa urządzeniami i ominięcia czujności nawet najbardziej doświadczonych użytkowników?

Program na dużą skalę mający na celu zasilenie kont publicznych

Od początku 2020 roku Korea Północna prowadzi globalną operację infiltracji przedsiębiorstw za pomocą armii „fałszywych telepracowników” w ramach programu generowania dochodów dla rządu. Wydaje się, że część tej siły roboczej została ostatnio przekierowana do zupełnie nowej kampanii socjotechnicznej, skierowanej tym razem do sektora kryptowalut.

Jak podaje Taylor Monahan (znany lepiej pod pseudonimem Tayvano), badacz ds. bezpieczeństwa w MetaMask, w ostatnim czasie skradziono prawie 300 milionów dolarów.

Sposób działania jest dość dobrze znany i udokumentowany, ponieważ od 2024 roku Microsoft Threat Intelligence obserwuje te działania. Atakujący zaczyna od kradzieży spójnego i wiarygodnego profilu, dostosowanego do wybranego celu. Następnie tworzy cały cyfrowy ekosystem wokół tego skradzionego profilu (komunikatory, media społecznościowe, profile na GitHubie lub LinkedIn), aby zbudować wiarygodny ślad cyfrowy.

Następnie wykorzystuje się sztuczną inteligencję (AI) do nałożenia wizerunku z profilu źródłowego na zdjęcia i filmy służące ich celom. Korzystają oni również z sieci VPN, serwerów VPS, usług proxy oraz narzędzi RMM w celu ukrycia swojej lokalizacji geograficznej i prawdziwej tożsamości cyfrowej.

O tym samym poinformowała nas niedawno Clarisse Hagège, założycielka Dfns, która wyznała, że padła ofiarą próby włamania przeprowadzonej przez trzech północnokoreańskich hakerów.

Podkreśla ona ponadto, że sektor kryptowalut stanowi priorytetowy cel w strategii Korei Północnej. Pełny zapis naszej rozmowy można znaleźć w naszym podcaście:

Kandydaci muszą podać co najmniej 3 referencje dotyczące poprzednich miejsc pracy. Ludzie często o tym zapominają, ale to bardzo dobrze działa.

Kampania socjotechniczna wykorzystująca platformy takie jak Teams czy Zoom

Strategia ta jest obecnie ponownie wykorzystywana i ukierunkowana na nowe cele. Jak opisuje Taylor Monahan, atak ma swój początek w przejęciu legalnego konta na Telegramie. Konta docelowe to często inwestorzy venture capital lub prelegenci – osoby, które mogą wykorzystać nasze zaufanie do autorytetów.

Po dokładnej analizie historii rozmów swojej pierwszej ofiary w celu wzmocnienia swojej wiarygodności, wykorzystują oni już nawiązane kontakty. Osoby te są kierowane na spotkania w Zoomie lub Teamsie za pośrednictwem zamaskowanego linku Calendly.

W aktualnościach – Korea Północna prawdopodobnie stoi za atakiem hakerskim na platformę Upbit, w wyniku którego skradziono 30 milionów dolarów

Na nagraniu ofiara wchodzi w interakcję z ponownie wykorzystanym fragmentem podcastu lub publicznego wystąpienia osoby autorytatywnej; dzięki sprytnemu wykorzystaniu sztucznej inteligencji strumień wideo wydaje się autentyczny.

Następnie atakujący symuluje problemy z dźwiękiem lub obrazem. Prosi ofiarę o pobranie zestawu SDK, który ma umożliwić przywrócenie połączenia. Ten ostatni uruchamia złośliwy skrypt, instalując złośliwe oprogramowanie na komputerze ofiary. Ten trojan zapewnia pełną kontrolę nad komputerem ofiary, dając całkowity dostęp do portfeli ofiary.

Wzmocnienie bezpieczeństwa operacyjnego i zachowanie czujności

Aby uchronić się przed tego typu zagrożeniami, niezbędne jest stosowanie silnego uwierzytelniania (silne hasło) oraz uwierzytelniania wieloskładnikowego (aplikacje MFA i 2FA) w Państwa aplikacjach komunikacyjnych.

Należy również pamiętać, że podczas rozmowy z rozmówcą muszą Państwo wiedzieć, kto do Państwa pisze (autentyczność), muszą Państwo mieć pewność, że treść wiadomości nie została zmieniona (autentyczność) oraz muszą Państwo upewnić się, że nikt inny nie ma wglądu w treść wymiany (poufność).

Ponadto nigdy nie pobierajcie pakietów danych, jeśli nie macie pewności co do ich integralności i legalności. Jeśli tak nie jest, możecie otworzyć je w dedykowanej maszynie wirtualnej w celu sprawdzenia ich zawartości.

Wreszcie, w przypadku włamania na Państwa konto Telegram, proszę usunąć swoje konto i powiadomić o tym swoich kontaktów, aby ich ostrzec i przerwać łańcuch oszustw.

Zachowaj czujność i pamiętaj, że Twoje ludzkie zachowania narażają Cię na błędy poznawcze (efekt autorytetu, efekt znajomości, efekt pilności…). Gdy są one wykorzystywane, prawdopodobnie stajesz się ofiarą oszustwa.

Related Posts

Leave a Comment