北韓間諜可能正在利用自由職業者
根據最新的網絡情報研究,北韓正在招聘自由職業者作為身份代理,以獲取遠程合同和銀行賬戶。
調查
北韓的IT工作人員正在改變策略,招募自由職業者提供代理身份以便從事遠程工作。這些工作人員會在Upwork、Freelancer和GitHub等平台上聯繫求職者,然後將對話轉移到Telegram或Discord,指導他們設置遠程訪問軟件並通過身份驗證。
在早期的案例中,北韓工人使用虛假的身份獲得遠程工作。根據Telefónica的網絡威脅情報專家Heiner García的說法,這些工作人員現在通過與已驗證的用戶合作,繞過這些障礙,讓他們的身份獲得遠程訪問。
身份的真正擁有者僅能獲得五分之一的工資,而其餘的資金則通過加密貨幣或傳統銀行賬戶轉移給這些工作人員。通過依賴真實身份和當地的互聯網連接,這些工作人員可以避開設計來標記高風險地區和VPN的系統。
北韓IT工作者的招聘過程
今年早些時候,García設立了一家虛假的加密公司,並與Cointelegraph一起訪問了一名涉嫌的北韓工作人員,該工作人員尋求遠程技術職位。這名候選人聲稱自己是日本人,但在被要求用日語自我介紹時突然結束了通話。
García在私人消息中繼續對話。這名涉嫌的工作人員要求他購買一台電腦並提供遠程訪問。
這一請求與García後來遇到的模式一致。與可疑檔案相關的證據包括入職簡報、招聘腳本和身份文件“反復使用”。
García告訴Cointelegraph:“他們安裝AnyDesk或Chrome遠程桌面,並在受害者的機器上工作,因此平台看到的是本地IP。”
他補充道,交出自己電腦的人“是受害者”。“他們並不知情。他們認為自己正在參加正常的分包安排。”
根據他審查的聊天記錄,招聘者會問一些基本問題,例如“我們如何賺錢?”並且自己並不執行任何技術工作。他們驗證賬戶,安裝遠程訪問軟件,並保持設備在線,讓工作人員可以在他們的身份下申請工作、與客戶交談和交付工作。
雖然大多數人似乎是“受害者”,對他們正在與誰互動並不知情,但有些人似乎完全知道自己在做什麼。
2024年8月,美國司法部逮捕了納什維爾的Matthew Isaac Knoot,因為他運營了一個“筆記本電腦農場”,使北韓IT工作人員能夠以被盜身份出現為美國員工。最近在亞利桑那州,Christina Marie Chapman因主持類似的操作而被判處超過八年的監禁,該操作向北韓轉移了超過1700萬美元。
圍繞脆弱性建立的招聘模式
最受青睞的招聘對象來自美國、歐洲和一些亞洲地區,這些地區的驗證賬戶可提供高價值企業工作的機會,並且地理限制較少。但García還觀察到來自經濟不穩定地區(如烏克蘭和東南亞)的個人文件。
“他們針對低收入人群,針對脆弱人群,”García說。“我甚至看到他們試圖接觸殘障人士。”
北韓多年來一直在滲透技術和加密行業,以產生收入並在國外獲得企業立足點。聯合國表示,北韓的IT工作和加密盜竊涉嫌資助該國的導彈和武器計劃。
García表示,這一策略不僅限於加密貨幣。在他審查的一個案例中,一名北韓工作人員使用被盜的美國身份,假裝自己是來自伊利諾伊州的建築師,在Upwork上競標與建築相關的項目。他的客戶收到了完成的草圖工作。
儘管重點在於與加密相關的洗錢,García的研究發現,傳統金融渠道也在被濫用。相同的身份代理模型使非法行為者能夠以合法姓名接收銀行付款。
平台為何仍難以識別真正的工作者
儘管招聘團隊對北韓工作人員獲得遠程角色的風險越來越警覺,但通常只有在異常行為觸發紅旗後,才能進行檢測。當賬戶被入侵時,這些行為者會轉向新的身份繼續工作。
根據他審查的聊天記錄,在一個Upwork檔案因過度活動被暫停後,該工作人員指示招聘者請家庭成員開設下一個賬戶。
這種身份的更替使得責任和歸屬變得困難。賬戶上的名字和文件通常是被欺騙的,而實際上在工作的人則來自另一個國家,並且從未直接出現在自由職業平台或客戶面前。
這一模型的強大之處在於,合規系統所能看到的一切看起來都是合法的。身份是真實的,互聯網連接是本地的。在紙面上,工作者滿足所有要求,但鍵盤背後的人卻是完全不同的人。
García表示,最明顯的紅旗是任何要求安裝遠程訪問工具或讓某人“從你的驗證賬戶工作”的請求。合法的招聘過程不需要控制你的設備或身份。
這一報告揭示了北韓如何利用全球自由職業市場的漏洞,並提醒我們在面對這些新興的網絡威脅時,保持警惕是多麼重要。隨著技術的進步,這類詐騙手法可能會變得更加隱蔽,這就要求我們不斷提升防範意識和技術手段,以保護自己和社會的安全。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
