北韓間諜利用自由職業者進行網絡詐騙

zero comment

crypto

你是一名自由工作者嗎？北韓間諜可能在利用你

根據最新的網絡情報研究，北韓正在招募自由工作者作為身份代理，以獲得遠程合同和銀行賬戶。

調查

北韓的IT人員正在改變策略，招募自由工作者提供代理身份以便從事遠程工作。這些操作人員會在Upwork、Freelancer和GitHub等平台上聯繫求職者，然後將對話轉移到Telegram或Discord，指導他們設置遠程訪問軟件並通過身份驗證。

在早期的案例中，北韓工人曾經使用偽造身份獲得遠程工作。根據電信公司Telefónica的網絡威脅情報專家及區塊鏈安全研究員Heiner García的說法，這些操作人員現在通過與經過驗證的用戶合作，繞過這些障礙，讓他們提供遠程訪問他們的計算機。

身份的真實擁有者僅能獲得五分之一的報酬，其餘資金則通過加密貨幣或傳統銀行賬戶轉移給操作人員。依賴真實身份和當地互聯網連接，這些操作人員能夠避開旨在標記高風險地區和VPN的系統。

北韓IT工人的招募手冊

今年早些時候，García設立了一家虛假的加密公司，並與Cointelegraph一起訪問了一名懷疑的北韓操作人員，該人尋求遠程技術職位。該候選人聲稱自己是日本人，但在被要求用日語自我介紹時突然結束了通話。

García在私信中繼續對話。懷疑的操作人員要求他購買一台計算機並提供遠程訪問。

這一請求與García後來遇到的模式一致。與可疑資料相關的證據包括入職簡報、招募腳本和身份文件“反覆使用”。

García告訴Cointelegraph：

> 他們安裝AnyDesk或Chrome遠程桌面，並從受害者的機器上工作，因此平台會看到一個國內IP。

那些交出計算機的人“是受害者”，他補充道，“他們並不知情。他們以為自己正在參加正常的分包安排。”

根據他審查的聊天記錄，招募者會問一些基本問題，例如「我們怎麼賺錢？」並且他們自己並不進行任何技術工作。他們驗證賬戶，安裝遠程訪問軟件，並保持設備在線，讓操作人員在他們的身份下申請工作、與客戶交談和交付工作。

儘管大多數看起來是“受害者”，對於與誰互動並不知情，但也有一些人似乎完全知道自己在做什麼。

2024年8月，美國司法部逮捕了來自納什維爾的Matthew Isaac Knoot，因為他運營了一個“筆記本電腦農場”，使北韓IT工人能夠以被盜身份出現為美國員工。最近，亞利桑那州的Christina Marie Chapman因舉辦類似的操作而被判處超過八年監禁，該操作向北韓轉移了超過1700萬美元。

圍繞脆弱性建立的招募模式

最受青睞的招募者來自美國、歐洲和亞洲某些地區，這些經過驗證的賬戶提供了高價值企業工作的機會，並且地理限制較少。但García還觀察到來自經濟不穩定地區（如烏克蘭和東南亞）的個人文件。

“他們針對低收入人群，針對脆弱人群，”García說。“我甚至看到他們試圖接觸殘疾人士。”

北韓多年來一直在滲透技術和加密貨幣行業，以創造收入並在國外獲得企業立足點。聯合國表示，北韓的IT工作和加密盜竊據稱為該國的導彈和武器計劃提供資金。

García表示，這一策略不僅限於加密貨幣。在他審查的一個案例中，一名北韓工人使用被盜的美國身份自稱是伊利諾伊州的一名建築師，並在Upwork上競標與建築相關的項目。他們的客戶收到了完成的草圖工作。

儘管專注於與加密相關的洗錢，García的研究發現傳統金融渠道也在被濫用。同樣的身份代理模式使非法行為者能夠以合法名字接收銀行付款。

為什麼平台仍然難以識別真正的工作者

儘管招聘團隊對北韓操作人員獲得遠程角色的風險變得更加警惕，但檢測通常僅在不尋常行為觸發紅旗後才會出現。當賬戶被入侵時，行為者會轉向新的身份繼續工作。

根據他審查的聊天記錄，在一個Upwork賬戶因過度活動被暫停後，操作人員指示招募者請家人打開下一個賬戶。

這種身份的更替使得問責制和歸屬變得困難。賬戶上的名字和文件的擁有者通常被欺騙，而實際從事工作的個體卻在另一個國家，從未直接顯示在自由職業平台或客戶面前。

這一模式的強大之處在於，合規系統能看到的一切看起來都是合法的。身份是真實的，網絡連接是當地的。在紙面上，工作者滿足所有要求，但鍵盤背後的人卻是完全不同的。

García表示，最明顯的紅旗是任何要求安裝遠程訪問工具或讓某人“從你的驗證賬戶工作”的請求。合法的招聘過程不需要控制你的設備或身份。