De Federal Bureau of Investigation (FBI) heeft een waarschuwing uitgegeven over toenemende cyberaanvallen vanuit Noord-Korea, gericht op de cryptocurrency-industrie. Volgens een recent gepubliceerd Public Service Announcement (PSA) van het FBI’s Internet Crime Complaint Center (IC3) maakt Noord-Korea gebruik van zeer verfijnde social engineering-tactieken om werknemers van gedecentraliseerde financiën (DeFi), cryptobedrijven en aanverwante ondernemingen te misleiden en geld te stelen.
Noord-Koreaanse cybercriminelen voeren gedetailleerde en moeilijk te detecteren campagnes uit die gericht zijn op werknemers van bedrijven in de cryptosector. Deze aanvallen zijn ontworpen om malware te verspreiden en ongeoorloofde toegang te verkrijgen tot de netwerken van de getroffen organisaties.
Geavanceerde tactieken
De social engineering-aanvallen van Noord-Korea zijn complex en uitgebreid. De cyberacteurs doen diepgaand onderzoek naar hun doelwitten en maken gebruik van uitgebreide vooroperatieve voorbereidingen. Ze analyseren sociale media-activiteiten, vooral op professionele netwerken en platforms voor werkgerelateerde contacten, om zo specifieke DeFi- of cryptocurrency-gerelateerde bedrijven en hun werknemers te identificeren en aan te vallen.
Een belangrijke tactiek die deze cyberacteurs gebruiken, is het opzetten van gepersonaliseerde nepscenario’s. Hierbij wordt gebruik gemaakt van persoonlijke gegevens van de beoogde slachtoffers, zoals hun achtergrond, vaardigheden, werkervaring of zakelijke interesses. Vaak bevatten deze scenario’s aanbiedingen voor een nieuwe baan of investeringen die aantrekkelijk lijken voor het doelwit. De aanvallers trachten langdurige gesprekken te starten om een vertrouwensband op te bouwen en malware te installeren zonder dat dit argwaan wekt.
Identificatie en vermomming
De cyberacteurs van Noord-Korea zijn ook bedreven in het aannemen van valse identiteiten. Ze kunnen zich voordoen als personen die het slachtoffer persoonlijk kent, zoals collega’s of professionele contacten, of als recruiters op professionele netwerksites. Om hun vermomming geloofwaardiger te maken, maken de acteurs gebruik van gestolen foto’s van sociale mediaprofielen of maken ze gebruik van nepbeelden van tijdgevoelige gebeurtenissen om onmiddellijke actie van het slachtoffer uit te lokken.
Daarnaast gebruiken deze actoren soms nepwebsites van zogenaamde technologiebedrijven of wervingsbureaus, compleet met professioneel ogende websites, om hun geloofwaardigheid verder te versterken.
Waarschuwingssignalen en preventieve maatregelen
Het FBI wijst op verschillende indicatoren die kunnen duiden op Noord-Koreaanse social engineering-activiteiten. Hieronder vallen onverwachte verzoeken om code uit te voeren op bedrijfsapparaten, aanbiedingen voor werk of investeringen die te mooi lijken om waar te zijn, en aandringen op het gebruik van niet-standaard software voor eenvoudige taken.
Om het risico te verkleinen, adviseert de FBI bedrijven om eigen methoden te ontwikkelen om de identiteit van een contactpersoon te verifiëren via aparte, niet-verbonden communicatieplatforms. Verder wordt aangeraden om gevoelige informatie niet op apparaten met internettoegang op te slaan en meerdere vormen van authenticatie te vereisen bij financiële transacties.
Als een organisatie vermoedt dat zij slachtoffer is geworden van een dergelijke aanval, raadt de FBI aan om het getroffen apparaat onmiddellijk los te koppelen van het internet. Ook is het aan te raden om vervolgens een gedetailleerde klacht in te dienen via het Internet Crime Complaint Center (IC3). Verder wordt geadviseerd om samen te werken met wetshandhavingsinstanties voor een mogelijke forensische analyse van de getroffen apparaten en om incidenten te delen met collega’s om het bewustzijn over deze dreiging te vergroten.
Het bericht FBI waarschuwt bitcoinbedrijven voor social engineering is geschreven door Robin Heester en verscheen als eerst op Bitcoinmagazine.nl.