Cảnh giác! Chiến thuật mới của hacker Triều Tiên: thuê "đại lý châu Âu" thâm nhập vào quy trình tuyển dụng công ty mã hóa

Điểm chính:

• Tin tặc Triều Tiên sử dụng "đại diện châu Âu" để vượt qua vòng phỏng vấn đầu tiên, các bước tiếp theo đã lộ diện danh tính thật.
• Hơn $2.2 tỷ tiền điện tử bị đánh cắp vào năm 2024, tổ chức hacker Bắc Triều Tiên chiếm tới 61% (**$1.34 tỷ);
• Tin tặc lợi dụng danh tính giả, bên trung gian thứ ba và cơ hội làm việc từ xa xâm nhập an ninh Web3;
• Sự gian lận trong tuyển dụng gia tăng, làm giả hồ sơ bằng AI và các công cụ gian lận phỏng vấn xuất hiện làm tăng độ khó trong việc xác minh;
• Các công ty tiền mã hóa thắt chặt tuyển dụng, dựa vào giới thiệu nội bộ, an ninh chuỗi và xác thực danh tính nhu cầu tăng vọt.

Cuộc phỏng vấn lừa đảo: Tin tặc Triều Tiên sau gương mặt châu Âu

Vài tháng trước, công ty khởi nghiệp xác thực danh tính của Anh là Cheqd đã tiến hành một cuộc phỏng vấn cho các nhà phát triển phần mềm. Trong vòng phỏng vấn đầu tiên, ứng viên được cho là đến từ Châu Âu này đã thể hiện xuất sắc: kỹ thuật vững vàng, nhiều kinh nghiệm, tiếng Anh lưu loát.

Tuy nhiên, trong vòng phỏng vấn thứ hai và bài kiểm tra lập trình trực tiếp, tình hình đã thay đổi đột ngột: giọng nói của đối phương rõ ràng trở nên giống người châu Á, mạng bị lag nghiêm trọng, và camera không thể mở. Điều khiến chúng tôi cảnh giác hơn là, khi đội ngũ Cheqd xem lại video màn hình của bài kiểm tra lập trình, họ phát hiện ứng viên thường xuyên chuyển đổi giữa các tab và trang có ký tự Hàn Quốc.

Giám đốc điều hành và người sáng lập Cheqd, Fraser Edwards, đã tiết lộ với Decrypt rằng người này chỉ là một trong khoảng 5 trường hợp nghi vấn về nhân sự từ Triều Tiên mà đội ngũ đã phát hiện trong năm qua. Mặc dù hành vi thâm nhập công nghệ và các công ty tiền điện tử của Triều Tiên để thực hiện các cuộc tấn công mạng đã kéo dài nhiều năm, nhưng các công ty và nhân viên tuyển dụng báo cáo rằng quốc gia này hiện có thể tuyển dụng người nước ngoài làm "đại lý cửa trước", giúp họ trong quá trình sàng lọc ban đầu khi tuyển dụng.

Edwards chỉ ra rằng: "Hầu như không có ngoại lệ nào, những người nghe có âm thanh giống người Châu Âu ở cuộc gọi đầu tiên, đến cuộc gọi sau sẽ nghe rõ ràng giống như đến từ một nơi nào đó ở Châu Á."

Tổn thất nặng nề trên chuỗi: Hacker Bắc Triều Tiên trở thành mối đe dọa hàng đầu trong lĩnh vực tiền điện tử

Theo dữ liệu của Chainalysis, trong năm 2024, các hacker đã đánh cắp hơn $2.2 tỷ từ các nền tảng tiền điện tử, tăng 21% so với năm trước. Trong số đó, lên tới 61% (khoảng $1.34 tỷ) số tiền bị đánh cắp được cho là do các tổ chức hacker được nhà nước Bắc Triều Tiên hỗ trợ.

Công ty trong báo cáo thường niên nhấn mạnh: "Các sự kiện tấn công mã hóa của Triều Tiên dường như đang trở nên thường xuyên hơn. Một số sự kiện dường như liên quan đến các nhân viên CNTT của Triều Tiên, những người đang ngày càng thâm nhập vào các công ty mã hóa và Web3, làm ảnh hưởng đến mạng lưới, hoạt động và độ tin cậy của chúng." Báo cáo chỉ ra rằng, những nhân viên này thường sử dụng các chiến thuật, kỹ thuật và quy trình phức tạp (TTPs), như: danh tính giả, đại lý tuyển dụng bên thứ ba, cũng như thao túng các cơ hội làm việc từ xa để có được quyền truy cập.

Cảnh báo ngành: Nhiều công ty tiền điện tử gặp phải các nỗ lực xâm nhập

Cheqd không phải là trường hợp duy nhất. Trong vài năm qua, các nhân viên Bắc Triều Tiên đã cố gắng (đôi khi thành công) thâm nhập vào nhiều công ty tiền điện tử. Đầu năm nay, sàn giao dịch tiền điện tử Kraken đã tiết lộ rằng họ cũng đã trở thành mục tiêu, may mắn thay đã nhận ra đối phương trước khi tuyển dụng.

Giám đốc Owen Healy của công ty tuyển dụng blockchain Ireland Owen Healy Blockchain Talent cho biết, việc sử dụng các ứng viên chủ yếu từ châu Âu làm đại diện trong giai đoạn đầu của phỏng vấn là một chiến thuật mà ông chỉ mới bắt đầu quan sát trong vài tháng qua. Ông có nhiều kinh nghiệm trong việc nhận diện các kẻ xâm nhập từ Bắc Triều Tiên, đã gặp phải nhiều lần trong vài năm qua, và đã đăng tải những gợi ý chi tiết về việc nhận diện và loại bỏ trên LinkedIn.

“Một số mẹo đơn giản,” Healy nói. Ví dụ, anh sẽ cố gắng trò chuyện với các ứng viên về văn hóa đại chúng hoặc tình hình nơi họ tuyên bố sinh sống - anh nhận thấy rằng, một tỷ lệ không tương xứng người tuyên bố sống ở Toronto, Canada. “Mục tiêu là khiến họ thoát khỏi kịch bản đã được thiết lập, và sau đó có thể dễ dàng thấy rằng họ không phải là người mà họ tuyên bố.” Nhưng anh lo ngại rằng, chiến lược mới này có thể làm giảm hiệu quả của các phương pháp như vậy. “Dường như đây là mục tiêu tiếp theo của họ: thuê các đại diện từ các quốc gia hợp pháp để đại diện cho họ, cuối cùng là thuê ngoài công việc cho Triều Tiên.”

Healy càng lo lắng rằng điều này sẽ ảnh hưởng đến thái độ của công ty đối với tuyển dụng từ xa, đặc biệt là tuyển dụng xuyên quốc gia, và có thể dẫn đến việc nhầm lẫn những ứng viên thực sự chỉ vì họ ở châu Á thành những công nhân Bắc Triều Tiên.

Khó khăn trong tuyển dụng: Công cụ giả mạo và gian lận AI gia tăng rủi ro

Trong khi đó, công nghệ cũng đang thay đổi sâu sắc bối cảnh tuyển dụng. Một nhà tuyển dụng không thuộc lĩnh vực tiền điện tử đã phàn nàn với Decrypt rằng sự lạm dụng AI đã dẫn đến một lượng lớn "rác AI" tràn vào - tràn ngập những câu nói sáo rỗng từ ChatGPT, hồ sơ xin việc và thư xin việc được tạo ra bởi AI mà không qua chỉnh sửa. Công ty của họ phát hiện ra rằng các ứng viên đã khai man những kỹ năng không có, phóng đại khả năng ngôn ngữ, buộc công ty phải áp dụng quy trình xác minh nghiêm ngặt hơn để kiểm tra trình độ ứng viên, làm tăng đáng kể khối lượng công việc.

Việc xác minh các kỹ năng cụ thể (như lập trình hoặc khả năng ngôn ngữ) đặc biệt khó khăn, điều này yêu cầu nhà tuyển dụng cũng phải có những kỹ năng này. Thậm chí, việc kiểm tra kỹ năng cũng đã trở thành một "trò chơi mèo và chuột" do sự phát triển của công nghệ mới.

Ngay khi Cheqd triển khai kiểm tra lập trình thời gian thực để đảm bảo các nhà phát triển có kỹ năng thực sự và không sử dụng sự hỗ trợ của AI, một cựu sinh viên của Đại học Columbia ở Mỹ đã huy động được 5,3 triệu đô la cho công ty khởi nghiệp Cluely của mình, công nghệ của công ty này nhằm giúp người dùng gian lận trong phỏng vấn, kỳ thi và cuộc gọi bán hàng. Video quảng cáo của họ cho thấy người sáng lập Chungin Lee đã sử dụng công nghệ này để giả vờ quan tâm và nhận được lời khuyên trong một buổi hẹn hò.

Những công cụ như vậy chắc chắn sẽ giúp nhân viên IT Triều Tiên vượt qua các biện pháp xác minh như "kiểm tra bối cảnh văn hóa" của công ty, và chiến lược thuê người không phải Triều Tiên để hỗ trợ trong việc tìm kiếm việc làm cũng sẽ làm cho họ khó bị phát hiện hơn.

Các công ty tiền điện tử ứng phó: Siết chặt tuyển dụng, tăng cường mạng lưới nội bộ

Đối với Cheqd, nhiệm vụ hiện tại là suy nghĩ về cách củng cố quy trình tuyển dụng của mình. Công ty sắp tuyển dụng một số vị trí mới, Edwards tin rằng quá trình nhận diện các âm mưu lừa đảo và gian lận sẽ khó khăn hơn bao giờ hết.

Chiến lược hàng đầu của ông là tăng cường phụ thuộc vào mạng lưới mối quan hệ hiện có, tìm kiếm sự giới thiệu từ những người quen. "Chúng tôi có thể thậm chí không còn tuyển dụng công khai nữa, điều này thật tồi tệ vì nếu bạn không có mạng lưới như vậy, thì cơ bản là không có đường nào để tìm việc cả." Ông thừa nhận. Điều này phản ánh nhu cầu cấp thiết của các công ty tiền điện tử đối với an ninh chuỗi và xác thực danh tính đáng tin cậy trong môi trường đe dọa hiện tại, việc tuyển dụng đang trở thành mặt trận quan trọng trong phòng thủ an ninh Web3.