Tôi đã bị lừa đảo khi tìm việc! Cách nhận biết các cuộc tấn công kỹ thuật xã hội Web3 từ góc nhìn của nạn nhân

Gần đây tôi nhận được một tin nhắn lạ hỏi tôi có quan tâm đến các vị trí tuyển dụng của công ty không. Ban đầu, đối phương giả danh là nhân viên nhân sự của một ngân hàng kỹ thuật số Hồng Kông, nhưng mô tả về vị trí tuyển dụng khá mơ hồ. Sau đó, đối phương thêm tôi vào nhóm và cố gắng ngụy tạo người thật bằng nhiều cách khác nhau để lấy lòng tin. Cuối cùng, đối phương đã gửi cho tôi đường link cuộc họp KakaoVoice thay vì Zoom và Google Meet thường được sử dụng, điều này khiến tôi chắc chắn rằng đây là một cuộc tấn công kỹ thuật xã hội. Bài viết sau đây sẽ phân tích sự việc và những điểm đáng ngờ từ góc nhìn trực tiếp của tác giả.

Gửi tin nhắn riêng cho người lạ tìm kiếm sự hợp tác

Mọi chuyện bắt đầu vào ngày 11 tháng 7 khi tôi nhận được tin nhắn riêng từ tài khoản Twitter @chuiso_eth . Mặc dù hơi bất ngờ, nhưng vì tôi đã kinh doanh nội dung và tài khoản này có rất nhiều người theo dõi, nên tôi đã phá vỡ nguyên tắc ban đầu là chỉ chấp nhận lời giới thiệu hợp tác từ người quen. Tuy nhiên, tôi vẫn xác nhận lại với bạn bè, và họ cũng cho rằng có rất nhiều người theo dõi, nên ban đầu tôi đã tin tưởng người này.

Anh ta nói đang tuyển dụng cho một dự án và đính kèm một liên kết Linkedin. Liên kết anh ta đưa là của một công ty tên là WeLab . Điều tra ban đầu cho thấy đó là một ngân hàng kỹ thuật số của Hồng Kông, nhưng tôi chỉ thấy việc kinh doanh ngân hàng và kết nối vay mượn . Là một công ty tuân thủ quy định của Hồng Kông, nếu công ty này tham gia vào lĩnh vực tiền điện tử, họ nên thận trọng hơn. Đồng thời, tôi đã tìm kiếm tên của bộ phận nhân sự, Bon Hwa SW, nhưng không có thông tin nào trên Linkedin. Đây là nghi ngờ đầu tiên của tôi.

Mô tả công việc không rõ ràng

Anh ấy giải thích rằng công ty anh ấy đang thực hiện nghiên cứu đầu tư cho các công ty khởi nghiệp giai đoạn đầu, vì vậy anh ấy đã mở cho tôi một vị trí bán thời gian với vai trò nghiên cứu viên và biên tập nội dung. Anh ấy nói rằng trách nhiệm của vị trí này là: "Tìm kiếm các công nghệ mới, có thể kết nối các hệ sinh thái và giao thức mới để cải thiện dự án. Bạn sẽ báo cáo một công nghệ cụ thể và liên hệ với đội ngũ phát triển để xin lời khuyên." Lúc đó, tôi thấy mô tả này quá chung chung, nên tôi đã yêu cầu thêm một JD (Mô tả Công việc).

Sau đó, tôi hỏi Scott, người sáng lập công ty truyền thông MonsterBlock của Hồng Kông, và anh ấy nói rằng anh ấy chưa bao giờ nghe nói đến công ty này, nhưng anh ấy biết một người trên LinkedIn đang theo dõi công ty này.

Bắt đầu các cuộc họp với phần mềm không quen thuộc sau khi xây dựng được lòng tin

Anh ta không đưa cho tôi JD, mà yêu cầu tôi tham gia một nhóm Telegram để trao đổi với các đồng nghiệp của anh ta. Nhóm có sáu người, bao gồm cả tôi. Tài khoản tên Olivia thậm chí còn gửi một video quay cảnh một chiếc máy bay sắp cất cánh, khiến tôi tin rằng đó là người thật. Quản lý hỗ trợ khách hàng tên Jessica Krian chỉ nêu tóm tắt giờ làm việc và các phúc lợi khác, rồi yêu cầu tôi cung cấp CV. Tôi hỏi họ tìm thấy tôi bằng cách nào, và họ chỉ trả lời rằng một Quản lý Nhân sự đã tìm thấy tôi và giới thiệu tôi với anh ta, và anh ta đã chuyển tiếp nó cho bộ phận Nhân sự, và không trả lời lại nữa.

Sau đó, chúng tôi sắp xếp một cuộc họp trực tuyến. Khi thời gian đã định sắp đến, tôi hỏi chúng tôi sẽ dùng phần mềm nào để tổ chức cuộc họp. Sau đó, họ cung cấp một đường link đến cuộc họp KakaoVoice. Lúc này, hồi chuông cảnh báo vang lên trong lòng tôi. Tôi trực tiếp bày tỏ sự nghi ngờ và đề nghị bắt đầu cuộc họp. Rồi năm người kia ngừng đọc tin nhắn. Rõ ràng là tôi đã gặp phải một cuộc tấn công kỹ thuật xã hội.

Điều đáng sợ là sau đó tôi đã tìm kiếm các trường hợp tấn công tương tự trong các bài đăng trước của Yu Xian, người sáng lập đội ngũ SlowMist . Lúc đó, anh ấy đề xuất sử dụng Virus Total để phát hiện các trang web. Tôi đã dán liên kết của bên kia để kiểm tra , nhưng không tìm thấy vấn đề gì.

Người nói tiếng Anh sáng tác bằng tiếng Trung giản thể? Phương thức phạm tội đầy rẫy kẽ hở

Sau đó, chúng tôi xem xét thông tin của từng người trong nhóm này và tôi cho rằng có rất nhiều lỗ hổng trong đó.

Nhân viên HR tên Bon Hwa SW đã để lại một Linktree trong Telegram của mình. Ngoài thông tin cá nhân như Twitter và Telegram, còn có các liên kết đến sàn giao dịch tên là HOP, một liên kết đến Lintree của công ty WeLab, và một liên kết đến dự án tên là Boundless. Ban đầu tôi cho rằng WeLab có thể đã đầu tư vào Boundless, nên thực ra tôi làm việc cho Boundless.

Người sáng lập nhóm, Diddler Shwaz, đã viết trên trang chủ của mình rằng tài khoản X của anh ta là shwaz_eth , và Linktree của tài khoản này tương ứng với tài khoản Telegram, vì vậy về cơ bản có thể xác nhận đó là anh ta. X của anh ta nói rằng anh ta xuất hiện ở California và Hồng Kông (tương ứng với trụ sở của WeLab), nên điều này đáng tin cậy hơn. Tuy nhiên, một tháng trước, có người đã để lại đánh giá tiêu cực về anh ta trên ethos, nói rằng người này là một kẻ lừa đảo. Tôi vừa phát hiện ra rằng có người đã cáo buộc họ sử dụng phương pháp tương tự vào tháng 6 để gửi liên kết giả mạo một công ty có tên là Hop Protocol.

Người phụ nữ tên Olivia là người da trắng và cô ấy nói rằng cô ấy chủ yếu sống ở Việt Nam. Điều này cũng dễ hiểu, vì nhiều người Việt Nam là dân du mục kỹ thuật số. Linktree của cô ấy cũng có liên kết đến dự án Boundless. Điều đáng ngờ hơn nữa là tài khoản Twitter @Olivia_lens được viết bằng tiếng Trung giản thể. Tất nhiên, điều này cũng có thể được giải thích là do một người bản ngữ tiếng Anh đang cố gắng quản lý người hâm mộ Trung Quốc. À, cô ấy còn có một kênh Twitter tên là Olivia Cooking nữa.

Jessica Krian không có Linktree, nhưng lời giới thiệu bản thân trên Telegram của cô được viết bằng tiếng Trung giản thể: Mỗi ngày là một cơ hội mới.

Người cuối cùng là Coinacci, cũng là diễn giả chính của nhóm. Linktree của anh ấy cũng có liên kết đến Boundless và WeLab. Trong đó, liên kết Twitter của anh ấy lại dẫn đến một tài khoản có tên @Coinacci , tự nhận là @0xCoinacci và đăng lại tất cả các bài đăng của anh ấy. Sau khi tôi gửi tin nhắn riêng cho @0xCoinacci, anh ấy nói rằng tài khoản trong nhóm đã đánh cắp danh tính của anh ấy.

( Nền tảng chống Phishing trực tuyến Web3 Unphishable sẽ ra mắt vào tháng 7! Được tạo bởi SlowMist, DeFiHack và Scam Sniffer )

Vào ngày 8 tháng 7, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Ngân khố Hoa Kỳ đã công bố lệnh trừng phạt đối với Song Kum Hyok, một chuyên gia an ninh mạng có liên quan đến nhóm tin tặc "Andariel" của Triều Tiên. OFAC chỉ ra rằng Song Kum Hyok bị tình nghi xâm nhập vào các công ty toàn cầu bằng cách giả danh một nhân viên CNTT Triều Tiên với danh tính nước ngoài, kiếm ngoại tệ cho chính quyền Triều Tiên, và thậm chí cài mã độc. Các lệnh trừng phạt cũng bao gồm một công ty Nga và bốn công ty liên quan đến vụ việc. Toàn bộ hành động này cho thấy cách Triều Tiên sử dụng "làm việc từ xa" để lách lệnh trừng phạt và phát triển vũ khí hạt nhân và tên lửa.

Các nhóm tin tặc Bắc Triều Tiên đã bị Liên Hợp Quốc và Hoa Kỳ nêu tên và trừng phạt

OFAC lần đầu tiên nhắc lại rằng vào năm 2016, Hội đồng Bảo an Liên Hợp Quốc đã ban hành Nghị quyết 2270 chống lại Tổng cục Trinh sát (RGB) của Triều Tiên, chỉ ra rằng đơn vị này đã hỗ trợ Triều Tiên phát triển vũ khí bất hợp pháp. Sau đó, vào tháng 9 năm 2019, OFAC của Hoa Kỳ đã trừng phạt ba tổ chức tin tặc do Triều Tiên tài trợ, cụ thể là "Lazarus", "Bluenoroff" và "Andariel".

Tất cả các tổ chức này đều thuộc RGB và đã lần thực hiện các vụ trộm crypto để trợ cấp cho ngân sách của chế độ. Vào tháng 5 năm 2023, Hoa Kỳ đã tiếp tục trừng phạt "Cục Trinh sát Kỹ thuật" và "Trung tâm Nghiên cứu 110" của Triều Tiên vì chịu trách nhiệm phát triển các chương trình tấn công độc hại.

Triều Tiên sử dụng danh tính giả để xâm nhập vào các công ty quốc tế và rửa tiền về nước

OFAC chỉ ra rằng trong những năm gần đây, Triều Tiên chủ yếu cải trang thành nhân viên công nghệ thông tin và cử lượng lớn nhân viên kỹ thuật sang Trung Quốc, Nga và các nơi khác. Sau đó, thông qua danh tính giả hoặc giả mạo giấy tờ, họ làm việc và kiếm tiền tại các công ty ở các quốc gia thu nhập cao trên thế giới.

Những người này sẽ tiếp nhận các vụ án, thu tiền và thậm chí rửa tiền thông qua các nền tảng tự do chính thống hoặc chuyên ngành, phương tiện truyền thông cộng đồng , sàn giao dịch crypto , v.v. Các ứng dụng họ phát triển bao gồm nhiều lĩnh vực như kinh doanh, sức khỏe, thể dục, mạng xã hội, thể thao và giải trí, nhiều trong số đó liên quan đến crypto.

OFAC cho biết tin tặc Triều Tiên thường ẩn nặc danh, che giấu vị trí và quốc tịch, và sử dụng quốc tịch Hoa Kỳ để mạo danh người dân địa phương khi xin việc. Số tiền kiếm được sau đó được chuyển đổi thành crypto và chuyển về Triều Tiên để tài trợ cho việc phát triển vũ khí hạt nhân và tên lửa của chính quyền.

(Tin tặc Triều Tiên lập công ty vỏ bọc ở Mỹ: phỏng vấn giả, Phishing thật, dụ người tìm việc vào bẫy và đánh cắp thông tin cá nhân )

Người đàn ông Triều Tiên đánh cắp giấy tờ tùy thân của người Mỹ và sắp xếp cho những công nhân thuê ngoài giả làm công dân Mỹ để xin việc

Nhân vật chính trong danh sách trừng phạt, Song Kum Hyok, là một chuyên gia an ninh mạng người Triều Tiên, chịu trách nhiệm điều phối việc đăng ký làm việc từ xa cho nhân viên CNTT nước ngoài bằng quốc tịch Mỹ. Trong năm 2022 và 2023, anh ta thậm chí còn trực tiếp đánh cắp danh tính và địa chỉ của công dân Mỹ để giúp nhân viên giả mạo đăng ký tài khoản và tìm việc thành công.

Các công tố viên Hoa Kỳ xác định rằng Song Jin-hyuk đã vi phạm lệnh hành pháp và đe dọa an ninh quốc gia Hoa Kỳ bằng cách thu thập hoặc lạm dụng bí mật thương mại, thông tin cá nhân hoặc thông tin tài chính một cách không đúng mực.

Người đàn ông Nga giúp Triều Tiên thuê ngoài công việc CNTT

Một người khác bị trừng phạt là Gayk Asatryan người Nga. Công ty của ông đã ký hợp đồng với hai công ty chính thức của Triều Tiên kể từ năm 2024:

• Ký hợp đồng 10 năm với Tập đoàn Thương mại Songkwang để đưa 30 nhân viên CNTT Triều Tiên sang làm việc tại Nga

• Ký hợp đồng với "Công ty Thương mại Xinri" và cử 50 người sang làm việc tại công ty khác của mình

Asatryan đã sử dụng các công ty "Asatryan LLC" và "Fortuna LLC" của mình để tiếp nhận lao động Triều Tiên, vi phạm sắc lệnh hành pháp của Hoa Kỳ vì bị nghi ngờ hỗ trợ xuất khẩu lao động Triều Tiên và tạo ra thu nhập ngoại tệ cho chế độ Triều Tiên. Hai công ty nói trên cũng bị trừng phạt. Hai đối tác Triều Tiên (Songguang và Shinil) đã bị đưa vào danh sách đen.

Tất cả tài sản đóng băng và công dân và công ty Hoa Kỳ phải báo cáo nếu họ biết về điều đó

OFAC tuyên bố rằng tất cả những cá nhân và công ty có liên quan nằm trong danh sách trừng phạt sẽ bị đóng băng tài sản tại Hoa Kỳ, và công dân hoặc công ty Mỹ không được phép giao dịch với những cá nhân và công ty này, cũng như không được cung cấp tiền, hàng hóa hoặc dịch vụ. Nếu bị phát hiện vi phạm quy định, cả người Mỹ và người nước ngoài đều có thể phải đối mặt với các hình phạt dân sự hoặc hình sự. Ngay cả khi hành vi vi phạm là vô ý, họ vẫn sẽ bị phạt tiền.

( Tin tặc Triều Tiên đã trở lại! Hai người Đài Loan đã giúp lừa đảo 5 triệu USD và đánh cắp 900.000 USD tài sản crypto trong một vụ án khác )