KnowBe4 heeft zich in de luren laten leggen door een Noord-Koreaanse scammer die eerder deze maand door het sollicitatieproces van het bedrijf wist te komen. Nochtans gaat het om een uitgebreid proces waarin de achtergrond en de identiteit van een kandidaat wordt gecheckt. Het incident toont gevaren van AI in online sollicitatieprocessen.
Een cybercrimineel is erin geslaagd in dienst te treden bij KnowBe4 als Principal Software Engineer. Hij doorliep het sollicitatieproces vermomd onder een gestolen Amerikaanse identiteit. De foto die was opgestuurd bij de sollicitatie bleek verder bewerkt te zijn met AI.
Na een geslaagd sollicitatieproces kreeg de nieuwe werknemer een Mac opgestuurd. “Zodra het toestel werd ontvangen, begon het onmiddellijk malware te laden”, schrijft KnowBe4-CEO Stu Sjouwerman in een blog. De criminele activiteiten werden door de beveiligingssoftware onmiddellijk gemarkeerd en doorgestuurd naar het InfoSec Security Operations Center van KnowBe4. “Het SOC belde de nieuwe medewerker en vroeg of ze ondersteuning konden bieden. Toen werd het snel gevaarlijk.” Binnen 30 minuten besloot het SOC het toestel van de nieuwe werknemer af te sluiten. Dat besluit nam het team nadat de kwaadwillende een verzoek om een videocall op te starten negeerde en verdere communicatie afsloot.
Video’s gemanipuleerd met AI
Als aanbieder van security awareness-trainingen zag KnowBe4 kans om de gebeurtenis te delen en tips te geven tegen dergelijke praktijken. Zo wordt er aangeraden om sollicitanten in een videocall te spreken om de identiteit te kunnen controleren.
Uit het hele verhaal lijkt de sollicitatieprocedure bij de security-trainer waarschijnlijk niet erg fraudebestendig te zijn. De realiteit ligt echter anders: er werden in totaal vier video-interviews opgezet, om te bevestigen dat de persoon werkelijk de persoon van de foto is. “Bovendien werden een antecedentenonderzoek en alle andere standaardcontroles voorafgaand aan de aanwerving uitgevoerd, maar deze kwamen blanco terug omdat de gestolen identiteit werd gebruikt.”
Na de feiten startte KnowBe4 een onderzoek naar het incident, waar Mandiant de leiding in kreeg en gesteund werd door de FBI. Een controle van de opgestuurde foto toonde aan dat het ging om een stockfoto die aangepast was door AI.
Links is de originele stockfoto. Rechts de door de scammer bewerkte foto. Bron: KnowBe4
Deepfakes moeilijk te herkennen
De blog gaat niet dieper in detail over de videomeetings. Daar werd de identiteit van de kandidaat in gecontroleerd, maar de persoon rechts op de foto blijkt dus helemaal niet te bestaan. Het is mogelijk dat de hackers door middel van deepfakes het online interview tot een goed einde brachten zonder door de mand te vallen door het niet overeenstemmende uiterlijk. Dit is echter enkel speculatie.
Het is wel zeker dat de kwaliteit van deepfakes steeds verbetert. Die trend zorgt ervoor dat de technologie ook tegen steeds grotere organisaties en meer belangrijke personen wordt ingezet. Een recent voorbeeld daarvan is het verhaal van iemand uit het bestuur van Ferrari NV. Deze persoon leek berichten te krijgen van Ferrari-CEO Benedetto Vigna via een nieuw WhatsApp-account. Het daaropvolgende telefoongesprek met de imitator leek echt door het gebruik van deepfake-technologie die de stem en intonatie van de CEO imiteerde.
Lees ook: Fraude met deepfakes: hoe kan een organisatie zich beschermen?
Een tip die KnowBe4 geeft ter bescherming is het scannen van remote-toestellen, net als het controleren op VPN’s of VM’s om in te loggen op zakelijke omgevingen. Door middel van monitoring heeft KnowBe4 een cyberincident weten te voorkomen. Waar het zichzelf wel op de vingers tikt, is bij het controleren van het verzendadres. Dat adres was verschillend van de werklocatie van de nieuwe Principal Software Engineer. Dergelijke zaken zijn een teken aan de wand. Als KnowBe4 beter had opgelet had het kunnen voorkomen dat de scammer in dienst kon treden.
Noord-Korea int het geld
In Noord-Korea blijken dergelijke scammers te floreren onder het regime. “De scam is dat ze het werk daadwerkelijk doen, goed betaald krijgen en een groot bedrag aan Noord-Korea geven om hun illegale programma’s te financieren”, schrijft KnowBe4-CEO Sjouwerman. In het land bestaan verschillende ‘IT mule laptop farms‘ die de staat sponsort.
Door gebruik van VPN-technologie is het eenvoudig het te laten lijken dat er gewerkt wordt vanaf Amerika. Het tijdverschil overbruggen de scammers door ’s nachts te werken, als de werkdag begint in de Verenigde Staten. De financiële motivatie zal voldoende zijn om deze werkuren niet al te vervelend te vinden.
Mandiant volgt de bedreiging van Noord-Korea op de voet. Onderzoek van het cybersecurity-bedrijf legde al bloot dat het land IT’ers steunt om in hooggeplaatste IT-functies van de Fortune 500-bedrijven te geraken. Michael Barnhart, Principal Analyst bij Mandiant, was al te gast in de podcast ‘The Defender’s Advantage Podcast’ om alle bevindingen te bespreken.
Volgens Barnhart is het incident bij KnowBe4 een uitzonderlijk verhaal. Doorgaans misbruiken de Noord-Koreanen de posities die zij verwerven in grote bedrijven niet om illegale software in een bedrijf binnen te krijgen. “Ze doen hun werk, krijgen betaald en dragen dit geld af aan Noord-Korea.” Het land investeert het geld vervolgens in bijvoorbeeld het nucleaire wapenprogramma.
Moeilijk te detecteren
Het incident bij KnowBe4 toont dat scammers eenvoudiger door sollicitatieprocessen komen door het gebruik van AI. Daarnaast vestigt het de aandacht op de staat-gesponsorde activiteiten van Noord-Korea. Daarin is het doel soms belangrijke bedrijven van binnenuit aan te vallen. Doorgaans dient de scam als een sluis om geld vanuit welvarende landen naar Noord-Korea te krijgen. Dat geld gaat vervolgens naar de staat als steun voor illegale activiteiten. Het verhaal toont dat het zeer moeilijk is om deze profielen te spotten in een digitale sollicitatie.