KnowBe4 entdeckt gefälschten nordkoreanischen IT-Mitarbeiter beim Versuch, Malware zu installieren

Der Anbieter von Sicherheitsbewusstsein und Schulungen, KnowBe4, hat kürzlich bekannt gegeben, dass er versehentlich einen gefälschten nordkoreanischen IT-Mitarbeiter eingestellt hat. Dieser versuchte, Malware auf einem firmeneigenen Computer zu installieren.

Dieser Vorfall verdeutlicht die zunehmende Raffinesse von Cyberkriminellen und die Herausforderungen, denen sich Unternehmen bei der Überprüfung von Remote-Mitarbeitern stellen müssen.

Laut Stu Sjouwerman, CEO von KnowBe4, führte das HR-Team des Unternehmens vier Video-Interviews mit dem Kandidaten durch, führte Hintergrundüberprüfungen durch und verifizierte Referenzen, bevor die Einstellung erfolgte.

Der Bewerber nutzte eine gestohlene Identität aus den USA und ein KI-verbessertes Stockfoto, um eine überzeugende falsche Persona zu erstellen.

Der Betrug wurde aufgedeckt, als KnowBe4 dem neuen Mitarbeiter eine Mac-Arbeitsstation zusandte. Nach Erhalt des Geräts versuchte die Person sofort, Malware darauf zu laden.

Glücklicherweise erkannte die Endpunkterkennungs- und Reaktionssoftware (EDR) von KnowBe4 die verdächtige Aktivität und alarmierte das Security Operations Center (SOC) des Unternehmens.

Als das SOC den falschen Mitarbeiter kontaktierte, behauptete dieser, ein Router-Problem zu beheben.

Weitere Untersuchungen ergaben jedoch, dass der Angreifer Sitzungsverlaufsdateien manipuliert, potenziell schädliche Dateien übertragen und nicht autorisierte Software ausgeführt hatte. Das Unternehmen isolierte das Gerät schnell und beendete den Zugang.

KnowBe4 vermutet, dass dieser Vorfall Teil eines größeren Betrugs ist, bei dem nordkoreanische Agenten sich als IT-Mitarbeiter ausgeben, um in Unternehmen einzudringen, legitime Arbeit zu leisten und einen Teil ihrer Einnahmen an das nordkoreanische Regime weiterzuleiten.

Das Unternehmen hat seine Erkenntnisse mit der Cybersicherheitsfirma Mandiant und dem FBI geteilt. Wichtigerweise erklärte KnowBe4, dass kein illegaler Zugriff erfolgt sei und keine Daten auf seinen Systemen verloren gegangen oder kompromittiert worden seien.

Dieser Vorfall ist eine deutliche Erinnerung an die sich wandelnden Bedrohungen in der Cybersicherheit und die Notwendigkeit robuster Überprüfungsprozesse für Remote-Mitarbeiter.

KnowBe4 empfiehlt folgende Sicherheitsmaßnahmen:

• Erweiterte Fernüberwachung und Gerätescans: Verbessern Sie die Überwachung und Scans von Remote-Geräten, um verdächtige Aktivitäten frühzeitig zu erkennen.
• Verbesserte Überprüfungsprozesse: Stellen Sie sicher, dass die physische Position der Kandidaten überprüft wird.
• Gründlichere Lebenslauf- und Karriere-Konsistenzprüfungen: Überprüfen Sie Lebensläufe und berufliche Werdegänge gründlicher.
• Detaillierte Video-Interviews: Führen Sie Video-Interviews mit detaillierten arbeitsbezogenen Fragen durch.

Da immer mehr Unternehmen auf Remote-Arbeit setzen, ist es entscheidend, Einstellungs- und Sicherheitspraktiken anzupassen, um diesen neuen Risiken zu begegnen.

Dieser Fall unterstreicht die Notwendigkeit ständiger Wachsamkeit und Zusammenarbeit zwischen HR, IT und Sicherheitsteams, um sich gegen ausgeklügelte Cyberbedrohungen zu schützen.