Au cours des derniers mois, des hackers nord-coréens ont utilisé des offres d’emploi trompeuses pour dérober des cryptomonnaies à des candidats lors d’entretiens, dévoile une enquête menée par Reuters. Ce problème, devenu omniprésent, incite les travailleurs du secteur des cryptomonnaies à vérifier la légitimité des offres afin de s’assurer de l’absence de liens avec Pyongyang, rapporte TopTribune.
Des témoignages de 25 professionnels du secteur révèlent que ces cyberattaques se sont intensifiées, avec un total de 1,34 milliard de dollars de cryptomonnaie dérobés grâce à ces stratagèmes, selon Chainalysis. Les analystes estiment que ces fonds alimentent le programme d’armement de la Corée du Nord. En fin d’année dernière, le FBI avait déjà mis en garde contre des méthodes d’ingénierie sociale « complexes et élaborées » utilisées par des hackers nord-coréens.Quatre tentatives documentées de fraude par Reuters illustrent cette menace, démontrant l’habileté croissante des pirates.
Linkedin et Telegram
Victoria Perepel raconte avoir été contactée sur Linkedin par un prétendu recruteur de Bitwise Asset Management, qui a rapidement demandé un test de compétences sur un site obscur. D’autres victimes, comme Olof Haglund, ont également signalé des approches similaires, soulevant des doutes sur la légitimité des offres et provoquant une certaine méfiance.
« Nous suivons un processus d’embauche structuré et l’évaluation vidéo est un élément clé de notre évaluation, » déclarait le faux recruteur sur Linkedin.
Haglund a finalement décidé de mettre fin à l’entretien, alors qu’un autre candidat a perdu 1.000 dollars en cryptomonnaies après avoir enregistré et envoyé une vidéo à un imposteur. D’autres cas d’escroquerie impliquent des recruteurs se faisant passer pour des entreprises réputées du secteur, comme Kraken, ce qui souligne la nécessité d’une vigilance accrue.
Opération « contagion interview »
Les entreprises ciblées, dont Robinhood, ont reconnu la campagne d’usurpation d’identité et prennent des mesures pour contrer ces arnaques. Linkedin et Telegram ont également indiqué avoir supprimé les comptes douteux liés à ces escroqueries.
Les sociétés de cybersécurité SentinelOne et Validin attribuent ces attaques à une opération nord-coréenne nommée « Contagion Interview ». Les chercheurs ont pu relier les activités suspects à des adresses IP et e-mail précédemment identifiées dans d’autres opérations de piratage nord-coréen, et ont trouvé des fichiers exposés contenant des informations sur plus de 230 personnes ciblées.
Infime fraction des victimes potentielles
Les enquêteurs ont pris contact avec les cibles pour les alerter sur la menace. Dix-neuf personnes interrogées ont confirmé avoir été ciblées, représentant une fraction minime des victimes potentielles de cette opération. Aleksandar Milenkoski, chercheur chez SentinelOne, souligne que « Contagion Interview » n’est qu’une des multiples stratégies employées par Pyongyang pour s’approprier des cryptomonnaies.
Percoco, dirigeant de Kraken, a déclaré que son entreprise a identifié des arnaques liées au recrutement depuis la fin de l’année dernière, avec de nouveaux signalements persistants au cours des mois suivants. Bien que des outils soient utilisés pour détecter les faux profils de recruteurs, il avertit que « n’importe qui peut prétendre être recruteur, » soulignant la nécessité d’une vigilance continue.
