KnowBe4 为企业量身定制安全意识计划,向员工传授黑客攻击的危险。例如,通过向员工发送虚假电子邮件,测试他们对网络钓鱼攻击的敏感性,看是否有人上当受骗。
在最近的一篇文章中,公司首席执行官兼创始人 Stu Sjouwerman 讲述了一个令人警醒的故事,不过他强调,公司数据没有丢失、泄露或外流,也不存在漏洞。
事情的起因是 KnowBe4 为其内部 IT AI 团队发布了一份软件工程师的招聘启事。人力资源部在不同场合对应聘者进行了四次视频面试,确认应聘者与其申请表上的照片相符,对其背景进行了核查,并进行了其他招聘前检查后,该应聘者被远程聘用。
该公司不知道的是,这名新员工使用的是一个有效但被盗的美国身份证件和经过人工智能修改的照片,让 KnowBe4 相信他们是合法的候选人。您可以看到原始照片(左)和经过人工智能增强的照片。
面试人员认为,他们面试的人与伪造的照片长得很像,足以让人信服。
一切似乎都很正常,直到上周,公司给这位仅被称为 XXXX 的员工寄来了公司提供的 Mac 工作站。刚一收到,它就立即开始加载恶意软件。
KnowBe4 的 SOC 团队见状迅速联系了 XXXX,询问检测情况及其可能的原因。他声称,他正在按照路由器指南上的步骤排除速度问题,这可能导致了漏洞。
随后,XXXX 执行了篡改会话历史文件、传输潜在有害文件和执行未经授权软件的操作。他使用 Raspberry Pi 下载恶意软件。公司试图与他进行视频通话,但他说自己没空,后来变得反应迟钝。在检测到可疑活动约 25 分钟后,他的设备被控制。
分析表明,XXXX 可能是内部威胁/民族国家行为者。该信息已与网络安全公司 Mandiant 和联邦调查局共享。经确定,XXXX 是一名来自朝鲜的假冒 IT 工作人员。
KnowBe4 称,工作 Mac 被运到一个地址,"基本上是一个'IT 骡子笔记本电脑农场'",XXXX 通过 VPN 访问了该地址。他还上夜班,因此看起来他是在美国白天工作。
有人警告说,朝鲜人利用盗用的身份在美国从事远程工作。他们的工资被用来资助北朝鲜的项目,而这些职位可以访问敏感信息,并有机会入侵系统/安装恶意软件。