Als Entwickler denkst du im Allgemeinen, dass du eine ziemlich intelligente Person bist und dass du nie auf einen dieser „dummen“ Social–Engineering-Tricks hereinfallen wirst. Das ansteckende Vorstellungsgespräch ist ein Angriff, den die meisten nicht kommen sehen. Im folgenden Artikel werden wir die Schritte dieses Angriffs auf verständliche Weise aufschlüsseln.
Ein unschuldiges Stellenangebot
Das ansteckende Vorstellungsgespräch beginnt harmlos genug. Als Entwickler erhältst du eine Nachricht auf LinkedIn und ein Personalvermittler von einem amerikanischen KI-Startup fragt, ob du dir vorstellen könntest, mit ihnen zusammenzuarbeiten. Klar sagst du und fragst nach dem Gehalt. Sie bieten 210.000 Dollar pro Jahr, was sich für dich ziemlich gut anhört. Du hast in den letzten Jahren DevOps-Entwicklung für eine SAP-Beratung gemacht und bist offen für etwas Neues. Diese neue Gelegenheit ist ziemlich lukrativ. Du bist ein wenig gelangweilt und das Gehalt wäre eine deutliche Erhöhung.
Soweit so gut – der nächste Schritt im Vorstellungsgespräch ist ein Videointerview mit einem HR-Manager aus Oklahoma. Du buchst das Interview und peppst vorher deinen Lebenslauf auf. Du bist auf alles vorbereitet, was sie dir entgegenwerfen können, einschließlich natürlich einer Programmieraufgabe. Der Tag des Interviews kommt und du klickst auf den Link für das Google Meet. Etwas Seltsames passiert jedoch. Es sieht so aus, als ob Google Meet einen Fehler hat. Es erscheint ein Popup-Fenster mit der Meldung „Versuchen Sie, das Problem zu beheben“, auf das du klickst. Dann wirst du aufgefordert, die Windows-Taste und Strg+V zu drücken. Du bist gespannt auf das Interview und genervt von dem technischen Problem, also drückst du die Tasten wie angewiesen.
Gekapert
Du weißt es noch nicht, aber dieser unschuldige Klick auf „Versuchen Sie, das Problem zu beheben“ hat einen bösartigen Befehl aus der gefälschten Version von Google Meet, die die Hacker gebaut haben, um dich auszutricksen, in deine Zwischenablage kopiert. Von dort aus befehlt die Website, zwei Malware-Pakete von einem nordkoreanischen Cybercrime-Kommando- und Kontrollzentrum herunterzuladen und in deine Zwischenablage zu installieren. Als du die Windows-Taste und „Strg + V“ gedrückt hast, wurde dieser unsichtbare Befehl ausgeführt. Jetzt sind sie auf deinem Rechner. Du bist das, was in Hackerkreisen als „pwned“ bekannt ist. Das bedeutet, dass sie deine Verteidigung durchbrochen haben. Von dort aus werden sie versuchen, sich seitwärts durch dein Netzwerk zu bewegen, um Informationen von deinen Kollegen und deiner Infrastruktur zu exfiltrieren oder zu stehlen. Unglücklicherweise für dich bedeutet das, dass der Wirkungsbereich auch die Operationen deiner Kunden umfassen könnte. Als DevOps-Profi bist du für die Schlüssel zur Infrastruktur verantwortlich – jetzt ist ein Großteil dieser Infrastruktur anfällig. Dies ist ein echter Angriff, der hier detailliert dokumentiert wurde.
Schritte im ansteckenden Vorstellungsgespräch
Der Kern dieses Hacks kombiniert einen Social-Engineering-Angriff mit der Installation von Malware.
Schritt 1: Hacker beuten deine Gier aus – das Stellenangebot ist wirklich attraktiv und sieht wirklich legitim aus.
Schritt 2: Hacker manipulieren dich dazu, unbekannte Software im Rahmen des „Vorstellungsgesprächs“ auszuführen
Varianten des Angriffsvektors
Die nordkoreanische Lazarus-Gruppe hat diesen Angriff weiterentwickelt und einige neuere Angriffe beinhalten Videointerviews mit „potenziellen Arbeitgebern“, die tatsächlich Deep Fakes sind. Die Angreifer sehen aus und klingen, als kämen sie aus dem Land, das sie vorgeben zu sein. Sie verwenden jedoch „Face-Swapping“- und „Voice-Swapping“-Technologie, um ihre echten Stimmen und Gesichter zu maskieren. Dies ist besonders überzeugend, weil sie in der Lage sind, ein „echtes Interview“ zu führen und dich während des Interviews davon zu überzeugen, „Open-Source“-Software für das Code-Interview zu installieren.
Normalerweise haben sie ein echtes Open-Source-Repository wie ein NPM-Paket geklont und mit Malware verseucht. Sobald der Entwickler dies installiert (normalerweise über einen Curl-Befehl), tritt das gleiche Ergebnis auf und die Malware wird ausgeführt.
Viele Benutzer würden nicht einmal wissen, dass etwas nicht stimmt, bis Wochen später, wenn sie geleerte Finanzkonten oder installierte Ransomware finden, die den Zugriff auf kritische Geschäftsdaten sperrt, oder Kontoübernahmen im gesamten Unternehmen.
So schützt du dich vor dem ansteckenden Vorstellungsgespräch
- Behandle Kaltakquise von Personen, die du noch nie persönlich getroffen hast, als potenziell bösartig.
- Überprüfe die Links für Videoanrufe und Kalendereinladungen, indem du vor der Ausführung mit der Maus darüber fährst. Diese Vorgehensweise ermöglicht es dir, die Websites, zu denen du navigierst, zu überprüfen, bevor du dorthin navigierst.
- Wenn ein Link etwas seltsam aussieht, ist er es wahrscheinlich auch – klicke nicht durch. google.com ist beispielsweise nicht dasselbe wie go0gle.com. Wenn dein Verdacht frühzeitig geweckt wird, kannst du den Betrug stoppen, bevor du überhaupt an den Punkt gelangst, an dem die Malware ins Spiel kommt.
- Zu guter Letzt: Führe niemals Code aus oder unternehme Aktionen, die im Rahmen eines Vorstellungsgesprächs Code herunterladen und ausführen könnten.
- Dieser letzte Punkt macht beide oben genannten Varianten zunichte, erfordert aber das Bewusstsein, dass die „Windows-Taste & „Strg + V“ Code aus der Zwischenablage ausführen könnte.
- Im Variantenszenario erfordert es das Bewusstsein, dass Deepfakes existieren und dass „Open-Source“-Software aus unbekannter Quelle Malware enthalten kann.
Im Zweifelsfall: vali.now
Deine beste Verteidigung ist gesunde Skepsis. Wenn etwas nur ein wenig daneben oder ein bisschen zu gut erscheint, um wahr zu sein – ist es das wahrscheinlich auch. Deine beste Option ist es, die Details an help@vali.now weiterzuleiten. Unsere Cybersicherheitsexperten erkennen und bekämpfen solche Angriffe seit Jahrzehnten. Dein erster Fall (bis zu einer Stunde Recherche) auf unserer Seite ist kostenlos, danach gelten erschwingliche Preise. Du hast nichts zu verlieren und könntest katastrophale Verluste verhindern, indem du dich meldest.