Infiltratietactieken in het wervingsproces: niet vertrouwen, maar verifiëren
|
Er ontstaat een nieuwe, geïntensiveerde dreiging in het cybersecuritylandschap, nu door staat gesponsorde actoren steeds vaker traditionele beveiligingsmaatregelen omzeilen. Dit doen ze door een baan te vinden bij doelwitorganisaties om toegang te krijgen tot kritieke systemen en vertrouwelijke gegevens. Volgens een gezamenlijke verklaring van de Verenigde Staten, Japan en Zuid-Korea uit juni 2025 hebben alleen al Noord-Koreaanse hackersgroepen het afgelopen jaar ongeveer € 560 miljoen aan cryptovaluta gestolen, wat neerkomt op een geschatte buit van € 3,1 miljard in de afgelopen zeven jaar. Deze “front-door”-aanvalsmethode reikt verder dan de financiële wereld en omvat alle sectoren. Hierdoor kunnen deze actoren legitieme salarisbetalingen afhandig maken, strategische informatie verzamelen en kwetsbaarheden identificeren voor toekomstige cyberaanvallen, wat resulteert in aanzienlijke financiële- en reputatieschade voor de getroffen bedrijven. Het beveiligingsteam bij Kraken, een van ’s werelds toonaangevende cryptobeurzen, heeft onlangs een dergelijke infiltratiepoging door een Noord-Koreaanse hacker ontdekt in hun wervingsproces. Het incident begon toen het beveiligingsteam informatie ontving van partners in de branche over actieve wervingspogingen door Noord-Koreaanse hackers in de cryptosector, waaronder een lijst met mogelijk gecompromitteerde e-mailadressen. Nadat Kraken de wervingsdatabase aan de hand van deze lijst hadden gecontroleerd, ontdekten ze een match met een sollicitant die had gesolliciteerd naar een openstaande technische functie onder het pseudoniem ‘Steven Smith’. In plaats van de verdachte sollicitant onmiddellijk af te wijzen, koos Kraken voor een andere aanpak: ze zetten de sollicitatieprocedure voort, onder constante observatie. Deze aanpak stelde het bedrijf in staat de tactieken van de aanvaller te documenteren. Dat heeft waardevolle inzichten opgeleverd. In de wervingsprocedure kwamen verschillende inconsistenties aan het licht. De kandidaat meldde zich voor het eerste sollicitatiegesprek met een andere naam dan die op zijn cv stond. Tijdens het telefoongesprek merkte Kraken veranderingen in zijn stemgeluid op, wat duidde op realtime externe ondersteuning. Identificatie en onderzoek: de analytische onthulling Nadat Kraken de eerste anomalieën hadden ontdekt, voerde het beveiligingsteam uitgebreide OSINT-analyses (Open Source Intelligence) uit. Hieruit bleek dat het e-mailadres van de kandidaat deel uitmaakte van een netwerk van valse identiteiten dat al eerder was gebruikt om verschillende bedrijven te infiltreren. Een van de gekoppelde identiteiten stond zelfs vermeld als buitenlandse agent op een sanctielijst. Verder onderzoek bracht aanvullende verdachte patronen aan het licht: het gebruik van externe Mac-desktops in combinatie met VPN-verbindingen om de daadwerkelijke locatie te verbergen, gecompromitteerde e-mailadressen in openbare profielen en gemanipuleerde identificatiedocumenten die hoogstwaarschijnlijk gebaseerd waren op gegevens van een identiteitsdiefstalincident twee jaar eerder. Naarmate de sollicitatieprocedure vorderde, werden gerichte verificatietests uitgevoerd. Het laatste interview vond plaats op 31 oktober. Het bedrijf gebruikte Halloween als aanleiding voor een testvraag. Toen de interviewer terloops de festiviteiten van die avond ter sprake bracht, toonde de kandidaat een opvallend gebrek aan kennis: een duidelijke indicatie van onbekendheid met de culturele context. Bijzonder onthullend waren ook de vragen over zijn woonplaats: hoewel de kandidaat Houston als zijn thuis noemde, kon hij de stad bij ondervraging niet beschrijven en ook geen lokale restaurantaanbevelingen doen. Deze contextuele verificatiemethoden overweldigden de aanvaller zichtbaar. Nick Percoco, Chief Security Officer bij Kraken, licht de bevindingen toe: “Naarmate het dreigingslandschap evolueert, vertrouwen door staten gesponsorde aanvallers steeds meer op directe infiltratiemethoden. Effectieve cybersecurity vereist daarom een holistische aanpak die technische beschermingsmaatregelen combineert met de beveiliging van menselijke processen. Bij Kraken delen we onze ervaringen bewust met de hele industrie en securityprofessionals in verschillende sectoren, omdat we ervan overtuigd zijn dat alleen door open uitwisseling en gedeelde transparantie steeds complexere aanvallen succesvol kunnen worden bestreden. De integratie van beveiligingsprincipes in alle afdelingen van een bedrijf is essentieel om potentiële dreigingen vroegtijdig te identificeren. Het fundamentele principe: ‘Niet vertrouwen, verifiëren’ vormt de basis van een robuuste beveiligingsstrategie die bestand is tegen huidige en toekomstige dreigingen.” Wat kunnen bedrijven hieraan doen? Bedrijven kunnen concrete beveiligingsmaatregelen nemen, bijvoorbeeld: |
|
|
Bovendien kan sectorbrede uitwisseling van informatie over dreigingen de collectieve verdedigingscapaciteit aanzienlijk versterken. |
|
|
|
Over Kraken Kraken is een technologieplatform gebaseerd op crypto, dat gericht is op het vergroten van toegankelijkheid tot financiële markten en het verminderen van inefficiënties. Daarmee draagt het bij aan meer financiële vrijheid, zowel binnen de cryptosector als daarbuiten. Wereldwijd maken miljoenen gebruikers, van particuliere beleggers tot professionele handelaren en instellingen, gebruik van Kraken voor de handel in digitale en traditionele activa, waaronder cryptovaluta, nationale valuta, Amerikaanse futures en in de VS genoteerde aandelen en ETF’s. De markten van Kraken zijn beschikbaar via het web of via de Kraken- en Kraken Pro-apps voor iOS en Android. De futures-platforms van NinjaTrader, een dochteronderneming van Kraken, zijn beschikbaar op desktop, web en mobiel via www.ninjatrader.com. Ga voor meer informatie naar www.kraken.com |
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.