Ação identificada por IA em setembro já sobe +12% no mês e promete mais
Por AJ Vicens e Raphael Satter
DETROIT/WASHINGTON (Reuters) - Hackers norte-coreanos estão saturando o setor de criptomoedas com ofertas de emprego aparentemente confiáveis, como parte de uma campanha para roubar dinheiro digital, de acordo com novas pesquisas, dados brutos e entrevistas.
O problema está se tornando tão comum que os candidatos a emprego agora examinam regularmente os recrutadores em busca de sinais de que eles possam estar agindo em nome de Pyongyang.
Vinte e cinco especialistas, vítimas e representantes de empresas com quem a Reuters conversou concordaram que o problema é onipresente.
"Isso acontece comigo o tempo todo e tenho certeza de que acontece com todos neste espaço", disse Carlos Yanez, executivo de desenvolvimento de negócios da empresa de análise de blockchain Global Ledger, sediada na Suíça, que estava entre os alvos recentes dos ladrões, de acordo com dados fornecidos pelas empresas de segurança cibernética SentinelOne e Validin. As empresas estão publicando um relatório sobre a campanha cibernética nesta quinta-feira.
Yanez disse que, embora tenha evitado ser hackeado, a qualidade dos disfarces dos norte-coreanos melhorou significativamente no último ano. "É assustador o quanto eles evoluíram", disse.
Embora não haja uma estimativa pública de quanto dinheiro é roubado apenas com essa tática, acredita-se que hackers norte-coreanos tenham roubado pelo menos US$1,34 bilhão em criptomoedas no ano passado, de acordo com a empresa de inteligência blockchain Chainalysis.
Monitores dos EUA e das Nações Unidas alegaram que Pyongyang usa os roubos para apoiar seu programa de armas.
Alegações de que Pyongyang está mirando o mundo do blockchain com golpes sofisticados não são novas. No final do ano passado, o FBI emitiu um alerta público afirmando que a Coreia do Norte estava mirando "agressivamente" a indústria de criptomoedas com esquemas de engenharia social "complexos e elaborados".
A reportagem da Reuters, que sete alvos corroboraram com capturas de tela de conversas com hackers, fornece detalhes nunca antes divulgados sobre como eles enganam seus alvos, juntamente com uma análise detalhada de suas táticas.
Primeiro, um recrutador entra em contato pelo LinkedIn ou Telegram com uma proposta para uma vaga relacionada a blockchain. "Estamos expandindo nossa equipe", dizia uma mensagem do LinkedIn enviada a Victoria Perepel em 20 de janeiro por um recrutador que se apresentava como representante da Bitwise Asset Management. "Estamos procurando, principalmente, pessoas apaixonadas pelo mercado de criptomoedas."
Após uma breve discussão sobre o suposto cargo e a remuneração, o recrutador incentivava os candidatos a visitar um site desconhecido para fazer um teste de habilidades e gravar um vídeo. Nesse momento, vários alvos ficaram desconfiados.
Por que não simplesmente fazer uma entrevista ao vivo em uma plataforma de vídeo mais conhecida, como Google Meet ou Zoom? Essa foi a objeção levantada pelo empreendedor de aprendizado de máquina Olof Haglund em 21 de janeiro, quando foi abordado por Wieslaw Slizewski, que se apresentou como recrutador técnico da plataforma de negociação online Robinhood.
Slizewski se recusou a ceder, insistindo que Haglund baixasse o código para gravar o vídeo.
“Seguimos um processo de contratação estruturado, e a avaliação em vídeo é uma parte fundamental da nossa avaliação para garantir consistência e justiça para todos os candidatos”, disse Slizewski em uma mensagem no LinkedIn.
Haglund acabou encerrando a entrevista, mas outros não. Um gerente de produto de uma empresa de criptomoedas dos EUA, que falou sob condição de anonimato por não querer ser identificado como candidato a emprego, disse que gravou o vídeo e o enviou a uma pessoa que alegou estar recrutando para a empresa de criptomoedas Ripple Labs.
Só naquela noite, quando percebeu que US$1.000 em ether e Solana haviam desaparecido da carteira digital que ele mantinha em seu computador, ele percebeu que havia sido enganado. Quando procurou o perfil do LinkedIn do suposto recrutador da Ripple, ele já havia desaparecido.
Em outro caso, o consultor Ben Humbert estava conversando via LinkedIn com Mirela Tafili, uma recrutadora que alegava atuar em nome da corretora de criptomoedas Kraken, sobre uma vaga de gerenciamento de projetos. Tafili pediu a Humbert que participasse de uma "breve entrevista virtual" e forneceu um link que, segundo Tafili, os ajudaria a "acelerar o processo" e levá-lo para a próxima etapa. Humbert disse que ficou desconfiado e encerrou a conversa.
A Ripple e a Bitwise não retornaram os pedidos de comentários. Em um comunicado, a Robinhood afirmou estar "ciente de uma campanha no início deste ano que tentou se passar por várias empresas de criptomoedas, incluindo a Robinhood" e que havia tomado medidas para desativar os domínios da web vinculados ao golpe.
O LinkedIn afirmou, em comunicado, que as contas falsas de recrutadores identificadas pela Reuters foram "anteriormente acionadas". O Telegram afirmou que os golpes foram eliminados onde quer que fossem encontrados. As tentativas da Reuters de contatar os hackers não tiveram sucesso.
A SentinelOne e a Validin atribuem os roubos a uma operação norte-coreana anteriormente denominada "Contagious Interview" pela empresa de segurança cibernética Palo Alto Networks. Os pesquisadores que acompanham a campanha concluíram que os norte-coreanos estavam por trás dela com base em vários fatores, incluindo o uso de endereços de protocolo de internet e e-mails vinculados a atividades anteriores de hackers da Coreia do Norte.
Como parte da investigação, os pesquisadores descobriram arquivos de log expostos acidentalmente pelos hackers que exibiam os e-mails e endereços IP de mais de 230 pessoas -- programadores, influenciadores, contadores, consultores, executivos, profissionais de marketing e muito mais -- alvos entre janeiro e março.
A Reuters contatou todos os alvos para alertá-los sobre a atividade maliciosa. Os 19 que falaram com a agência de notícias confirmaram ter sido alvos naquela época. Uma das empresas representadas pelos hackers disse que isso era típico do universo cripto.
“Todo dia acontece alguma coisa”, disse Nick Percoco, diretor de segurança da Kraken.
A missão da Coreia do Norte nas Nações Unidas não respondeu aos pedidos de comentários sobre as conclusões da Reuters. Pyongyang nega regularmente a prática de roubos de criptomoedas.
Os alvos identificados pela Reuters eram apenas "uma pequena fração" das possíveis vítimas do Contagious Interview, o que por sua vez representa um subconjunto dos esforços gerais de roubo de criptomoedas da Coreia do Norte, disse Aleksandar Milenkoski, pesquisador sênior da SentinelOne e um dos coautores do relatório.
"Eles são como um típico grupo de golpistas", disse. "Eles buscam amplitude."
Percoco, o executivo da Kraken, disse que a empresa começou a se deparar com golpes de recrutamento no final do ano passado, com relatos persistentes em março, abril e maio. A empresa utiliza ferramentas para procurar contas falsas se passando por recrutadores, mas também recebe relatos de pessoas de fora que entram em contato para dizer: "Ei, eu estava fazendo uma entrevista de emprego com vocês e aí virou um golpe de verdade", disse Percoco.
Ele disse que era difícil para as empresas policiarem a representação.
“Qualquer pessoa pode dizer que é recrutadora”, afirmou.
(Reportagem de AJ Vicens e Raphael Satter)