Инцидент начался как обычная процедура найма и собеседования потенциального сотрудника на вакантную должность. Однако уже во время первого созвона с рекрутером Kraken, неизвестный присоединился к чату под другим именем, чем указанное в резюме, и быстро вернул назад в ходе беседы. Рекрутеру Kraken показалось подозрительны, что беседующий с ним кандидат время от времени прерывал разговор и менял голос, — то есть его могли консультировать во время собеседования в режиме реального времени или отвечали на вопросы вместо него.
Служба безопасности Kraken приняла решение не просто отклонить подозрительного кандидата, а провести операцию по сбору разведданных, чтобы изучить тактику и лучше понять методы, используемые для проникновения в криптокомпанию.
Команда безопасности Kraken Red Team, используя методы сбора данных из открытых источников (OSINT), обнаружила, что соискатель использовал сеть фальшивых личностей для подачи заявок в различные компании, включая другие криптовалютные фирмы. Некоторые из этих личностей уже были наняты другими организациями, а одна даже числилась в санкционном списке как «иностранный агент». Среди полученных данных был список электронных адресов, связанных с неназванной хакерской группой, а один из них совпал с адресом, использованным соискателем для подачи резюме на позицию инженера.
Технические несостыковки тоже вызвали подозрения, поскольку кандидат использовал удаленные рабочие столы Mac через VPN и предоставил поддельные документы, удостоверяющие личность.
Команда Kraken провела финальное интервью с участием директора по безопасности Ника Перкоко (Nick Percoco). Во время беседы соискателю задавали неожиданные вопросы для проверки, например, просили показать удостоверение личности, назвать город проживания и порекомендовать местные рестораны. Под давлением кандидат начал путаться, его голос менялся, а ответы становились неубедительными.
Эти признаки, вкупе с собранными ранее данными, позволили Kraken окончательно убедиться, что перед ними не настоящий соискатель, а потенциальный злоумышленник.
Ранее группа хакеров Crazy Evil была замечена в краже криптовалюты у соискателей работы. Преступники создали фейковый сайт ChainSeeker.io и опубликовали от имени несуществующей компании вакансии «Аналитик блокчейна» и «Менеджер по работе в социальных сетях» на LinkedIn, WellFound и CryptoJobsList.