Nábor národního státu prostřednictvím podvodných profilů LinkedIn

H-ISAC vytvořil tuto výstrahu TLP White, aby se podělil se zdravotnickým sektorem ze skutečných incidentů, které jeho členové zažili v posledních týdnech.

Pdf verze:

Zobrazit PDF

Textová verze:

Bulletiny o hrozbách 14. října 2020, 11:00

Členové Health-ISAC hlásí zvýšenou frekvenci LinkedIn, kterou využívají protivníci států jako vektor útoku sociálního inženýrství. Útoky jsou stále sofistikovanější a eskalují od základních phishingových e-mailů až po lov velryb přes LinkedIn. Aktéři národních hrozeb vyvíjejí přesvědčivé profily LinkedIn krátce před zahájením svých útočných kampaní. Tyto profily se jeví jako legitimní uživatelé LinkedIn doplněné doporučeními a stovkami spojení. Zaměření byli manažeři, viceprezidenti a týmy pro výzkum a vývoj (R&D), včetně těch, kteří pracují na programech vakcín a terapie COVID-19.

Aktéři hrozeb používají plynulou obchodní terminologii, sektorové znalosti, osobní reference a falešné profily, aby bylo obtížné identifikovat velrybářské útoky i pro opatrné oko. Protivník používá vysoce cílený obsah v kombinaci s několika dalšími metodami, kterých by si vedoucí pracovníci, viceprezidenti a výzkumné a vývojové týmy měli být vědomi, aby snížili své šance, že se stanou obětí velrybářského útoku. Nedávné velrybářské útoky využily dodavatele nebo partnery k vybudování velrybářské komunikace, která se jeví jako důvěryhodná.

Analýza:

Falešné nabídky práce: Útoky na národní státy popsané v tomto bulletinu jsou jedinečné v tom, že nejprve využívají LinkedIn jako vektor útoku na rozdíl od nejsledovanější taktiky e-mailového phishingu. Protivník doručuje dobře zpracované dopisy s nabídkou práce nic netušícím, ale cíleným příjemcům, kteří se domnívají, že nabídka pochází od autorizovaného kolegy na základě dobře vyvinutého podvodného profilu LinkedIn, který nabídkový dopis doručuje.

Jiné: Kromě LinkedIn protivník využívá WhatsApp a Skype jako další způsoby komunikace se svými oběťmi. Jakmile je navázána počáteční komunikace, protivník buď přímo odešle, nebo poskytne odkaz na dokument Microsoft Word, který obsahuje škodlivá makra. Protivník může také požadovat osobní identifikační údaje (PII), později použít PII při útocích na podvody s identitou a dalších schématech sociálního inženýrství. Protivník navíc používá kritický jazyk a témata k vyvolání naléhavosti, čímž vytváří rychlý, nezabezpečený proces přenosu PII a otevírání škodlivých dokumentů.

Doporučení:

Health-ISAC již dříve informoval o lovu velryb LinkedIn v naší zářijové úrovni kybernetické hrozby zveřejněné zde (https://health-isac.cyware.com/), včetně zdrojů s dalšími pokyny a školeními o běžných kampaních protivníka.

Členské organizace by měly využívat nástroje, které zviditelní autorizované platformy sociálních médií, včetně LinkedIn, a vyzýváme je, aby se zaměřily na školení a zvyšování povědomí o phishingu na sociálních sítích pro všechny zaměstnance. Pokud organizace inzeruje partnery, jako jsou charitativní organizace, právnické firmy nebo akademické instituce, měla by si být vědoma toho, že může dostávat zprávy LinkedIn od zlomyslných aktérů vydávajících se za tyto důvěryhodné partnery. LinkedIn poskytuje pokyny pro rozpoznání a nahlášení podvodů zde (https://www.linkedin.com/help/linkedin/answer/56325. )

• Nepřijímejte žádosti o připojení LinkedIn od lidí, které neznáte.
• Neodpovídejte na nevyžádané zprávy přijaté přes LinkedIn nebo jiné účty sociálních médií.
• Buďte velmi opatrní s nevyžádanými pracovními nabídkami, protože se stále častěji používají jako návnady.
• Neposkytujte své telefonní číslo neznámým nebo neověřeným stranám.
• Považujte to za varovný signál, když budete požádáni o přepnutí konverzace na jiné platformy, jako je WhatsApp nebo Skype. Tyto platformy často nemají ochranu poskytovanou podnikovými sítěmi a e-mailovými systémy.
• Neklikejte na odkazy nebo nestahujte soubory do počítače podle pokynů.
• Uvědomte si, že podvodníci běžně používají naléhavost jako taktiku, aby vás přiměli otevřít soubory nebo kliknout na odkazy.
• Pokud jste obdrželi tuto nebo podobnou žádost, i když používáte jiná jména nebo příslušnost společnosti, přestaňte! Nezapojujte se dále do komunikace, dokud nebudete moci nezávisle ověřit, že osoba, která se s vámi chce spojit, je legitimní.
• Nahlaste veškerou podezřelou komunikaci prostřednictvím e-mailu, textové zprávy, sociálních sítí, telefonního hovoru nebo osobně.

Zdroje:

Rozpoznávání a hlášení podvodů LinkedIn

CISO MAG – Operace North Star: Nová phishingová kampaň maskovaná jako pracovní nabídka

PDF – ClearSky Cyber ​​Security – Operace „Dream Job“

KnowB4 – Podvod týdne: Masivní LinkedIn spam krade hesla

NK News – Hackeři napojení na Severní Koreu falšují prestižní pracovní nabídky, aby se zaměřili na oběti

TLP:BÍLÁ: V souladu se standardními pravidly autorských práv mohou být informace TLP:WHITE distribuovány bez omezení.

Získejte přístup k novému portálu H-ISAC Intelligence Portal: Vylepšete svou personalizovanou komunitu pro sdílení informací pomocí vylepšené viditelnosti hrozeb, nových oznámení a sdílení incidentů v důvěryhodném prostředí, které vám bude doručeno prostřednictvím e-mailu a mobilních aplikací.

Pro dotazy nebo připomínky: Napište nám prosím na contact@h-isac.org

• Související zdroje a zprávy