Nationalstaatliche Rekrutierung über betrügerische LinkedIn-Profile

H-ISAC hat diesen TLP-White-Alarm erstellt, um ihn mit dem Gesundheitssektor auf der Grundlage tatsächlicher Vorfälle zu teilen, die seine Mitglieder in den letzten Wochen erlebt haben.

PDF-Version:

PDF anzeigen

Textversion:

Bedrohungsbulletins 14. Oktober 2020, 11:00 Uhr

Mitglieder des Health-ISAC berichten, dass LinkedIn immer häufiger von staatlichen Angreifern als Social-Engineering-Angriffsvektor genutzt wird. Die Angriffe werden immer raffinierter und reichen von einfachen Phishing-E-Mails bis hin zu Whaling über LinkedIn. Staatliche Bedrohungsakteure entwickeln kurz vor dem Start ihrer Angriffskampagnen überzeugende LinkedIn-Profile. Diese Profile erscheinen als legitime LinkedIn-Benutzer mit Empfehlungen und Hunderten von Verbindungen. Führungskräfte, Vizepräsidenten sowie Forschungs- und Entwicklungsteams (F&E) sind im Visier, darunter auch solche, die an COVID-19-Impfstoff- und Therapieprogrammen arbeiten.

Die Bedrohungsakteure verwenden fließende Geschäftsterminologie, Branchenkenntnisse, persönliche Referenzen und gefälschte Profile, um Whaling-Angriffe selbst für ein vorsichtiges Auge schwer erkennbar zu machen. Der Angreifer verwendet hochgradig zielgerichtete Inhalte in Kombination mit mehreren anderen Methoden, die Führungskräfte, Vizepräsidenten und F&E-Teams kennen sollten, um die Wahrscheinlichkeit zu verringern, Opfer eines Whaling-Angriffs zu werden. Bei jüngsten Whaling-Angriffen wurden Lieferanten oder Partner eingesetzt, um Whaling-Kommunikation zu konstruieren, die glaubwürdig erscheint.

Analyse:

Gefälschte Stellenangebote: Die in diesem Bulletin beschriebenen Angriffe nationaler Staaten sind insofern einzigartig, als sie zunächst LinkedIn als Angriffsvektor verwenden, im Gegensatz zur am häufigsten beobachteten Taktik des E-Mail-Phishings. Der Angreifer sendet gut formulierte Stellenangebote an ahnungslose, aber gezielte Empfänger, denen aufgrund des gut entwickelten, betrügerischen LinkedIn-Profils, das das Angebotsschreiben liefert, vorgegaukelt wird, das Angebot stamme von einem autorisierten Kollegen.

Sonstiges: Neben LinkedIn nutzt der Angreifer WhatsApp und Skype als weitere Methoden, um mit seinen Opfern zu kommunizieren. Sobald die erste Kommunikation hergestellt ist, sendet der Angreifer entweder direkt oder stellt einen Link zu einem Microsoft Word-Dokument bereit, das bösartige Makros enthält. Der Angreifer kann auch persönlich identifizierbare Informationen (PII) anfordern und diese später für Identitätsbetrugsangriffe und weitere Social-Engineering-Schemata verwenden. Der Angreifer verwendet außerdem kritische Sprache und Themen, um Dringlichkeit zu erzeugen, und schafft so einen schnellen, ungesicherten Prozess zum Übertragen von PII und Öffnen bösartiger Dokumente.

Empfehlungen:

Health-ISAC hatte bereits im September in unserem hier (https://health-isac.cyware.com/) veröffentlichten Cyber ​​Threat Level über LinkedIn-Whaling berichtet und darin Ressourcen mit zusätzlichen Anleitungen und Schulungen zu gängigen Kampagnen des Gegners aufgenommen.

Mitgliedsorganisationen sollten Tools nutzen, die Einblick in autorisierte Social-Media-Plattformen wie LinkedIn bieten, und sollten sich auf Schulungen und Sensibilisierung aller Mitarbeiter zum Thema Social-Media-Phishing konzentrieren. Wenn eine Organisation für Partner wie Wohltätigkeitsorganisationen, Anwaltskanzleien oder akademische Einrichtungen wirbt, sollte sie sich darüber im Klaren sein, dass sie LinkedIn-Nachrichten von böswilligen Akteuren erhalten kann, die sich als diese vertrauenswürdigen Partner ausgeben. LinkedIn bietet hier Anleitungen zum Erkennen und Melden von Betrugsfällen (https://www.linkedin.com/help/linkedin/answer/56325.)

• Akzeptieren Sie keine LinkedIn-Verbindungsanfragen von Personen, die Sie nicht kennen.
• Reagieren Sie nicht auf unerwünschte Nachrichten, die Sie über LinkedIn oder andere Social-Media-Konten erhalten.
• Seien Sie sehr vorsichtig bei unaufgeforderten Stellenangeboten, da diese immer häufiger als Lockmittel eingesetzt werden.
• Geben Sie Ihre Telefonnummer nicht an unbekannte oder nicht verifizierte Parteien weiter.
• Wenn Sie aufgefordert werden, Gespräche auf andere Plattformen wie WhatsApp oder Skype zu verlagern, ist das ein Warnsignal. Diese Plattformen verfügen häufig nicht über den Schutz, den Unternehmensnetzwerke und E-Mail-Systeme bieten.
• Befolgen Sie keine Anweisungen zum Klicken auf Links oder zum Herunterladen von Dateien auf Ihren PC.
• Bedenken Sie, dass Betrüger häufig Dringlichkeit als Taktik verwenden, um Sie dazu zu bringen, Dateien zu öffnen oder auf Links zu klicken.
• Wenn Sie diese oder eine ähnliche Anfrage erhalten haben, sogar unter Verwendung anderer Namen oder Firmenzugehörigkeiten, hören Sie auf! Beteiligen Sie sich nicht weiter an der Kommunikation, bis Sie unabhängig überprüfen können, ob die Person, die mit Ihnen in Kontakt treten möchte, legitim ist.
• Melden Sie alle verdächtigen Mitteilungen per E-Mail, SMS, über soziale Medien, Telefonanruf oder persönlich.

Quellen:

LinkedIn-Betrug erkennen und melden

CISO MAG – Operation North Star: Eine neue Phishing-Kampagne, getarnt als Stellenausschreibung

PDF – ClearSky Cyber ​​Security – Operation „Dream Job“

KnowB4 – Betrug der Woche: Massiver LinkedIn-Spam stiehlt Passwörter

NK News – Mit Nordkorea verbundene Hacker fälschen prestigeträchtige Stellenausschreibungen, um Opfer ins Visier zu nehmen

TLP:WEISS: Vorbehaltlich der üblichen Urheberrechtsregeln dürfen TLP:WHITE-Informationen ohne Einschränkung verbreitet werden.

Erhalten Sie Zugriff auf das neue H-ISAC Intelligence Portal: Erweitern Sie Ihre personalisierte Community zum Informationsaustausch mit verbesserter Bedrohungstransparenz, neuen Benachrichtigungen und der Möglichkeit zum Teilen von Vorfällen in einer vertrauenswürdigen Umgebung, die Ihnen per E-Mail und über mobile Apps bereitgestellt wird.

Für Fragen oder Kommentare: Bitte senden Sie uns eine E-Mail an contact@h-isac.org

• Verwandte Ressourcen und Neuigkeiten