Πρόσληψη εθνικού κράτους μέσω δόλιων προφίλ LinkedIn
Η H-ISAC δημιούργησε αυτήν την ειδοποίηση TLP White για να μοιραστεί με τον Τομέα Υγείας από πραγματικά περιστατικά που έχουν βιώσει τα μέλη της τις τελευταίες εβδομάδες.
Έκδοση pdf:
Έκδοση κειμένου:
Δελτία απειλών 14 Οκτωβρίου 2020, 11:00 π.μ
Τα μέλη του Health-ISAC αναφέρουν την αυξημένη συχνότητα χρήσης του LinkedIn ως φορέα επίθεσης κοινωνικής μηχανικής από τους αντιπάλους των εθνικών κρατών. Οι επιθέσεις γίνονται πιο εξελιγμένες, και κλιμακώνονται από τα βασικά μηνύματα ηλεκτρονικού ψαρέματος στη φαλαινοθηρία μέσω LinkedIn. Οι φορείς απειλών από τα εθνικά κράτη αναπτύσσουν πειστικά προφίλ στο LinkedIn λίγο πριν ξεκινήσουν τις καμπάνιες επίθεσης. Αυτά τα προφίλ εμφανίζονται ως νόμιμοι χρήστες του LinkedIn με εγκρίσεις και εκατοντάδες συνδέσεις. Στελέχη, αντιπρόεδροι και ομάδες Έρευνας και Ανάπτυξης (R&D) έχουν στοχοποιηθεί, συμπεριλαμβανομένων εκείνων που εργάζονται σε προγράμματα εμβολίων και θεραπείας για τον COVID-19.
Οι φορείς απειλών υιοθετούν τη χρήση άπταιστης επιχειρηματικής ορολογίας, γνώσεων τομέα, προσωπικών παραπομπών και πλαστών προφίλ για να κάνουν τις επιθέσεις φαλαινοθηρίας δύσκολες να τις αναγνωρίσει ακόμη και ένα προσεκτικό μάτι. Ο αντίπαλος χρησιμοποιεί εξαιρετικά στοχευμένο περιεχόμενο σε συνδυασμό με πολλές άλλες μεθόδους που πρέπει να γνωρίζουν τα στελέχη, οι αντιπρόεδροι και οι ομάδες Ε&Α για να μειώσουν τις πιθανότητές τους να πέσουν θύματα επίθεσης φαλαινοθηρικών. Οι πρόσφατες επιθέσεις φαλαινοθηρίας έχουν χρησιμοποιηθεί σε προμηθευτές ή συνεργάτες για την κατασκευή φαλαινοθηρικών επικοινωνιών που φαίνονται αξιόπιστες.
Ανάλυση:
Ψεύτικες προσφορές εργασίας: Οι επιθέσεις των εθνικών κρατών που περιγράφονται σε αυτό το ενημερωτικό δελτίο είναι μοναδικές καθώς χρησιμοποιούν πρώτα το LinkedIn ως φορέα επίθεσης σε αντίθεση με την πιο παρατηρούμενη τακτική ηλεκτρονικού ψαρέματος. Ο αντίπαλος παραδίδει καλοσχεδιασμένες επιστολές προσφοράς εργασίας σε ανυποψίαστους αλλά στοχευμένους παραλήπτες, οι οποίοι πιστεύουν ότι η προσφορά προέρχεται από εξουσιοδοτημένο συνάδελφο βάσει του καλά ανεπτυγμένου δόλιου προφίλ LinkedIn που παραδίδει την επιστολή προσφοράς.
Άλλα: Εκτός από το LinkedIn, ο αντίπαλος χρησιμοποιεί το WhatsApp και το Skype ως πρόσθετες μεθόδους για να επικοινωνήσει με τα θύματά του. Μόλις δημιουργηθεί η αρχική επικοινωνία, ο αντίπαλος είτε στέλνει απευθείας είτε παρέχει μια σύνδεση σε ένα έγγραφο του Microsoft Word που περιέχει κακόβουλες μακροεντολές. Ο αντίπαλος μπορεί επίσης να ζητήσει προσωπικά στοιχεία ταυτοποίησης (PII), χρησιμοποιώντας αργότερα τα PII σε επιθέσεις απάτης ταυτότητας και σε περαιτέρω προγράμματα κοινωνικής μηχανικής. Ο αντίπαλος χρησιμοποιεί επιπρόσθετα κριτική γλώσσα και θέματα για να επικαλεστεί το επείγον, δημιουργώντας μια ταχεία, μη ασφαλή διαδικασία για τη μετάδοση PII και το άνοιγμα κακόβουλων εγγράφων.
Συστάσεις:
Το Health-ISAC είχε αναφερθεί προηγουμένως για τη φαλαινοθηρία στο LinkedIn στο Επίπεδο Κυβερνοαπειλής του Σεπτεμβρίου που δημοσιεύτηκε εδώ (https://health-isac.cyware.com/), συμπεριλαμβανομένων πόρων με πρόσθετη καθοδήγηση και εκπαίδευση σε κοινές εκστρατείες αντιπάλου.
Οι οργανώσεις-μέλη θα πρέπει να αξιοποιήσουν εργαλεία που παρέχουν ορατότητα σε εξουσιοδοτημένες πλατφόρμες μέσων κοινωνικής δικτύωσης, συμπεριλαμβανομένου του LinkedIn και ενθαρρύνονται να επικεντρωθούν στην εκπαίδευση και την ευαισθητοποίηση όλων των εργαζομένων στο phishing των μέσων κοινωνικής δικτύωσης. Εάν ένας οργανισμός διαφημίζει συνεργάτες όπως φιλανθρωπικά ιδρύματα, δικηγορικά γραφεία ή ακαδημαϊκά ιδρύματα, θα πρέπει να γνωρίζουν ότι ενδέχεται να λαμβάνουν μηνύματα στο LinkedIn από κακόβουλους παράγοντες που μεταμφιέζονται σε αυτούς τους έμπιστους συνεργάτες. Το LinkedIn παρέχει οδηγίες για την αναγνώριση και την αναφορά απατών εδώ (https://www.linkedin.com/help/linkedin/answer/56325. )
- Μην αποδέχεστε αιτήματα σύνδεσης LinkedIn από άτομα που δεν γνωρίζετε.
- Μην απαντάτε σε ανεπιθύμητα μηνύματα που λαμβάνονται μέσω του LinkedIn ή άλλων λογαριασμών μέσων κοινωνικής δικτύωσης.
- Να είστε πολύ προσεκτικοί με τις αυτόκλητες προσφορές εργασίας, καθώς χρησιμοποιούνται όλο και περισσότερο ως δέλεαρ.
- Μην δίνετε τον αριθμό τηλεφώνου σας σε άγνωστα ή μη επαληθευμένα μέρη.
- Θεωρήστε το κόκκινο σημάδι όταν σας ζητηθεί να αλλάξετε συνομιλίες σε άλλες πλατφόρμες όπως το WhatsApp ή το Skype. Αυτές οι πλατφόρμες συχνά δεν διαθέτουν την προστασία που παρέχουν τα εταιρικά δίκτυα και τα συστήματα ηλεκτρονικού ταχυδρομείου.
- Μην ακολουθείτε τις οδηγίες για να κάνετε κλικ σε συνδέσμους ή να κάνετε λήψη αρχείων στον υπολογιστή σας.
- Αναγνωρίστε ότι οι απατεώνες χρησιμοποιούν συνήθως το επείγον ως τακτική για να σας κάνουν να ανοίξετε αρχεία ή να κάνετε κλικ σε συνδέσμους.
- Εάν έχετε λάβει αυτό το αίτημα ή ένα παρόμοιο, ακόμη και χρησιμοποιώντας διαφορετικά ονόματα ή εταιρικές σχέσεις, σταματήστε! Μην εμπλακείτε περαιτέρω στην επικοινωνία έως ότου μπορέσετε να επαληθεύσετε ανεξάρτητα ότι το άτομο που επιθυμεί να συνεργαστεί μαζί σας είναι νόμιμο.
- Αναφέρετε όλες τις ύποπτες επικοινωνίες μέσω email, μηνυμάτων κειμένου, μέσων κοινωνικής δικτύωσης, τηλεφωνικής κλήσης ή αυτοπροσώπως.
Πηγές:
Αναγνώριση και αναφορά απατών στο LinkedIn
CISO MAG – Operation North Star: Μια νέα καμπάνια phishing μεταμφιεσμένη ως ανάρτηση εργασίας
PDF – ClearSky Cyber Security – Λειτουργία «Dream Job»
KnowB4 – Απάτη της εβδομάδας: Τεράστια ανεπιθύμητα μηνύματα στο LinkedIn κλέβουν κωδικούς πρόσβασης
NK News – Χάκερ που συνδέονται με τη Βόρεια Κορέα παραποιούν λίστες θέσεων εργασίας κύρους για να στοχεύσουν θύματα
TLP:ΛΕΥΚΟ: Με την επιφύλαξη των τυπικών κανόνων πνευματικών δικαιωμάτων, οι πληροφορίες TLP:WHITE μπορούν να διανεμηθούν χωρίς περιορισμούς.
Αποκτήστε πρόσβαση στη νέα πύλη πληροφοριών H-ISAC: Βελτιώστε την εξατομικευμένη κοινότητα κοινής χρήσης πληροφοριών με βελτιωμένη ορατότητα απειλών, νέες ειδοποιήσεις και κοινή χρήση συμβάντων σε ένα αξιόπιστο περιβάλλον που σας παραδίδεται μέσω email και εφαρμογών για κινητά.
Για ερωτήσεις ή σχόλια: Παρακαλούμε στείλτε μας email στο contact@h-isac.org
- Σχετικοί πόροι και νέα