Reclutamiento de personal por parte de estados nacionales a través de perfiles fraudulentos de LinkedIn
H-ISAC creó esta alerta blanca TLP para compartir con el sector de la salud los incidentes reales que sus miembros han experimentado en las últimas semanas.
Versión pdf:
Versión de texto:
Boletines de amenazas 14 de octubre de 2020, 11:00 a. m.
Los miembros de Health-ISAC informan de que los adversarios de los estados nacionales utilizan LinkedIn con mayor frecuencia como vector de ataque de ingeniería social. Los ataques se están volviendo más sofisticados y van desde correos electrónicos de phishing básicos hasta ataques a través de LinkedIn. Los actores de amenazas de los estados nacionales están desarrollando perfiles convincentes de LinkedIn poco antes de lanzar sus campañas de ataque. Estos perfiles aparecen como usuarios legítimos de LinkedIn, con recomendaciones y cientos de conexiones. Ejecutivos, vicepresidentes y equipos de investigación y desarrollo (I+D) han sido blanco de ataques, incluidos los que trabajan en programas de vacunas y terapias contra la COVID-19.
Los actores de amenazas adoptan el uso de terminología empresarial fluida, conocimiento del sector, referencias personales y perfiles falsos para dificultar la identificación de los ataques de whaling incluso para un ojo cauteloso. El adversario utiliza contenido altamente específico combinado con varios otros métodos que los ejecutivos, vicepresidentes y equipos de I+D deben conocer para reducir sus posibilidades de ser víctimas de un ataque de whaling. Los ataques de whaling recientes se han dirigido a proveedores o socios para construir comunicaciones de whaling que parecen creíbles.
Análisis:
Ofertas de trabajo falsas: Los ataques de los estados nacionales descritos en este boletín son únicos porque utilizan LinkedIn como vector de ataque, en lugar de la táctica más observada de phishing por correo electrónico. El adversario envía cartas de oferta de trabajo bien redactadas a destinatarios desprevenidos pero específicos, a quienes se les hace creer que la oferta proviene de un colega autorizado, basándose en el perfil fraudulento de LinkedIn bien desarrollado que envía la carta de oferta.
Otros: Además de LinkedIn, el adversario utiliza WhatsApp y Skype como métodos adicionales para comunicarse con sus víctimas. Una vez que se establece la comunicación inicial, el adversario envía directamente o proporciona un enlace a un documento de Microsoft Word que contiene macros maliciosas. El adversario también puede solicitar información de identificación personal (PII), que luego utiliza en ataques de fraude de identidad y otros esquemas de ingeniería social. El adversario también utiliza un lenguaje y temas críticos para invocar urgencia, lo que crea un proceso rápido y no seguro para transmitir PII y abrir documentos maliciosos.
Recomendaciones:
Health-ISAC informó anteriormente sobre el tráfico de datos a LinkedIn en nuestro Nivel de amenaza cibernética de septiembre publicado aquí (https://health-isac.cyware.com/) que incluye recursos con orientación y capacitación adicionales sobre campañas adversas comunes.
Las organizaciones miembro deben aprovechar las herramientas que brindan visibilidad en las plataformas de redes sociales autorizadas, incluido LinkedIn, y se les recomienda que se centren en la capacitación y la concientización sobre el phishing en las redes sociales para todos los empleados. Si una organización anuncia socios como organizaciones benéficas, bufetes de abogados o instituciones académicas, debe tener en cuenta que puede recibir mensajes de LinkedIn de actores maliciosos que se hacen pasar por esos socios de confianza. LinkedIn ofrece orientación para reconocer y denunciar estafas aquí (https://www.linkedin.com/help/linkedin/answer/56325).
- No aceptes solicitudes de conexión de LinkedIn de personas que no conoces.
- No responda a mensajes no solicitados recibidos a través de LinkedIn o cualquier otra cuenta de redes sociales.
- Tenga mucho cuidado con las ofertas de trabajo no solicitadas, ya que cada vez se utilizan más como señuelo.
- No dé su número de teléfono a personas desconocidas o no verificadas.
- Considere una señal de alerta cuando le pidan cambiar las conversaciones a otras plataformas, como WhatsApp o Skype. Estas plataformas a menudo no cuentan con las protecciones que brindan las redes corporativas y los sistemas de correo electrónico.
- No siga las instrucciones para hacer clic en enlaces o descargar archivos a su PC.
- Reconozca que los estafadores comúnmente usan la urgencia como táctica para lograr que usted abra archivos o haga clic en enlaces.
- Si ha recibido esta solicitud o una similar, incluso con nombres o afiliaciones empresariales diferentes, ¡deténgase! No continúe comunicándose con la persona hasta que pueda verificar de forma independiente que la persona que intenta comunicarse con usted es legítima.
- Reporte todas las comunicaciones sospechosas por correo electrónico, mensaje de texto, redes sociales, llamada telefónica o en persona.
Fuentes:
Cómo reconocer y denunciar estafas en LinkedIn
CISO MAG – Operación North Star: una nueva campaña de phishing disfrazada de anuncio de empleo
PDF – ClearSky Cyber Security – Operación 'Trabajo soñado'
KnowB4 – Estafa de la semana: spam masivo en LinkedIn que roba contraseñas
NK News – Piratas informáticos vinculados a Corea del Norte falsifican ofertas de trabajo prestigiosas para atacar a sus víctimas
TLP:BLANCO: Sujeto a las reglas estándar de derechos de autor, la información de TLP:WHITE puede distribuirse sin restricciones.
Obtenga acceso al nuevo Portal de Inteligencia H-ISAC: Mejore su comunidad personalizada de intercambio de información con una mejor visibilidad de amenazas, nuevas notificaciones y uso compartido de incidentes en un entorno confiable que se le entrega por correo electrónico y aplicaciones móviles.
Para preguntas o comentarios: Envíenos un correo electrónico a contact@h-isac.org
- Recursos y noticias relacionados