Kansallisvaltion rekrytointi vilpillisten LinkedIn-profiilien kautta
H-ISAC loi tämän TLP White -hälytyksen jakaakseen terveydenhuoltosektorin todellisista tapahtumista, joita sen jäsenet ovat kokeneet viime viikkoina.
Pdf-versio:
Tekstiversio:
Uhkatiedotteet 14, klo 2020
Terveys-ISAC:n jäsenet raportoivat LinkedInin käyttäneen yhä useammin kansallisvaltioiden vastustajat sosiaalisen manipuloinnin hyökkäysvektorina. Hyökkäykset ovat yhä kehittyneempiä, ja ne leviävät tavallisista tietojenkalasteluviesteistä valaanpyyntiin LinkedInin kautta. Valtioiden uhkatoimijat kehittävät vakuuttavia LinkedIn-profiileja juuri ennen hyökkäyskampanjoidensa käynnistämistä. Nämä profiilit näyttävät laillisilta LinkedIn-käyttäjiltä, joilla on suosituksia ja satoja yhteyksiä. Kohteena on ollut johtajat, varatoimitusjohtajat sekä tutkimus- ja kehitystyöryhmät, mukaan lukien COVID-19-rokote- ja hoito-ohjelmien parissa työskentelevät.
Uhkatoimijat omaksuvat sujuvan bisnesterminologian, toimialan tuntemuksen, henkilökohtaisten viittausten ja väärennettyjen profiilien käytön tehdäkseen valaanpyyntihyökkäyksistä varovaisenkin silmän vaikeaksi tunnistaa. Vastustaja käyttää tarkasti kohdennettua sisältöä yhdistettynä useisiin muihin menetelmiin, joista johtajien, varatoimitusjohtajien ja tutkimus- ja kehitystiimien tulee olla tietoisia vähentääkseen mahdollisuuksiaan joutua valaanpyyntihyökkäyksen uhriksi. Viimeaikaiset valaanpyyntihyökkäykset ovat käyttäneet tavarantoimittajia tai kumppaneita luomaan uskottavalta vaikuttavaa valaanpyyntiviestintää.
analyysi:
Väärennetyt työtarjoukset: Tässä tiedotteessa kuvatut kansallisvaltion hyökkäykset ovat ainutlaatuisia siinä mielessä, että ne käyttävät ensin LinkedIniä hyökkäysvektorina, toisin kuin yleisin sähköpostin tietojenkalastelutaktiikka. Vastustaja toimittaa hyvin muotoiltuja työtarjouskirjeitä aavistamattomille, mutta kohdistetuille vastaanottajille, jotka saatetaan uskomaan, että tarjous on peräisin valtuutetulta kollegalta tarjouskirjeen toimittavan hyvin kehittyneen, vilpillisen LinkedIn-profiilin perusteella.
Muuta: LinkedInin lisäksi vastustaja käyttää WhatsAppia ja Skypeä lisämenetelminä kommunikoidakseen uhriensa kanssa. Kun ensimmäinen viestintä on muodostettu, vastustaja joko lähettää suoraan tai tarjoaa linkin Microsoft Word -asiakirjaan, joka sisältää haitallisia makroja. Vastustaja voi myös pyytää henkilökohtaisia tunnistetietoja (PII) hyödyntäen myöhemmin henkilökohtaisia tunnistetietoja identiteettipetoshyökkäyksissä ja muissa manipulointisuunnitelmissa. Vastustaja käyttää lisäksi kriittistä kieltä ja teemoja kiireellisyyteen vedotakseen luoden nopean, suojaamattoman prosessin henkilökohtaisten tunnistetietojen välittämiseen ja haitallisten asiakirjojen avaamiseen.
Suositukset:
Health-ISAC raportoi LinkedIn-valanpyynnistä aiemmin täällä (https://health-isac.cyware.com/) julkaistussa syyskuun kyberuhkatasolla, joka sisältää lisäohjeita ja koulutusta yleisistä viholliskampanjoista.
Jäsenorganisaatioiden tulee hyödyntää työkaluja, jotka tarjoavat näkyvyyttä valtuutetuille sosiaalisen median alustoille, mukaan lukien LinkedIn, ja niitä kannustetaan keskittymään sosiaalisen median tietojenkalastelukoulutukseen ja tietoisuuden lisäämiseen kaikille työntekijöille. Jos organisaatio mainostaa kumppaneita, kuten hyväntekeväisyysjärjestöjä, asianajotoimistoja tai korkeakouluja, heidän tulee olla tietoisia siitä, että he voivat saada LinkedIn-viestejä luottamuksellisiksi kumppaneiksi naamioituvilta haitallisilta toimijoilta. LinkedIn tarjoaa ohjeita huijausten tunnistamiseen ja niistä ilmoittamiseen täällä (https://www.linkedin.com/help/linkedin/answer/56325.)
- Älä hyväksy LinkedIn-yhteyspyyntöjä ihmisiltä, joita et tunne.
- Älä vastaa LinkedInin tai muiden sosiaalisen median tilien kautta vastaanotettuihin ei-toivottuihin viesteihin.
- Ole erittäin varovainen ei-toivottujen työtarjousten kanssa, koska niitä käytetään yhä enemmän vieheinä.
- Älä luovuta puhelinnumeroasi tuntemattomille tai vahvistamattomille osapuolille.
- Pidä sitä punaisena lippuna, kun sinua pyydetään vaihtamaan keskustelut muihin alustoihin, kuten WhatsAppiin tai Skypeen. Näillä alustoilla ei useinkaan ole yritysverkkojen ja sähköpostijärjestelmien tarjoamia suojauksia.
- Älä seuraa ohjeita napsauttamalla linkkejä tai ladataksesi tiedostoja tietokoneellesi.
- Ymmärrä, että huijarit käyttävät yleensä kiireellisyyttä taktiikkana saadakseen sinut avaamaan tiedostoja tai napsauttamaan linkkejä.
- Jos olet saanut tämän tai vastaavan pyynnön, vaikka käytät eri nimiä tai sidosryhmiä, lopeta! Älä jatka kommunikointia, ennen kuin voit itsenäisesti varmistaa, että kanssasi kommunikoiva henkilö on laillinen.
- Ilmoita kaikesta epäilyttävästä viestinnästä sähköpostitse, tekstiviestinä, sosiaalisessa mediassa, puhelimitse tai henkilökohtaisesti.
Lähteet:
LinkedIn-huijausten tunnistaminen ja niistä ilmoittaminen
CISO MAG – Operaatio North Star: Uusi tietojenkalastelukampanja, joka on naamioitu työpaikkailmoitukseksi
PDF – ClearSky Cyber Security – Operaatio 'Dream Job'
KnowB4 – Viikon huijaus: Massiivinen LinkedIn-roskaposti varastaa salasanoja
NK News – Pohjois-Koreaan sidoksissa olevat hakkerit väärentävät arvostettuja työpaikkailmoituksia kohdentaakseen uhreja
TLP:VALKOINEN: Tavallisten tekijänoikeussääntöjen mukaisesti TLP:WHITE-tietoja voidaan jakaa ilman rajoituksia.
Pääsy uuteen H-ISAC Intelligence -portaaliin: Paranna henkilökohtaista tiedonjakoyhteisöäsi parannetulla uhkien näkyvyydellä, uusilla ilmoituksilla ja tapahtumien jakamisella luotettavassa ympäristössä, joka toimitetaan sinulle sähköpostitse ja mobiilisovelluksissa.
Kysymyksiä tai kommentteja varten: Lähetä meille sähköpostia osoitteeseen contact@h-isac.org
- Aiheeseen liittyviä resursseja ja uutisia