L'État-nation recrute via des profils LinkedIn frauduleux
H-ISAC a créé cette alerte TLP White pour partager avec le secteur de la santé les incidents réels que ses membres ont vécus ces dernières semaines.
Version PDF:
Version texte:
Bulletins de menaces 14 octobre 2020, 11h00
Les membres de Health-ISAC signalent que LinkedIn est de plus en plus utilisé comme vecteur d’attaque d’ingénierie sociale par des adversaires étatiques. Les attaques deviennent de plus en plus sophistiquées, passant des simples e-mails de phishing au whaling via LinkedIn. Les acteurs de la menace étatique développent des profils LinkedIn convaincants peu de temps avant de lancer leurs campagnes d’attaque. Ces profils apparaissent comme des utilisateurs légitimes de LinkedIn, avec des recommandations et des centaines de connexions. Des cadres, des vice-présidents et des équipes de recherche et développement (R&D) ont été ciblés, y compris ceux qui travaillent sur des programmes de vaccins et de thérapies contre la COVID-19.
Les auteurs de menaces utilisent une terminologie commerciale courante, des connaissances sectorielles, des références personnelles et des profils usurpés pour rendre les attaques de whaling difficiles à identifier, même pour un œil prudent. L'adversaire utilise un contenu très ciblé combiné à plusieurs autres méthodes que les dirigeants, les vice-présidents et les équipes de R&D doivent connaître pour réduire leurs risques d'être victimes d'une attaque de whaling. Les attaques de whaling récentes ont été utilisées contre des fournisseurs ou des partenaires pour construire des communications de whaling qui semblent crédibles.
Analyse:
Fausses offres d'emploi : les attaques d'États-nations décrites dans ce bulletin sont uniques en ce sens qu'elles utilisent d'abord LinkedIn comme vecteur d'attaque, contrairement à la tactique la plus observée de phishing par courrier électronique. L'adversaire envoie des lettres d'offre d'emploi bien rédigées à des destinataires peu méfiants mais ciblés, qui sont amenés à croire que l'offre provient d'un collègue autorisé en se basant sur le profil LinkedIn frauduleux bien développé qui transmet la lettre d'offre.
Autres : En plus de LinkedIn, l'adversaire utilise WhatsApp et Skype comme méthodes supplémentaires pour communiquer avec ses victimes. Une fois la communication initiale établie, l'adversaire envoie directement ou fournit un lien vers un document Microsoft Word contenant des macros malveillantes. L'adversaire peut également demander des informations personnelles identifiables (PII), puis les utiliser dans des attaques de fraude à l'identité et d'autres stratagèmes d'ingénierie sociale. L'adversaire utilise également un langage et des thèmes critiques pour invoquer l'urgence, créant ainsi un processus rapide et non sécurisé pour transmettre des PII et ouvrir des documents malveillants.
Nos recommandations:
Health-ISAC a précédemment fait état du whaling sur LinkedIn dans notre niveau de cybermenace de septembre publié ici (https://health-isac.cyware.com/), y compris des ressources avec des conseils et une formation supplémentaires sur les campagnes d'adversaires courants.
Les organisations membres doivent exploiter des outils qui offrent une visibilité sur les plateformes de médias sociaux autorisées, notamment LinkedIn, et sont encouragées à se concentrer sur la formation et la sensibilisation au phishing sur les médias sociaux pour tous les employés. Si une organisation fait la promotion de partenaires tels que des organismes de bienfaisance, des cabinets d'avocats ou des institutions universitaires, elle doit savoir qu'elle peut recevoir des messages LinkedIn d'acteurs malveillants se faisant passer pour ces partenaires de confiance. LinkedIn fournit des conseils pour reconnaître et signaler les escroqueries ici (https://www.linkedin.com/help/linkedin/answer/56325. )
- N'acceptez pas les demandes de connexion LinkedIn provenant de personnes que vous ne connaissez pas.
- Ne répondez pas aux messages non sollicités reçus via LinkedIn ou tout autre compte de médias sociaux.
- Soyez très prudent avec les offres d’emploi non sollicitées, car elles sont de plus en plus utilisées comme leurres.
- Ne donnez pas votre numéro de téléphone à des personnes inconnues ou non vérifiées.
- Considérez cela comme un signal d'alarme lorsque l'on vous demande de transférer vos conversations vers d'autres plateformes telles que WhatsApp ou Skype. Ces plateformes ne disposent souvent pas des protections fournies par les réseaux d'entreprise et les systèmes de messagerie.
- Ne suivez pas les instructions pour cliquer sur des liens ou télécharger des fichiers sur votre PC.
- Sachez que les fraudeurs utilisent généralement l’urgence comme tactique pour vous inciter à ouvrir des fichiers ou à cliquer sur des liens.
- Si vous avez reçu cette demande ou une demande similaire, même sous des noms ou des affiliations d'entreprise différents, arrêtez ! Ne poursuivez pas la communication jusqu'à ce que vous puissiez vérifier de manière indépendante que la personne qui cherche à s'engager avec vous est légitime.
- Signalez toutes les communications suspectes par courrier électronique, SMS, réseaux sociaux, appel téléphonique ou en personne.
Sources:
Reconnaître et signaler les escroqueries sur LinkedIn
CISO MAG – Opération North Star : une nouvelle campagne de phishing déguisée en offre d’emploi
PDF – ClearSky Cyber Security – Opération « Dream Job »
KnowB4 – Arnaque de la semaine : un spam massif sur LinkedIn vole des mots de passe
NK News – Des pirates informatiques liés à la Corée du Nord falsifient des offres d’emploi prestigieuses pour cibler leurs victimes
TLP:BLANC: Sous réserve des règles standard du droit d'auteur, les informations TLP:WHITE peuvent être distribuées sans restriction.
Accédez au nouveau portail de renseignement H-ISAC : Améliorez votre communauté de partage d'informations personnalisées avec une meilleure visibilité des menaces, de nouvelles notifications et le partage des incidents dans un environnement de confiance qui vous est fourni par e-mail et applications mobiles.
Pour des questions ou des commentaires : Veuillez nous envoyer un email à contact@h-isac.org
- Ressources et actualités connexes