Reclutamento do estado nacional a través de perfís fraudulentos de LinkedIn
H-ISAC creou esta alerta TLP Branca para compartir co Sector Sanitario a partir de incidentes reais que os seus membros experimentaron nas últimas semanas.
Versión pdf:
Versión de texto:
Boletíns de ameazas 14 de outubro de 2020 ás 11:00 h
Os membros de Health-ISAC informan da maior frecuencia de que LinkedIn se aproveita como vector de ataque de enxeñería social por parte dos adversarios dos estados nacionais. Os ataques son cada vez máis sofisticados, pasando de correos electrónicos básicos de phishing á caza de baleas a través de LinkedIn. Os actores das ameazas nacionais están a desenvolver perfís convincentes de LinkedIn pouco antes de lanzar as súas campañas de ataque. Estes perfís aparecen como usuarios lexítimos de LinkedIn completos con avais e centos de conexións. Apuntáronse a executivos, vicepresidentes e equipos de investigación e desenvolvemento (I+D), incluídos os que traballan en programas de vacina e terapia contra a COVID-19.
Os actores da ameaza adoptan o uso de terminoloxía empresarial fluída, coñecementos sectoriais, referencias persoais e perfís falsificados para facer que os ataques de caza de baleas sexan difíciles de identificar ata para un ollo cauteloso. O adversario usa contido altamente dirixido combinado con outros métodos que os executivos, os vicepresidentes e os equipos de I+D deberían ter en conta para reducir as súas posibilidades de ser vítimas dun ataque da caza de baleas. Os recentes ataques de caza de baleas utilizáronse contra provedores ou socios para construír comunicacións de caza de baleas que parecen creíbles.
Análise:
Ofertas de emprego falsas: os ataques dos estados nacionais descritos neste boletín son únicos en que primeiro utilizan LinkedIn como un vector de ataque en oposición á táctica máis observada de phishing de correo electrónico. O adversario envía cartas de ofertas de traballo ben elaboradas a destinatarios pouco sospeitosos pero dirixidos aos que se lles fai crer que a oferta procede dun colega autorizado baseándose no perfil fraudulento de LinkedIn ben desenvolvido que entrega a carta de oferta.
Outros: ademais de LinkedIn, o adversario está a utilizar WhatsApp e Skype como métodos adicionais para comunicarse coas súas vítimas. Unha vez establecida a comunicación inicial, o adversario envía directamente ou proporciona unha ligazón a un documento de Microsoft Word que contén macros maliciosas. O adversario tamén pode solicitar información de identificación persoal (PII) para posteriormente usar a PII en ataques de fraude de identidade e outros esquemas de enxeñería social. Ademais, o adversario está a usar linguaxes e temas críticos para invocar a urxencia, creando un proceso rápido e non seguro para transmitir PII e abrir documentos maliciosos.
Recomendacións:
Health-ISAC informou anteriormente sobre a caza de baleas en LinkedIn no noso Nivel de ameaza cibernética de setembro publicado aquí (https://health-isac.cyware.com/), incluíndo recursos con orientación e formación adicionais sobre campañas adversas comúns.
As organizacións membros deben aproveitar as ferramentas que proporcionan visibilidade ás plataformas de redes sociais autorizadas, incluído LinkedIn, e recoméndase que se centren na formación e concienciación sobre phishing en redes sociais para todos os empregados. Se unha organización anuncia socios como entidades benéficas, despachos de avogados ou institucións académicas, debe ter en conta que poden recibir mensaxes de LinkedIn de actores maliciosos que se fan pasar por eses socios de confianza. LinkedIn ofrece guías para recoñecer e informar de estafas aquí (https://www.linkedin.com/help/linkedin/answer/56325. )
- Non aceptes solicitudes de conexión a LinkedIn de persoas que non coñeces.
- Non respondas a mensaxes non solicitadas recibidas a través de LinkedIn ou calquera outra conta de redes sociais.
- Teña moito coidado coas ofertas de traballo non solicitadas xa que cada vez se utilizan máis como señuelos.
- Non des o teu número de teléfono a persoas descoñecidas ou non verificadas.
- Considérao unha bandeira vermella cando se lle pida que cambies de conversa a outras plataformas como WhatsApp ou Skype. Estas plataformas moitas veces non teñen as proteccións proporcionadas polas redes corporativas e os sistemas de correo electrónico.
- Non siga as instrucións para facer clic nas ligazóns ou descargar ficheiros no seu PC.
- Recoñece que os defraudadores adoitan usar a urxencia como táctica para conseguir que abra ficheiros ou faga clic nas ligazóns.
- Se recibiches esta solicitude ou outra similar, aínda usando nomes ou filiacións empresariais diferentes, ¡detente! Non participes máis na comunicación ata que poidas verificar de forma independente que a persoa que quere interactuar contigo é lexítima.
- Informa de todas as comunicacións sospeitosas por correo electrónico, mensaxes de texto, redes sociais, chamadas telefónicas ou en persoa.
Fontes:
Recoñecemento e denuncia de estafas de LinkedIn
CISO MAG - Operación North Star: unha nova campaña de phishing disfrazada de anuncio de emprego
PDF – ClearSky Cyber Security – Operación "Traballo de soño"
KnowB4 - Estafa da semana: o spam masivo de LinkedIn rouba contrasinais
NK News - Os piratas informáticos vinculados a Corea do Norte simulan listas de traballos de prestixio para apuntar ás vítimas
TLP:BRANCO: Suxeito ás regras estándar de copyright, a información de TLP:WHITE pódese distribuír sen restricións.
Obtén acceso ao novo portal de intelixencia H-ISAC: Mellora a túa comunidade de intercambio de información personalizada cunha visibilidade de ameazas mellorada, novas notificacións e compartición de incidentes nun ambiente de confianza que che entrega por correo electrónico e aplicacións móbiles.
Para preguntas ou comentarios: Envíanos un correo electrónico a contact@h-isac.org
- Recursos e noticias relacionados