Ga naar hoofdinhoud

Rekrutering door de natiestaat via frauduleuze LinkedIn-profielen

H-ISAC heeft deze TLP White Alert opgesteld om de gezondheidszorgsector te informeren over incidenten die haar leden de afgelopen weken hebben meegemaakt.

Pdf-versie:

Tekst versie:

Bedreigingsbulletins 14 okt. 2020, 11:00 uur

Leden van Health-ISAC melden dat LinkedIn vaker wordt gebruikt als een social engineering-aanvalsvector door tegenstanders van de nation state. Aanvallen worden steeds geavanceerder en escaleren van eenvoudige phishing-e-mails tot whaling via LinkedIn. Crisisactoren van de nation state ontwikkelen overtuigende LinkedIn-profielen kort voordat ze hun aanvalscampagnes starten. Deze profielen verschijnen als legitieme LinkedIn-gebruikers, compleet met aanbevelingen en honderden connecties. Directeuren, VP's en Research and Development (R&D)-teams zijn het doelwit geweest, inclusief degenen die werken aan COVID-19-vaccin- en therapieprogramma's.

De dreigingsactoren maken gebruik van vloeiende zakelijke terminologie, sectorkennis, persoonlijke referenties en vervalste profielen om whaling-aanvallen zelfs voor een voorzichtig oog moeilijk te identificeren te maken. De tegenstander gebruikt zeer gerichte content in combinatie met verschillende andere methoden waar leidinggevenden, VP's en R&D-teams zich bewust van moeten zijn om hun kans te verkleinen om slachtoffer te worden van een whaling-aanval. Recente whaling-aanvallen zijn gebruikt op leveranciers of partners om whaling-communicatie te construeren die geloofwaardig lijkt.

Analyse:

Nep-vacatures: De aanvallen van natiestaten die in dit bulletin worden beschreven, zijn uniek omdat ze eerst LinkedIn gebruiken als aanvalsvector, in tegenstelling tot de meest waargenomen tactiek van e-mailphishing. De tegenstander stuurt goed opgestelde vacaturebrieven naar nietsvermoedende maar gerichte ontvangers die worden wijsgemaakt dat de aanbieding afkomstig is van een geautoriseerde collega op basis van het goed ontwikkelde frauduleuze LinkedIn-profiel dat de aanbiedingsbrief levert.

Overig: Naast LinkedIn gebruikt de tegenstander WhatsApp en Skype als aanvullende methoden om met hun slachtoffers te communiceren. Zodra de eerste communicatie tot stand is gebracht, stuurt de tegenstander direct of biedt een link naar een Microsoft Word-document dat schadelijke macro's bevat. De tegenstander kan ook persoonlijk identificeerbare informatie (PII) opvragen en deze later gebruiken in identiteitsfraude-aanvallen en verdere social engineering-schema's. De tegenstander gebruikt daarnaast kritische taal en thema's om urgentie op te roepen, waardoor een snel, onveilig proces ontstaat om PII te verzenden en schadelijke documenten te openen.

aanbevelingen:

Health-ISAC heeft eerder al over LinkedIn-whaling gerapporteerd in ons Cyber ​​Threat Level van september, dat hier (https://health-isac.cyware.com/) is gepubliceerd. Het rapport bevat ook bronnen met aanvullende richtlijnen en trainingen over veelvoorkomende vijandige campagnes.

Lidorganisaties moeten gebruikmaken van tools die inzicht bieden in geautoriseerde socialemediaplatforms, waaronder LinkedIn, en worden aangemoedigd om zich te richten op training en bewustwording over phishing op sociale media voor alle werknemers. Als een organisatie partners zoals liefdadigheidsinstellingen, advocatenkantoren of academische instellingen adverteert, moeten ze zich ervan bewust zijn dat ze LinkedIn-berichten kunnen ontvangen van kwaadwillende actoren die zich voordoen als die vertrouwde partners. LinkedIn biedt hier richtlijnen voor het herkennen en melden van oplichting (https://www.linkedin.com/help/linkedin/answer/56325.)

  • Accepteer geen connectieverzoeken op LinkedIn van mensen die u niet kent.
  • Reageer niet op ongevraagde berichten die u via LinkedIn of andere sociale media-accounts ontvangt.
  • Wees voorzichtig met ongevraagde vacatures, want deze worden steeds vaker als lokaas gebruikt.
  • Geef uw telefoonnummer nooit aan onbekende of ongeverifieerde partijen.
  • Beschouw het als een rode vlag wanneer u wordt gevraagd om gesprekken over te schakelen naar andere platforms zoals WhatsApp of Skype. Deze platforms hebben vaak niet de bescherming die bedrijfsnetwerken en e-mailsystemen bieden.
  • Volg geen instructies om op links te klikken of bestanden naar uw pc te downloaden.
  • Houd er rekening mee dat fraudeurs vaak gebruikmaken van urgentie om u ertoe te bewegen bestanden te openen of op links te klikken.
  • Als u dit verzoek of een soortgelijk verzoek hebt ontvangen, zelfs met verschillende namen of bedrijfsrelaties, stop dan! Ga niet verder met de communicatie totdat u onafhankelijk kunt verifiëren dat de persoon die contact met u wil opnemen, legitiem is.
  • Meld alle verdachte communicatie via e-mail, sms, sociale media, telefoon of persoonlijk.

Bronnen:

LinkedIn-fraude herkennen en melden

CISO MAG – Operatie North Star: een nieuwe phishingcampagne vermomd als vacature

PDF – ClearSky Cyber ​​Security – Operatie 'Droombaan'

KnowB4 – Oplichting van de week: enorme LinkedIn-spam steelt wachtwoorden

NK News – Hackers met banden met Noord-Korea vervalsen prestigieuze vacatures om slachtoffers te targeten

TLP:WIT: Onder voorbehoud van de standaardauteursrechtregels mag TLP:WHITE-informatie zonder beperking worden verspreid.

 

Krijg toegang tot de nieuwe H-ISAC Intelligence Portal: Vergroot uw gepersonaliseerde community voor het delen van informatie met beter inzicht in bedreigingen, nieuwe meldingen en het delen van incidenten in een vertrouwde omgeving die u via e-mail en mobiele apps ontvangt.

Voor vragen of opmerkingen: Stuur ons een e-mail op contact@h-isac.org

  • Gerelateerde bronnen en nieuws
Deze site is geregistreerd op Toolset.com als een ontwikkelingssite.