Rekrutacja do państw narodowych za pośrednictwem fałszywych profili LinkedIn
Stowarzyszenie H-ISAC stworzyło ten Biały Alert TLP, aby podzielić się z sektorem opieki zdrowotnej informacjami o rzeczywistych incydentach, których doświadczyli jego członkowie w ostatnich tygodniach.
Wersja PDF:
Wersja tekstowa:
Biuletyny zagrożeń 14 paź 2020, 11:00 AM
Członkowie Health-ISAC zgłaszają zwiększoną częstotliwość wykorzystywania LinkedIn jako wektora ataków socjotechnicznych przez przeciwników państw narodowych. Ataki stają się coraz bardziej wyrafinowane, eskalując od podstawowych wiadomości phishingowych do whalingu za pośrednictwem LinkedIn. Aktorzy zagrożeń państw narodowych opracowują przekonujące profile LinkedIn na krótko przed uruchomieniem swoich kampanii ataków. Profile te pojawiają się jako prawdziwi użytkownicy LinkedIn z rekomendacjami i setkami połączeń. Kierownicy, wiceprezesi i zespoły ds. badań i rozwoju (R&D) byli celem ataków, w tym ci pracujący nad programami szczepionek i terapii COVID-19.
Aktorzy zagrożeń stosują płynną terminologię biznesową, wiedzę sektorową, odniesienia osobiste i fałszywe profile, aby ataki wielorybnicze były trudne do zidentyfikowania nawet dla ostrożnego oka. Przeciwnik używa wysoce ukierunkowanych treści w połączeniu z kilkoma innymi metodami, o których powinni wiedzieć dyrektorzy, wiceprezesi i zespoły badawczo-rozwojowe, aby zmniejszyć swoje szanse na padnięcie ofiarą ataku wielorybniczego. Ostatnie ataki wielorybnicze były wykorzystywane na dostawców lub partnerów w celu konstruowania komunikatów wielorybniczych, które wydają się wiarygodne.
Analiza:
Fałszywe oferty pracy: Ataki państw narodowych opisane w tym biuletynie są wyjątkowe, ponieważ najpierw wykorzystują LinkedIn jako wektor ataku, w przeciwieństwie do najczęściej obserwowanej taktyki phishingu e-mailowego. Przeciwnik dostarcza dobrze opracowane listy z ofertami pracy niczego niepodejrzewającym, ale ukierunkowanym odbiorcom, którzy są przekonani, że oferta pochodzi od upoważnionego współpracownika, na podstawie dobrze rozwiniętego oszukańczego profilu LinkedIn dostarczającego list z ofertą.
Inne: Oprócz LinkedIn, przeciwnik wykorzystuje WhatsApp i Skype jako dodatkowe metody komunikacji ze swoimi ofiarami. Po nawiązaniu wstępnej komunikacji, przeciwnik albo wysyła bezpośrednio, albo udostępnia łącze do dokumentu Microsoft Word, który zawiera złośliwe makra. Przeciwnik może również zażądać danych osobowych (PII), a następnie wykorzystać je w atakach oszustw tożsamościowych i dalszych schematach socjotechnicznych. Przeciwnik dodatkowo używa krytycznego języka i motywów, aby wywołać pilność, tworząc szybki, niezabezpieczony proces przesyłania PII i otwierania złośliwych dokumentów.
zalecenia:
Organizacja Health-ISAC informowała już wcześniej o atakach na LinkedIn w naszym raporcie Cyber Threat Level z września, opublikowanym tutaj (https://health-isac.cyware.com/), zawierającym zasoby z dodatkowymi wskazówkami i szkoleniami na temat typowych kampanii przeciwników.
Organizacje członkowskie powinny wykorzystywać narzędzia zapewniające widoczność autoryzowanych platform mediów społecznościowych, w tym LinkedIn, i są zachęcane do skupienia się na szkoleniach i świadomości phishingu w mediach społecznościowych dla wszystkich pracowników. Jeśli organizacja reklamuje partnerów, takich jak organizacje charytatywne, kancelarie prawne lub instytucje akademickie, powinna być świadoma, że może otrzymywać wiadomości LinkedIn od złośliwych aktorów podszywających się pod tych zaufanych partnerów. LinkedIn zapewnia wskazówki dotyczące rozpoznawania i zgłaszania oszustw tutaj (https://www.linkedin.com/help/linkedin/answer/56325. )
- Nie akceptuj próśb o nawiązanie kontaktu na LinkedIn od osób, których nie znasz.
- Nie odpowiadaj na niezamówione wiadomości otrzymywane za pośrednictwem serwisu LinkedIn ani innych kont mediów społecznościowych.
- Bądź bardzo ostrożny z niechcianymi ofertami pracy, ponieważ coraz częściej stają się one przynętą.
- Nie podawaj swojego numeru telefonu osobom nieznanym lub niezweryfikowanym.
- Rozważ to jako czerwoną flagę, gdy zostaniesz poproszony o przełączenie rozmów na inne platformy, takie jak WhatsApp lub Skype. Te platformy często nie mają zabezpieczeń zapewnianych przez sieci korporacyjne i systemy poczty e-mail.
- Nie postępuj zgodnie z instrukcjami dotyczącymi klikania linków lub pobierania plików na swój komputer.
- Pamiętaj, że oszuści często stosują taktykę wywoływania u Ciebie reakcji, aby skłonić Cię do otwarcia plików lub kliknięcia linków.
- Jeśli otrzymałeś tę prośbę lub podobną, nawet używając innych nazw lub powiązań firmowych, przestań! Nie angażuj się w dalszą komunikację, dopóki nie będziesz w stanie niezależnie zweryfikować, czy osoba, która chce się z Tobą skontaktować, jest legalna.
- Zgłaszaj wszelkie podejrzane komunikaty za pośrednictwem poczty elektronicznej, wiadomości tekstowej, mediów społecznościowych, rozmowy telefonicznej lub osobiście.
Źródła:
Rozpoznawanie i zgłaszanie oszustw na LinkedIn
CISO MAG – Operation North Star: Nowa kampania phishingowa podszywająca się pod ogłoszenie o pracę
PDF – ClearSky Cyber Security – Operacja „Praca marzeń”
KnowB4 – Oszustwo tygodnia: Ogromny spam LinkedIn kradnie hasła
NK News – Hakerzy powiązani z Koreą Północną fałszują prestiżowe oferty pracy, aby atakować ofiary
TLP:BIAŁY: Zgodnie ze standardowymi zasadami dotyczącymi praw autorskich, informacje TLP:WHITE można rozpowszechniać bez ograniczeń.
Uzyskaj dostęp do nowego portalu wywiadowczego H-ISAC: Rozszerz swoją spersonalizowaną społeczność udostępniającą informacje o lepszą widoczność zagrożeń, nowe powiadomienia i udostępnianie informacji o incydentach w zaufanym środowisku dostarczanym do Ciebie za pośrednictwem poczty e-mail i aplikacji mobilnych.
W przypadku pytań lub uwag: Prosimy o kontakt mailowy na adres contact@h-isac.org
- Powiązane zasoby i wiadomości