Ir para o conteúdo principal

Recrutamento de Estados-nação por meio de perfis fraudulentos do LinkedIn

O H-ISAC criou este alerta branco do TLP para compartilhar com o setor de saúde incidentes reais que seus membros vivenciaram nas últimas semanas.

Versão em PDF:

Versão de texto:

Boletins de Ameaças 14 de outubro de 2020, 11:00 AM

Os membros do Health-ISAC relatam o aumento da frequência do LinkedIn sendo alavancado como um vetor de ataque de engenharia social por adversários de estados-nações. Os ataques estão se tornando mais sofisticados, escalando de e-mails básicos de phishing para whaling via LinkedIn. Os agentes de ameaças de estados-nações estão desenvolvendo perfis convincentes do LinkedIn pouco antes de lançar suas campanhas de ataque. Esses perfis aparecem como usuários legítimos do LinkedIn completos com endossos e centenas de conexões. Executivos, VPs e equipes de Pesquisa e Desenvolvimento (P&D) foram alvos, incluindo aqueles que trabalham em programas de vacina e terapia para COVID-19.

Os agentes de ameaças adotam o uso de terminologia empresarial fluente, conhecimento do setor, referências pessoais e perfis falsos para tornar os ataques de whaling difíceis de identificar até mesmo para um olhar cauteloso. O adversário usa conteúdo altamente direcionado combinado com vários outros métodos que executivos, VPs e equipes de P&D devem estar cientes para reduzir suas chances de serem vítimas de um ataque de whaling. Ataques recentes de whaling têm sido usados ​​em fornecedores ou parceiros para construir comunicações de whaling que parecem confiáveis.

Análise:

Ofertas de emprego falsas: Os ataques de estados-nação descritos neste boletim são únicos porque eles primeiro fazem uso do LinkedIn como um vetor de ataque, em oposição à tática mais observada de phishing por e-mail. O adversário entrega cartas de oferta de emprego bem elaboradas para destinatários desavisados, mas direcionados, que são levados a acreditar que a oferta se origina de um colega autorizado com base no perfil fraudulento bem desenvolvido do LinkedIn que entrega a carta de oferta.

Outros: Além do LinkedIn, o adversário está utilizando o WhatsApp e o Skype como métodos adicionais para se comunicar com suas vítimas. Uma vez que a comunicação inicial é estabelecida, o adversário envia diretamente ou fornece um link para um documento do Microsoft Word que contém macros maliciosas. O adversário também pode solicitar informações de identificação pessoal (PII), posteriormente usando as PII em ataques de fraude de identidade e outros esquemas de engenharia social. O adversário também está usando linguagem e temas críticos para invocar urgência, criando um processo rápido e desprotegido para transmitir PII e abrir documentos maliciosos.

Recomendações:

O Health-ISAC relatou anteriormente sobre o whaling do LinkedIn em nosso Cyber ​​Threat Level de setembro publicado aqui (https://health-isac.cyware.com/), incluindo recursos com orientação e treinamento adicionais sobre campanhas de adversários comuns.

As organizações associadas devem aproveitar ferramentas que forneçam visibilidade em plataformas de mídia social autorizadas, incluindo o LinkedIn, e são incentivadas a se concentrar em treinamento e conscientização sobre phishing em mídia social para todos os funcionários. Se uma organização anunciar parceiros como instituições de caridade, escritórios de advocacia ou instituições acadêmicas, ela deve estar ciente de que pode receber mensagens do LinkedIn de atores maliciosos se passando por esses parceiros confiáveis. O LinkedIn fornece orientação para reconhecer e relatar golpes aqui (https://www.linkedin.com/help/linkedin/answer/56325. )

  • Não aceite solicitações de conexão no LinkedIn de pessoas que você não conhece.
  • Não responda a mensagens não solicitadas recebidas via LinkedIn ou qualquer outra conta de mídia social.
  • Tenha muito cuidado com ofertas de emprego não solicitadas, pois elas são cada vez mais usadas como iscas.
  • Não forneça seu número de telefone a pessoas desconhecidas ou não verificadas.
  • Considere isso um sinal de alerta quando for solicitado a mudar conversas para outras plataformas, como WhatsApp ou Skype. Essas plataformas geralmente não têm as proteções fornecidas por redes corporativas e sistemas de e-mail.
  • Não siga instruções para clicar em links ou baixar arquivos para seu PC.
  • Reconheça que os fraudadores geralmente usam a urgência como uma tática para fazer você abrir arquivos ou clicar em links.
  • Se você recebeu esta solicitação ou uma similar, mesmo usando nomes ou afiliações de empresas diferentes, pare! Não se envolva mais na comunicação até que você possa verificar de forma independente se a pessoa que busca se envolver com você é legítima.
  • Denuncie todas as comunicações suspeitas por e-mail, mensagem de texto, mídia social, telefonema ou pessoalmente.

Fontes:

Reconhecendo e denunciando golpes no LinkedIn

CISO MAG – Operação North Star: Uma nova campanha de phishing disfarçada de anúncio de emprego

PDF – ClearSky Cyber ​​Security – Operação 'Dream Job'

KnowB4 – Golpe da semana: spam massivo do LinkedIn rouba senhas

NK News – Hackers ligados à Coreia do Norte falsificam listas de empregos de prestígio para atingir vítimas

TLP:BRANCO: Sujeito às regras padrão de direitos autorais, as informações do TLP:WHITE podem ser distribuídas sem restrições.

 

Tenha acesso ao novo Portal de Inteligência H-ISAC: Melhore sua comunidade de compartilhamento de informações personalizadas com melhor visibilidade de ameaças, novas notificações e compartilhamento de incidentes em um ambiente confiável, entregue a você por e-mail e aplicativos móveis.

Para perguntas ou comentários: Por favor, envie um e-mail para contact@h-isac.org

  • Recursos e notícias relacionados
Este site está registrado no Toolset.com como um site de desenvolvimento.