Nacionalno državno zaposlovanje prek goljufivih profilov LinkedIn
H-ISAC je ustvaril to belo opozorilo TLP, da ga deli z zdravstvenim sektorjem na podlagi dejanskih incidentov, ki so jih njegovi člani doživeli v zadnjih tednih.
Različica PDF:
Besedilna različica:
Bilteni o grožnjah 14. oktober 2020 ob 11
Člani Health-ISAC poročajo o povečani pogostnosti uporabe LinkedIna kot vektorja napadov socialnega inženiringa s strani nasprotnikov nacionalnih držav. Napadi postajajo vse bolj prefinjeni in se stopnjujejo od preprostih lažnih e-poštnih sporočil do kitolova prek LinkedIna. Akterji groženj Nationstate razvijajo prepričljive profile LinkedIn tik pred začetkom svojih napadalnih kampanj. Ti profili so prikazani kot zakoniti uporabniki LinkedIna skupaj z zaznamki in stotinami povezav. Tarča so bili vodstveni delavci, podpredsedniki in skupine za raziskave in razvoj (R&R), vključno s tistimi, ki delajo na programih cepiva in terapije proti COVID-19.
Akterji groženj uporabljajo tekočo poslovno terminologijo, poznavanje sektorja, osebne reference in ponarejene profile, da napade kitolov težko prepoznajo še tako previdni očesi. Nasprotnik uporablja natančno ciljno usmerjeno vsebino v kombinaciji z več drugimi metodami, ki bi se jih morali zavedati vodstveni delavci, podpredsedniki in ekipe za raziskave in razvoj, da zmanjšajo svoje možnosti, da postanejo žrtev napada kitolovca. Nedavni kitolovski napadi so dobavitelje ali partnerje uporabili za ustvarjanje kitolovskih komunikacij, ki so videti verodostojne.
Analiza:
Lažne ponudbe za delo: Napadi nacionalne države, opisani v tem biltenu, so edinstveni po tem, da najprej uporabijo LinkedIn kot vektor napada v nasprotju z najbolj opaženo taktiko lažnega predstavljanja e-pošte. Nasprotnik dostavi dobro oblikovana pisma s ponudbo za delo nič hudega slutečim, vendar ciljno usmerjenim prejemnikom, ki so prepričani, da ponudbo izvira od pooblaščenega sodelavca na podlagi dobro razvitega goljufivega profila LinkedIn, ki dostavlja pismo s ponudbo.
Drugo: Poleg LinkedIna nasprotnik uporablja WhatsApp in Skype kot dodatni metodi za komunikacijo s svojimi žrtvami. Ko je vzpostavljena začetna komunikacija, nasprotnik neposredno pošlje ali zagotovi povezavo do dokumenta Microsoft Word, ki vsebuje zlonamerne makre. Nasprotnik lahko zahteva tudi podatke, ki omogočajo osebno identifikacijo (PII), pozneje pa te podatke uporabi v napadih goljufije z identiteto in nadaljnjih shemah socialnega inženiringa. Nasprotnik poleg tega uporablja kritičen jezik in teme, da prikliče nujnost, s čimer ustvari hiter, nezavarovan postopek za prenos PII in odpiranje zlonamernih dokumentov.
Priporočila:
Health-ISAC je že poročal o kitolovu LinkedIn v naši septembrski stopnji kibernetske grožnje, objavljeni tukaj (https://health-isac.cyware.com/), vključno z viri z dodatnimi navodili in usposabljanjem o pogostih nasprotniških kampanjah.
Organizacije članice bi morale izkoristiti orodja, ki zagotavljajo vidnost v pooblaščenih platformah družbenih medijev, vključno z LinkedInom, in se jih spodbuja, da se osredotočijo na usposabljanje za lažno predstavljanje v družbenih medijih in ozaveščanje vseh zaposlenih. Če organizacija oglašuje partnerje, kot so dobrodelne organizacije, odvetniške pisarne ali akademske ustanove, se morajo zavedati, da lahko prejmejo sporočila LinkedIn od zlonamernih akterjev, ki se predstavljajo kot ti zaupanja vredni partnerji. LinkedIn ponuja smernice za prepoznavanje in prijavo prevar tukaj (https://www.linkedin.com/help/linkedin/answer/56325. )
- Ne sprejemajte zahtev za povezavo LinkedIn od ljudi, ki jih ne poznate.
- Ne odgovarjajte na nezaželena sporočila, prejeta prek LinkedIna ali katerega koli drugega računa družbenih medijev.
- Bodite zelo previdni pri nezaželenih ponudbah za delo, saj jih vse pogosteje uporabljajo kot vabe.
- Ne dajte svoje telefonske številke neznanim ali nepreverjenim osebam.
- Če vas prosimo, da pogovore preklopite na druge platforme, kot sta WhatsApp ali Skype, upoštevajte to kot rdečo zastavo. Te platforme pogosto nimajo zaščite, ki jo zagotavljajo poslovna omrežja in e-poštni sistemi.
- Ne sledite navodilom za klikanje povezav ali prenos datotek v računalnik.
- Zavedajte se, da goljufi običajno uporabljajo nujnost kot taktiko, da vas pripravijo do odpiranja datotek ali klikanja povezav.
- Če ste prejeli to zahtevo ali podobno, tudi z uporabo različnih imen ali pripadnosti podjetju, prenehajte! Ne sodelujte v komunikaciji, dokler ne morete neodvisno preveriti, ali je oseba, ki želi sodelovati z vami, zakonita.
- Prijavite vso sumljivo komunikacijo po e-pošti, besedilnih sporočilih, družbenih medijih, telefonskem klicu ali osebno.
Viri:
Prepoznavanje in prijava LinkedIn prevar
CISO MAG – Operacija Severna zvezda: Nova kampanja lažnega predstavljanja, preoblečena v objavo zaposlitve
PDF – Kibernetska varnost ClearSky – Operacija »Sanjska služba«
KnowB4 – Prevara tedna: množična neželena pošta LinkedIn ukrade gesla
NK News – Hekerji, povezani s Severno Korejo, ponarejajo sezname prestižnih delovnih mest, da ciljajo na žrtve
TLP: BELA: V skladu s standardnimi pravili o avtorskih pravicah se lahko informacije TLP:WHITE distribuirajo brez omejitev.
Pridobite dostop do novega obveščevalnega portala H-ISAC: Izboljšajte svojo prilagojeno skupnost za izmenjavo informacij z izboljšano vidnostjo groženj, novimi obvestili in deljenjem incidentov v zaupanja vrednem okolju, ki vam je dostavljeno prek e-pošte in mobilnih aplikacij.
Za vprašanja ali komentarje: Pišite nam na contact@h-isac.org
- Sorodni viri in novice