Nationsstatsrekrytering via bedrägliga LinkedIn-profiler

H-ISAC skapade denna TLP White-varning för att dela med sjukvårdssektorn från faktiska incidenter som dess medlemmar har upplevt de senaste veckorna.

Pdf-version:

Visa PDF

Textversion:

Hotbulletiner 14 oktober 2020, 11:00

Health-ISAC-medlemmar rapporterar den ökade frekvensen av LinkedIn som utnyttjas som en social ingenjörsattackvektor av nationsstatliga motståndare. Attackerna blir mer sofistikerade och eskalerar från vanliga nätfiske-e-postmeddelanden till valfångst via LinkedIn. Nationella hotaktörer utvecklar övertygande LinkedIn-profiler kort innan de lanserar sina attackkampanjer. Dessa profiler visas som legitima LinkedIn-användare kompletta med rekommendationer och hundratals kopplingar. Chefer, VP:er och forsknings- och utvecklingsteam (FoU) har riktats in sig på, inklusive de som arbetar med covid-19-vaccin och terapiprogram.

Hotaktörerna använder sig av flytande affärsterminologi, branschkunskap, personliga referenser och falska profiler för att göra valfångsattacker svåra att identifiera även för ett försiktigt öga. Motståndaren använder mycket riktat innehåll i kombination med flera andra metoder som chefer, VPs och FoU-team bör vara medvetna om för att minska sina chanser att falla offer för en valfångsattack. Nya valfångsattacker har använts mot leverantörer eller partners för att skapa valfångstkommunikation som verkar trovärdig.

Analys:

Falska jobberbjudanden: Nationalstatsattackerna som beskrivs i denna bulletin är unika genom att de först använder LinkedIn som en attackvektor i motsats till den mest observerade taktiken med e-postnätfiske. Motståndaren levererar välgjorda jobberbjudandebrev till intet ont anande men riktade mottagare som får tro att erbjudandet kommer från en auktoriserad kollega baserat på den välutvecklade, bedrägliga LinkedIn-profilen som levererar erbjudandebrevet.

Annat: Förutom LinkedIn använder motståndaren WhatsApp och Skype som ytterligare metoder för att kommunicera med sina offer. När den första kommunikationen är etablerad skickar motståndaren antingen direkt eller ger en länk till ett Microsoft Word-dokument som innehåller skadliga makron. Motståndaren kan också begära personligt identifierbar information (PII), senare använda PII i identitetsbedrägeriattacker och ytterligare sociala ingenjörskoncept. Motståndaren använder dessutom kritiska språk och teman för att åberopa brådskande, vilket skapar en snabb, osäkrad process för att överföra PII och öppna skadliga dokument.

Rekommendationer:

Health-ISAC rapporterade tidigare om LinkedIn-valfångst i vår Cyber ​​Threat Level i september publicerad här (https://health-isac.cyware.com/) inklusive resurser med ytterligare vägledning och utbildning om vanliga motståndarkampanjer.

Medlemsorganisationer bör utnyttja verktyg som ger insyn i auktoriserade sociala medieplattformar, inklusive LinkedIn och uppmuntras att fokusera på utbildning och medvetenhet om nätfiske i sociala medier för alla anställda. Om en organisation annonserar för partners som välgörenhetsorganisationer, advokatbyråer eller akademiska institutioner bör de vara medvetna om att de kan få LinkedIn-meddelanden från illvilliga aktörer som utger sig för att vara dessa betrodda partner. LinkedIn ger vägledning för att känna igen och rapportera bedrägerier här (https://www.linkedin.com/help/linkedin/answer/56325.)

• Acceptera inte anslutningsförfrågningar på LinkedIn från personer du inte känner.
• Svara inte på oönskade meddelanden som tas emot via LinkedIn eller andra konton i sociala medier.
• Var mycket försiktig med oönskade jobberbjudanden eftersom de i allt högre grad används som beten.
• Ge inte ut ditt telefonnummer till okända eller overifierade parter.
• Se det som en röd flagga när du blir ombedd att byta konversationer till andra plattformar som WhatsApp eller Skype. Dessa plattformar har ofta inte det skydd som tillhandahålls av företagsnätverk och e-postsystem.
• Följ inte instruktionerna för att klicka på länkar eller ladda ner filer till din PC.
• Inse att bedragare vanligtvis använder brådskande taktik för att få dig att öppna filer eller klicka på länkar.
• Om du har fått denna förfrågan eller en liknande, även med andra namn eller företagstillhörighet, sluta! Engagera dig inte i kommunikationen ytterligare förrän du självständigt kan verifiera att personen som vill engagera sig med dig är legitim.
• Rapportera all misstänkt kommunikation via e-post, sms, sociala medier, telefonsamtal eller personligen.

Källor:

Identifiera och rapportera LinkedIn-bedrägerier

CISO MAG – Operation North Star: A New Phishing Campaign disguised as job posting

PDF – ClearSky Cyber ​​Security – Operation 'Drömjobb'

KnowB4 – Veckans bluff: Massiv LinkedIn-skräp stjäl lösenord

NK News – Nordkorea-länkade hackare falska prestigefyllda jobbannonser för att rikta offren

TLP:WHITE: Med förbehåll för vanliga upphovsrättsregler kan TLP:WHITE-information distribueras utan begränsningar.

Få tillgång till den nya H-ISAC Intelligence Portal: Förbättra din personliga informationsdelningsgemenskap med förbättrad synlighet av hot, nya meddelanden och incidentdelning i en pålitlig miljö som levereras till dig via e-post och mobilappar.

För frågor eller kommentarer: Vänligen maila oss på contact@h-isac.org

• Relaterade resurser och nyheter