Sahte LinkedIn Profilleri Aracılığıyla Ulus Devlet İşe Alımı

H-ISAC, üyelerinin son haftalarda yaşadığı gerçek olaylardan yola çıkarak Sağlık Sektörü ile paylaşmak amacıyla bu TLP Beyaz Uyarısını oluşturdu.

Pdf versiyonu:

Görünüm PDF

Metin versiyonu:

Tehdit Bültenleri 14 Ekim 2020, 11:00 AM

Health-ISAC üyeleri, LinkedIn'in ulus devlet düşmanları tarafından sosyal mühendislik saldırı vektörü olarak kullanılmasının artan sıklığını bildiriyor. Saldırılar daha karmaşık hale geliyor ve basit kimlik avı e-postalarından LinkedIn üzerinden balina avına kadar uzanıyor. Ulus devlet tehdit aktörleri, saldırı kampanyalarını başlatmadan hemen önce ikna edici LinkedIn profilleri geliştiriyor. Bu profiller, onaylar ve yüzlerce bağlantıyla birlikte meşru LinkedIn kullanıcıları olarak görünüyor. Yöneticiler, Başkan Yardımcıları ve Araştırma ve Geliştirme (Ar-Ge) ekipleri, COVID-19 aşısı ve terapi programları üzerinde çalışanlar da dahil olmak üzere hedef alındı.

Tehdit aktörleri, balina saldırılarını dikkatli bir gözün bile tespit etmesini zorlaştırmak için akıcı iş terminolojisi, sektör bilgisi, kişisel referanslar ve sahte profiller kullanır. Saldırgan, yöneticilerin, başkan yardımcılarının ve Ar-Ge ekiplerinin balina saldırısına kurban gitme şanslarını azaltmak için farkında olmaları gereken birkaç başka yöntemle birleştirilmiş oldukça hedefli içerik kullanır. Son balina saldırıları, güvenilir görünen balina iletişimleri oluşturmak için tedarikçilere veya ortaklara yönelik kullanılmıştır.

Analiz:

Sahte İş Teklifleri: Bu bültende özetlenen ulus devlet saldırıları, en çok gözlemlenen e-posta kimlik avı taktiğinin aksine, ilk olarak LinkedIn'i bir saldırı vektörü olarak kullanmaları bakımından benzersizdir. Saldırgan, teklif mektubunu ileten iyi geliştirilmiş sahte LinkedIn profiline dayanarak teklifin yetkili bir meslektaştan geldiğine inandırılan, şüphesiz ancak hedeflenen alıcılara iyi hazırlanmış iş teklif mektupları gönderir.

Diğer: LinkedIn'e ek olarak, saldırgan kurbanlarıyla iletişim kurmak için ek yöntemler olarak WhatsApp ve Skype'ı kullanıyor. İlk iletişim kurulduktan sonra, saldırgan kötü amaçlı makrolar içeren bir Microsoft Word belgesini doğrudan gönderiyor veya bir bağlantı sağlıyor. Saldırgan ayrıca kişisel olarak tanımlanabilir bilgiler (PII) talep edebilir, daha sonra PII'yi kimlik dolandırıcılığı saldırılarında ve daha fazla sosyal mühendislik planında kullanabilir. Saldırgan ayrıca aciliyeti çağrıştırmak için kritik dil ve temalar kullanıyor, PII'yi iletmek ve kötü amaçlı belgeleri açmak için hızlı, güvenli olmayan bir süreç yaratıyor.

Öneriler:

Health-ISAC daha önce burada (https://health-isac.cyware.com/) yayınlanan Eylül Siber Tehdit Seviyemizde LinkedIn balina avcılığı hakkında rapor vermiş ve yaygın düşman kampanyaları hakkında ek rehberlik ve eğitim içeren kaynaklar sunmuştu.

Üye kuruluşlar, LinkedIn dahil olmak üzere yetkili sosyal medya platformlarına görünürlük sağlayan araçlardan yararlanmalı ve tüm çalışanlar için sosyal medya kimlik avı eğitimi ve farkındalığına odaklanmaları teşvik edilmelidir. Bir kuruluş, hayır kurumları, hukuk firmaları veya akademik kurumlar gibi ortakları duyuruyorsa, bu güvenilir ortaklar gibi görünen kötü niyetli aktörlerden LinkedIn mesajları alabileceklerinin farkında olmalıdır. LinkedIn, dolandırıcılıkları tanıma ve bildirme konusunda burada rehberlik sağlar (https://www.linkedin.com/help/linkedin/answer/56325. )

• Tanımadığınız kişilerden gelen LinkedIn bağlantı isteklerini kabul etmeyin.
• LinkedIn veya diğer sosyal medya hesaplarınız üzerinden gelen istenmeyen mesajlara yanıt vermeyin.
• İstenmeyen iş tekliflerine karşı çok dikkatli olun, çünkü bunlar giderek daha fazla cazibe olarak kullanılıyor.
• Telefon numaranızı tanımadığınız veya doğrulanmamış kişilere vermeyin.
• WhatsApp veya Skype gibi diğer platformlara konuşmaları aktarmanız istendiğinde bunu bir kırmızı bayrak olarak düşünün. Bu platformlar genellikle kurumsal ağlar ve e-posta sistemleri tarafından sağlanan korumalara sahip değildir.
• Bilgisayarınıza bağlantılara tıklamak veya dosya indirmek için talimatları takip etmeyin.
• Dolandırıcıların, dosyaları açmanızı veya bağlantılara tıklamanızı sağlamak için genellikle aciliyet taktiğini kullandığını unutmayın.
• Eğer bu talebi veya benzerini aldıysanız, hatta farklı isimler veya şirket bağlantıları kullanarak bile, durun! Sizinle iletişime geçmek isteyen kişinin meşru olduğunu bağımsız olarak doğrulayana kadar iletişime daha fazla girmeyin.
• E-posta, kısa mesaj, sosyal medya, telefon görüşmesi veya şahsen gelen tüm şüpheli iletişimleri bildirin.

kaynaklar:

LinkedIn Dolandırıcılıklarını Tanıma ve Bildirme

CISO MAG – Kuzey Yıldızı Operasyonu: İş İlanı Kılığında Yeni Bir Kimlik Avı Kampanyası

PDF – ClearSky Siber Güvenlik – Operasyon 'Rüya İş'

KnowB4 – Haftanın Dolandırıcılığı: Büyük LinkedIn Spam'i Şifreleri Çalıyor

NK Haberleri – Kuzey Kore bağlantılı bilgisayar korsanları kurbanları hedef almak için prestijli iş ilanlarını sahteliyor

TLP:BEYAZ: Standart telif hakkı kurallarına tabi olarak, TLP:WHITE bilgileri kısıtlama olmaksızın dağıtılabilir.

Yeni H-ISAC İstihbarat Portalına erişim sağlayın: E-posta ve mobil uygulamalar aracılığıyla size sunulan güvenilir bir ortamda gelişmiş tehdit görünürlüğü, yeni bildirimler ve olay paylaşımı ile kişiselleştirilmiş bilgi paylaşım topluluğunuzu geliştirin.

Sorularınız veya Yorumlarınız İçin: Lütfen bize contact@h-isac.org adresinden e-posta gönderin.

• İlgili Kaynaklar ve Haberler