Рекрутинг національних штатів через шахрайські профілі LinkedIn
H-ISAC створив це біле сповіщення TLP, щоб поділитися з сектором охорони здоров’я реальними інцидентами, з якими його члени зіткнулися за останні тижні.
Версія PDF:
Текстова версія:
Бюлетені загроз 14 жовтня 2020 р., 11:00
Члени Health-ISAC повідомляють про збільшення частоти використання LinkedIn як вектора соціальної інженерної атаки противниками національних держав. Атаки стають все більш витонченими, починаючи від звичайних фішингових електронних листів і закінчуючи китобійним шляхом через LinkedIn. Загрозливі суб'єкти Nationstate розробляють переконливі профілі LinkedIn незадовго до того, як розпочнуть свої атаки. Ці профілі відображаються як законні користувачі LinkedIn разом із підтвердженнями та сотнями зв’язків. Під мішенню потрапили керівники, віце-президенти та команди досліджень і розробок (R&D), включно з тими, хто працює над програмами вакцини та терапії проти COVID-19.
Зловмисники використовують вільну бізнес-термінологію, знання галузі, особисті посилання та підроблені профілі, щоб ускладнити ідентифікацію китобійних атак навіть уважному оку. Зловмисник використовує чітко націлений вміст у поєднанні з кількома іншими методами, про які слід знати керівникам, віце-президентам і командам дослідників і розробників, щоб зменшити свої шанси стати жертвою китобійної атаки. Нещодавні напади на китобійних промислів використовувалися для постачальників або партнерів, щоб побудувати комунікації про китобійний промисел, які виглядають надійними.
Аналіз:
Фальшиві пропозиції про роботу: атаки національних держав, описані в цьому бюлетені, унікальні тим, що вони спочатку використовують LinkedIn як вектор атаки, на відміну від найбільш поширеної тактики фішингу електронної пошти. Противник доставляє добре складені листи з пропозиціями про роботу нічого не підозрюючим, але цільовим одержувачам, яких змушують повірити, що пропозиція походить від уповноваженого колеги на основі добре розробленого шахрайського профілю LinkedIn, який доставляє лист із пропозицією.
Інше: окрім LinkedIn, зловмисник використовує WhatsApp і Skype як додаткові методи спілкування зі своїми жертвами. Після встановлення початкового зв’язку зловмисник або безпосередньо надсилає, або надає посилання на документ Microsoft Word, який містить шкідливі макроси. Зловмисник також може вимагати ідентифікаційну інформацію (PII), згодом використовуючи цю інформацію для шахрайських атак і подальших схем соціальної інженерії. Крім того, зловмисник використовує критичні формулювання та теми, щоб викликати терміновість, створюючи швидкий незахищений процес для передачі ідентифікаційної інформації та відкриття шкідливих документів.
Рекомендації:
Раніше Health-ISAC повідомляв про китобійний промисел LinkedIn у нашому вересневому рівні кіберзагрози, опублікованому тут (https://health-isac.cyware.com/), включно з ресурсами з додатковими вказівками та навчанням щодо поширених ворожих кампаній.
Організації-члени повинні використовувати інструменти, які забезпечують видимість авторизованих платформ соціальних медіа, включаючи LinkedIn, і заохочуються зосередитися на тренінгах щодо фішингу в соціальних мережах та обізнаності для всіх співробітників. Якщо організація рекламує таких партнерів, як благодійні організації, юридичні фірми чи наукові установи, вони повинні знати, що вони можуть отримувати повідомлення LinkedIn від зловмисників, які маскуються під цих надійних партнерів. LinkedIn надає вказівки щодо розпізнавання шахрайства та повідомлення про нього тут (https://www.linkedin.com/help/linkedin/answer/56325. )
- Не приймайте запити на підключення до LinkedIn від людей, яких ви не знаєте.
- Не відповідайте на небажані повідомлення, отримані через LinkedIn або будь-які інші облікові записи соціальних мереж.
- Будьте дуже обережні з небажаними пропозиціями роботи, оскільки їх все частіше використовують як приманку.
- Не повідомляйте свій номер телефону невідомим або неперевіреним особам.
- Вважайте це червоним прапорцем, коли вас попросять переключити розмови на інші платформи, такі як WhatsApp або Skype. Ці платформи часто не мають захисту, який забезпечують корпоративні мережі та системи електронної пошти.
- Не дотримуйтеся вказівок, щоб натискати посилання або завантажувати файли на свій ПК.
- Визнайте, що шахраї зазвичай використовують терміновість як тактику, щоб змусити вас відкрити файли або натиснути посилання.
- Якщо ви отримали цей або подібний запит, навіть з використанням інших імен або приналежності до компанії, зупиніться! Не вступайте в спілкування далі, доки не зможете незалежно перевірити, що особа, яка хоче з вами спілкуватися, законна.
- Повідомляйте про всі підозрілі повідомлення електронною поштою, текстовими повідомленнями, соціальними мережами, телефонним дзвінком або особисто.
джерела:
Розпізнавання та повідомлення про шахрайство LinkedIn
CISO MAG – Операція Північна зірка: нова фішингова кампанія, замаскована під оголошення про роботу
PDF – ClearSky Cyber Security – Операція «Робота мрії»
KnowB4 – шахрайство тижня: Масовий спам LinkedIn краде паролі
NK News – Пов’язані з Північною Кореєю хакери підробляють оголошення про престижні вакансії, щоб націлитися на жертв
TLP:БІЛИЙ: Відповідно до стандартних правил авторського права інформація TLP:WHITE може поширюватися без обмежень.
Отримайте доступ до нового розвідувального порталу H-ISAC: Розширте свою персоналізовану спільноту для обміну інформацією за допомогою покращеної видимості загроз, нових сповіщень і обміну інформацією про інциденти в надійному середовищі, яке надсилається вам електронною поштою та через мобільні програми.
Для запитань або коментарів: Будь ласка, напишіть нам на contact@h-isac.org
- Пов’язані ресурси та новини