Overbevisende LinkedIn 'profiler' er målrettet mod saudiske arbejdere for informationslækage

Angribere har brugt hundredvis af falske profiler på LinkedIn - mange meget overbevisende - til at målrette professionelle mod virksomheder i Saudi-Arabien, ikke kun for økonomisk svindel, men for at overbevise medarbejdere i specifikke roller om at give følsomme virksomhedsoplysninger.

I en præsentation på Black Hat Mellemøsten og Afrika-konferencen I sidste måned sagde forskere, at de afslørede næsten tusind falske profiler, der er oprettet med det formål at nå ud til virksomheder i Mellemøsten ved at bruge godt forbundne syntetiske identiteter. Og for det meste havde kampagnerne betydelig succes, siger Nauman Khan, leder af telecom-trusselshåndtering hos Saudi Telecom Company (STC) og en af ​​de forskere, der præsenterede på konferencen.

"Så normalt ville profilerne sende en kontaktanmodning til hvem som helst, og det ser ud til, at folk ikke tøvede med at acceptere - de troede aldrig, at det kunne være en falsk profil," siger han. "Og når først nogen accepterer dig, og hvis du ikke har ændret dine standard LinkedIn-indstillinger, er din kontaktliste og andre oplysninger synlige."

Virksomheder i kongeriget er ikke alene. De næsten 900 millioner brugere på LinkedIn fra mere end 150 lande gør platformen til en guldgrube for angribere, der indeholder omfattende data om organisationer og deres medarbejdere. Desuden kan angribere nemt konstruere falske profiler, som er svære at skelne fra rigtige mennesker. Med generative AI's evner til at skabe realistiske syntetiske profilbilleder og mere effektivt at oversætte til flere sprog, bliver profilerne endnu bedre.

Som i det væsentlige et lager af crowdsourced information om arbejdere, er LinkedIn i stigende grad værdifuldt for cyberkriminelle og statssponsorerede angribere, siger Jon Clay, vicepræsident for trusselsefterretning hos cybersikkerhedsfirmaet Trend Micro.

"Vi bruger alle LinkedIn til at vise vores præstationer og skabe forbindelser, så vi vil alle gerne have høj synlighed - men ved at gøre det deler vi en masse information," siger han. "Trusselsaktører kan bruge dette mod os, og det gør de ofte."

LinkedIn: Populær blandt cyberangribere

Til målrettede angreb tillader LinkedIn trusselsaktører at indsamle oplysninger og derefter levere svigagtige links og malware til godtroende medarbejdere mere effektivt. Under coronavirus-pandemien, f.eks. LinkedIn-svindel målrettede arbejdsløse brugere med ondsindede scripts. I 2022 toppede LinkedIn listen over mærker, der bruges i social engineering-angreb.

I tilfældet med LinkedIn-profiler rettet mod saudiske fagfolk, så næsten alle ud til at være unge kvinder i 20'erne med muslimske navne, og normalt hævdede de at arbejde i Sydøstasien, ofte Indien, ifølge STC-undersøgelserne. Selv med disse fællestræk var mange af dem ekstremt svære at gennemskue som en del af en trusselkampagne. I tilfælde af en profil af en "person", der for eksempel hævder at være produktchef i en stor virksomhed, var den falske profil perfekt, bortset fra at personen angav, at de arbejdede i en lille by uden for Riyadh, der ikke har nogen industri - og profilbilledet kunne efterhånden spores tilbage til en ukrainsk hjemmeside.

Forskerne stødte på en række typer ordninger, der brugte LinkedIn-profiler. I mange tilfælde forsøgte svindleren bag profilen at udnytte deres gode omdømme til at sælge falske certifikater eller træning til målrettede ofre. I andre tilfælde målrettede trusselsaktørerne medarbejdere, der havde adgang til specifikke oplysninger, og forsøgte at overtale dem til at skille sig af med data. Endelig var den falske profil ofte dets eget produkt, og svindleren ville forsøge at sælge adgang til højkvalitets LinkedIn-konti, siger STC's Khan.

"I bund og grund siger de: 'Jeg har [forbindelser til] ledere der allerede, C-niveau er der allerede, og profilen har god tilslutning med alt etableret, så betal mig så meget, og du kan få denne profil'," siger han . "Dette er dybest set en 'godt omdømme-profil på LinkedIn as-a-service'."

Andre angreb omfatter forbedring af phishing ved at bruge LinkedIn smarte links, der ser ud til at linke til et legitimt websted, men som faktisk omdirigerer til et angriber-kontrolleret websted, som - ifølge e-mail-sikkerhedsfirmaet Cofense - er den nr. 1 måde, LinkedIn bliver misbrugt på.

"Disse links er forbundet med LinkedIns Sales Navigator-tjenester til markedsføring og sporingsløsninger til team- og virksomhedskonti, [og] er særligt effektive til at omgå sikre e-mail-gateways (SEG'er), fordi LinkedIn er et betroet brand med et betroet domænenavn," siger Max Gannon, en senior efterretningsanalytiker for cybertrusler hos Cofense.

Virksomheder har brug for specifikke LinkedIn-politikker

Spear-phishing-kampagnerne understreger farerne ved, at medarbejdere overdeler information på LinkedIns sociale netværk, og tjener som en påmindelse om at overveje, hvem de accepterer forbindelser fra.

LinkedIn begyndte for alvor at bekæmpe falske profiler i slutningen af ​​2021 og fjernede 11.9 millioner falske konti under registreringen og yderligere 4.4 millioner, som tjenesten identificerede på egen hånd, ifølge en Trend Micro-rapport om LinkedIn-trusler.

Men LinkedIn kunne gøre mere, såsom at give brugerne flere værktøjer til at administrere deres kontakter og forbindelser, som kunne hjælpe dem med at forbedre deres sikkerhedsstilling, siger Trend Micros Clay. Selvom LinkedIn har gjort meget for at hærde platformen, især mod dataskrabning, kunne det at have undtagelser for verificerede forskere – for eksempel at give dem mulighed for at lave dybe søgninger – forbedre platformens sikkerhed.

Virksomheder bør slå LinkedIn-funktionen til, der bekræfter enhver bruger, der hævder at være ansat i virksomheden. Virksomheder bør også oprette en specifik LinkedIn-politik og overveje at give medarbejderne vejledning om ikke at dele forretnings-e-mail offentligt, pas på med at klikke på forkortede links og begrænse omtaler af specifikke interne virksomhedsnavne og teknologier.

Endelig skal medarbejderne trænes i at rapportere falske LinkedIn-profiler, ikke bare være i stand til at identificere dem, siger STC's Khan.

"Vi fandt ud af, at selvom nogen fandt en falsk profil, gør de normalt ikke noget - de vil ignorere det, og det er det," siger han. "Vi anbefaler stærkt at anmelde det. Medarbejderne skal have at vide, at når du støder på noget mistænkeligt, skal du rapportere det - ikke bare være tilfreds med, at du ved, at det er en falsk profil."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cloud-security/convincing-linkedin-profiles-target-saudi-workers-information-leakage