Überzeugende LinkedIn-„Profile“ zielen auf Informationslecks gegen saudische Arbeitnehmer ab

Angreifer haben Hunderte von gefälschten Profilen auf LinkedIn – viele davon sehr überzeugend – verwendet, um Fachkräfte in Unternehmen in Saudi-Arabien ins Visier zu nehmen, und zwar nicht nur wegen Finanzbetrugs, sondern auch, um Mitarbeiter in bestimmten Rollen davon zu überzeugen, vertrauliche Unternehmensinformationen preiszugeben.

In einer Präsentation auf der Black Hat Middle East and Africa-Konferenz Letzten Monat sagten Forscher, sie hätten fast tausend gefälschte Profile aufgedeckt, die mit dem Ziel erstellt wurden, mit gut vernetzten synthetischen Identitäten Unternehmen im Nahen Osten zu erreichen. Und die Kampagnen hatten größtenteils großen Erfolg, sagt Nauman Khan, Leiter des Telekommunikations-Bedrohungsmanagements bei der Saudi Telecom Company (STC) und einer der Forscher, die auf der Konferenz referierten.

„Normalerweise senden die Profile also eine Kontaktanfrage an jeden, und es sieht so aus, als hätten die Leute nicht gezögert, diese anzunehmen – sie hätten nie gedacht, dass es sich um ein gefälschtes Profil handeln könnte“, sagt er. „Und sobald Sie jemand akzeptiert und Sie Ihre LinkedIn-Standardeinstellungen nicht geändert haben, sind Ihre Kontaktliste und andere Informationen sichtbar.“

Unternehmen im Königreich sind nicht allein. Die fast 900 Millionen Nutzer auf LinkedIn aus mehr als 150 Ländern machen die Plattform zu einer Goldgrube für Angreifer, da sie umfangreiche Daten über Organisationen und deren Mitarbeiter enthält. Darüber hinaus können Angreifer leicht gefälschte Profile erstellen, die nur schwer von echten Personen zu unterscheiden sind. Mit Die Fähigkeiten der generativen KI zur Erstellung realistischer synthetischer Profilbilder und effektiver in mehrere Sprachen übersetzen, werden die Profile noch besser.

Als im Wesentlichen eine Sammlung von Crowdsourcing-Informationen über Arbeitnehmer wird LinkedIn für Cyberkriminelle und staatlich geförderte Angreifer immer wertvoller, sagt Jon Clay, Vizepräsident für Bedrohungsinformationen beim Cybersicherheitsunternehmen Trend Micro.

„Wir alle nutzen LinkedIn, um unsere Erfolge zu zeigen und Kontakte zu knüpfen, deshalb möchten wir alle eine hohe Sichtbarkeit haben – aber dadurch teilen wir viele Informationen“, sagt er. „Bedrohungsakteure können dies gegen uns nutzen, und das tun sie oft.“

LinkedIn: Beliebt bei Cyberangreifern

Bei gezielten Angriffen ermöglicht LinkedIn den Bedrohungsakteuren, Informationen zu sammeln und dann betrügerische Links und Malware effektiver an leichtgläubige Mitarbeiter weiterzuleiten. Während der Coronavirus-Pandemie beispielsweise LinkedIn-Betrügereien Zielgruppe sind arbeitslose Nutzer mit bösartigen Skripten. Im Jahr 2022 führte LinkedIn die Liste an Marken, die bei Social-Engineering-Angriffen eingesetzt werden.

Bei LinkedIn-Profilen, die sich an saudische Fachkräfte richteten, schienen es sich bei fast allen um junge Frauen in den Zwanzigern mit muslimischen Namen zu handeln, und laut den STC-Ermittlungen gaben sie in der Regel an, in Südostasien, oft Indien, zu arbeiten. Trotz dieser Gemeinsamkeiten waren viele von ihnen im Rahmen einer Bedrohungskampagne äußerst schwer zu erkennen. Im Fall eines Profils einer „Person“, die beispielsweise behauptete, Produktleiterin in einem großen Unternehmen zu sein, war das gefälschte Profil perfekt, mit der Ausnahme, dass die Person angab, in einer winzigen Stadt außerhalb von Riad zu arbeiten, in der es keine Industrie gibt – und das Profilbild konnte schließlich auf eine ukrainische Website zurückgeführt werden.

Die Forscher stießen auf eine Reihe von Schemata, die LinkedIn-Profile nutzten. In vielen Fällen versuchte der Betrüger hinter dem Profil, seinen guten Ruf auszunutzen, um gefälschte Zertifikate oder Schulungen an gezielte Opfer zu verkaufen. In anderen Fällen griffen die Bedrohungsakteure Mitarbeiter an, die Zugang zu bestimmten Informationen hatten, und versuchten, sie davon zu überzeugen, Daten preiszugeben. Schließlich handelte es sich bei dem gefälschten Profil oft um ein eigenes Produkt, und der Betrüger versuchte, Zugang zu hochwertigen LinkedIn-Konten zu verkaufen, sagt Khan von STC.

„Im Grunde sagen sie: ‚Ich habe bereits Verbindungen zu Managern, habe bereits Kontakte zur C-Ebene und das Profil hat eine gute Anhängerschaft mit allem, was etabliert ist. Zahlen Sie mir also so viel, und Sie können dieses Profil haben‘“, sagt er . „Dies ist im Grunde ein ‚Gut-Reputations-Profil auf LinkedIn as-a-Service‘.“

Zu den weiteren Angriffen gehört die Verstärkung des Phishings durch die Verwendung intelligenter LinkedIn-Links, die scheinbar auf eine legitime Website verweisen, tatsächlich aber auf eine vom Angreifer kontrollierte Website weiterleiten, was laut dem E-Mail-Sicherheitsunternehmen Cofense die häufigste Art des Missbrauchs von LinkedIn ist.

„Diese Links sind mit den Sales Navigator-Diensten von LinkedIn für Marketing und Tracking-Lösungen für Team- und Geschäftskonten verbunden und eignen sich besonders effektiv zur Umgehung sicherer E-Mail-Gateways (SEGs), da LinkedIn eine vertrauenswürdige Marke mit einem vertrauenswürdigen Domainnamen ist“, sagt er Max Gannon, ein leitender Analyst für Cyber-Bedrohungsinformationen bei Cofense.

Unternehmen benötigen spezifische LinkedIn-Richtlinien

Die Spear-Phishing-Kampagnen verdeutlichen die Gefahren, die von der übermäßigen Weitergabe von Informationen im sozialen Netzwerk LinkedIn durch Mitarbeiter ausgehen, und dienen als Erinnerung daran, darüber nachzudenken, von wem sie Kontakte annehmen.

LinkedIn begann Ende 2021 ernsthaft mit der Bekämpfung gefälschter Profile und löschte 11.9 Millionen gefälschte Konten bei der Registrierung sowie weitere 4.4 Millionen, die der Dienst selbst identifiziert hatte, so ein Bericht Trend Micro-Bericht über LinkedIn-Bedrohungen.

Aber LinkedIn könnte noch mehr tun, indem es den Nutzern beispielsweise mehr Tools zur Verwaltung ihrer Kontakte und Verbindungen zur Verfügung stellt, was ihnen dabei helfen könnte, ihre Sicherheitslage zu verbessern, sagt Clay von Trend Micro. Während LinkedIn viel getan hat, um die Plattform abzusichern, insbesondere gegen Data Scraping, könnte die Einführung von Ausnahmen für verifizierte Forscher – die ihnen beispielsweise die Durchführung tiefer Suchvorgänge ermöglichen – die Sicherheit der Plattform verbessern.

Unternehmen sollten die LinkedIn-Funktion aktivieren, die jeden Benutzer verifiziert, der behauptet, ein Mitarbeiter des Unternehmens zu sein. Unternehmen sollten außerdem eine spezifische LinkedIn-Richtlinie erstellen und erwägen, ihren Mitarbeitern Hinweise zu geben, geschäftliche E-Mails nicht öffentlich zu teilen, sich vor dem Klicken verkürzter Links zu hüten und die Erwähnung bestimmter interner Firmennamen und Technologien einzuschränken.

Schließlich müssen die Mitarbeiter darin geschult werden, gefälschte LinkedIn-Profile zu melden und nicht nur in der Lage zu sein, sie zu identifizieren, sagt Khan von STC.

„Wir haben herausgefunden, dass selbst wenn jemand ein gefälschtes Profil findet, er normalerweise nichts unternimmt – er wird es ignorieren, und das ist alles“, sagt er. „Wir empfehlen dringend, es zu melden. Den Mitarbeitern muss gesagt werden, dass sie, wenn sie auf etwas Verdächtiges stoßen, es melden sollen – und sich nicht damit zufrieden geben müssen, dass sie wissen, dass es sich um ein Fake-Profil handelt.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cloud-security/convincing-linkedin-profiles-target-saudi-workers-information-leakage