Overtuigende 'profielen' van LinkedIn richten zich op Saoedische werknemers vanwege informatielekken

Aanvallers hebben honderden nepprofielen op LinkedIn gebruikt – waarvan vele zeer overtuigend – om professionals van bedrijven in Saoedi-Arabië aan te vallen, niet alleen voor financiële fraude, maar ook om werknemers in specifieke functies ervan te overtuigen gevoelige bedrijfsinformatie te verstrekken.

In een presentatie op de Black Hat Middle East and Africa-conferentie Vorige maand zeiden onderzoekers dat ze bijna duizend nepprofielen hadden ontdekt die waren gemaakt met als doel bedrijven in het Midden-Oosten te bereiken, met behulp van goed verbonden synthetische identiteiten. En voor het grootste deel hadden de campagnes aanzienlijk succes, zegt Nauman Khan, hoofd van het telecombedreigingsbeheer bij Saudi Telecom Company (STC) en een van de onderzoekers die op de conferentie presenteerden.

“Normaal gesproken stuurden de profielen naar iedereen een contactverzoek, en het lijkt erop dat mensen niet aarzelden om het te accepteren – ze hadden zelfs nooit gedacht dat het een nepprofiel zou kunnen zijn”, zegt hij. “En zodra iemand je accepteert, en als je je standaard LinkedIn-instellingen niet hebt gewijzigd, zijn je contactenlijst en andere informatie zichtbaar.”

Bedrijven in het Koninkrijk staan ​​niet alleen. De bijna 900 miljoen gebruikers op LinkedIn uit meer dan 150 landen maken het platform tot een goudmijn voor aanvallers, met uitgebreide data over organisaties en hun medewerkers. Bovendien kunnen aanvallers gemakkelijk valse profielen samenstellen die moeilijk te onderscheiden zijn van echte mensen. Met mogelijkheden van generatieve AI om realistische synthetische profielafbeeldingen te creëren en effectiever vertalen in meerdere talen, de profielen worden nog beter.

Omdat het in wezen een opslagplaats is van crowdsourced-informatie over werknemers, wordt LinkedIn steeds waardevoller voor cybercriminelen en door de staat gesponsorde aanvallers, zegt Jon Clay, vice-president van bedreigingsinformatie bij cyberbeveiligingsbedrijf Trend Micro.

“We gebruiken allemaal LinkedIn om onze prestaties te laten zien en verbindingen te leggen, dus we willen allemaal een hoge zichtbaarheid hebben, maar door dat te doen delen we veel informatie”, zegt hij. “Dreigingsactoren kunnen dit tegen ons gebruiken, en dat doen ze vaak ook.”

LinkedIn: populair onder cyberaanvallers

Voor gerichte aanvallen stelt LinkedIn bedreigingsactoren in staat informatie te verzamelen en vervolgens frauduleuze links en malware effectiever aan goedgelovige werknemers te leveren. Tijdens de coronaviruspandemie bijvoorbeeld oplichting op LinkedIn gericht op werkloze gebruikers met kwaadaardige scripts. In 2022 stond LinkedIn bovenaan de lijst merken die worden gebruikt bij social engineering-aanvallen.

In het geval van LinkedIn-profielen die zich op Saoedische professionals richtten, leken het bijna allemaal jonge vrouwen van in de twintig te zijn met een moslimnaam, en volgens de STC-onderzoeken beweerden ze meestal dat ze in Zuidoost-Azië, vaak India, werkten. Zelfs met deze overeenkomsten waren veel ervan uiterst moeilijk te onderscheiden als onderdeel van een dreigingscampagne. In het geval van één profiel van een ‘persoon’ die beweert hoofd product te zijn bij een groot bedrijf, was het nepprofiel bijvoorbeeld perfect, behalve dat de persoon aangaf dat hij in een klein stadje buiten Riyad werkte dat geen industrie kent – en de profielafbeelding kon uiteindelijk worden herleid tot een Oekraïense website.

De onderzoekers kwamen een aantal soorten regelingen tegen waarbij gebruik werd gemaakt van LinkedIn-profielen. In veel gevallen probeerde de fraudeur achter het profiel hun goede reputatie te misbruiken om valse certificaten of trainingen aan gerichte slachtoffers te verkopen. In andere gevallen richtten de dreigingsactoren zich op werknemers die toegang hadden tot specifieke informatie en probeerden hen ervan te overtuigen gegevens af te staan. Ten slotte was het nepprofiel vaak zijn eigen product en probeerde de oplichter toegang tot hoogwaardige LinkedIn-accounts te verkopen, zegt Khan van STC.

"In wezen zeggen ze: 'Ik heb al [connecties met] managers, het C-niveau is er al, en het profiel heeft goede volgers met alles wat er is vastgesteld, dus betaal me zoveel en je kunt dit profiel hebben'", zegt hij. . “Dit is eigenlijk een ‘goede reputatieprofiel op LinkedIn as-a-service.’”

Andere aanvallen omvatten het verbeteren van phishing door gebruik te maken van slimme links van LinkedIn die naar een legitieme website lijken te linken, maar in werkelijkheid doorverwijzen naar een door een aanvaller gecontroleerde site, wat volgens e-mailbeveiligingsbedrijf Cofense de belangrijkste manier is waarop LinkedIn wordt misbruikt.

"Deze links zijn verbonden met de Sales Navigator-services van LinkedIn voor marketing en trackingoplossingen voor team- en zakelijke accounts, [en] zijn bijzonder effectief in het omzeilen van beveiligde e-mailgateways (SEG's) omdat LinkedIn een vertrouwd merk is met een vertrouwde domeinnaam", zegt Max Gannon, een senior cyberdreigingsanalist bij Cofense.

Bedrijven hebben een specifiek LinkedIn-beleid nodig

De spearphishing-campagnes onderstrepen de gevaren die gepaard gaan met het te veel delen van informatie op het sociale netwerk LinkedIn, en dienen als herinnering om na te denken over van wie zij connecties accepteren.

LinkedIn begon eind 2021 serieus met het bestrijden van nepprofielen, waarbij 11.9 miljoen nepaccounts werden verwijderd tijdens de registratie en nog eens 4.4 miljoen die de dienst zelf identificeerde, volgens een Trend Micro-rapport over LinkedIn-bedreigingen.

Maar LinkedIn zou meer kunnen doen, zoals gebruikers meer tools geven om hun contacten en connecties te beheren, waardoor ze hun beveiligingspositie kunnen verbeteren, zegt Clay van Trend Micro. Hoewel LinkedIn veel heeft gedaan om het platform te versterken, vooral tegen data-scraping, zou het instellen van uitzonderingen voor geverifieerde onderzoekers – waardoor ze bijvoorbeeld diepgaande zoekopdrachten kunnen uitvoeren – de veiligheid van het platform kunnen verbeteren.

Bedrijven moeten de LinkedIn-functie inschakelen die elke gebruiker verifieert die beweert een werknemer van het bedrijf te zijn. Bedrijven moeten ook een specifiek LinkedIn-beleid opstellen en overwegen om werknemers richtlijnen te geven om zakelijke e-mail niet openbaar te delen, op te passen bij het klikken op verkorte links en het vermelden van specifieke interne bedrijfsnamen en technologieën te beperken.

Ten slotte moeten medewerkers worden getraind in het melden van valse LinkedIn-profielen, en niet alleen in het kunnen identificeren ervan, zegt Khan van STC.

"We hebben ontdekt dat zelfs als iemand een nepprofiel vindt, hij normaal gesproken niets doet. Hij negeert het, en dat is alles", zegt hij. “Wij raden u ten zeerste aan dit te melden. Werknemers moeten te horen krijgen dat als je iets verdachts tegenkomt, je dit moet melden. Wees er niet alleen maar van overtuigd dat je weet dat het een nepprofiel is.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cloud-security/convincing-linkedin-profiles-target-saudi-workers-information-leakage