Övertygande LinkedIn-profiler riktar sig till saudiska arbetare för informationsläckage

Angripare har använt hundratals falska profiler på LinkedIn – många mycket övertygande – för att rikta in sig på proffs på företag i Saudiarabien, inte bara för ekonomiskt bedrägeri, utan för att övertyga anställda i specifika roller att tillhandahålla känslig företagsinformation.

I en presentation på Black Hat Middle East and Africa-konferensen förra månaden sa forskare att de avslöjade nästan tusen falska profiler skapade med syftet att nå ut till företag i Mellanöstern, med hjälp av väl sammankopplade syntetiska identiteter. Och för det mesta hade kampanjerna betydande framgång, säger Nauman Khan, ledare för telekomhotshantering på Saudi Telecom Company (STC) och en av forskarna som presenterade på konferensen.

“So normally, the profiles would send a contact request to anyone, and it looks like people were not hesitant to accept — they never even thought that it could be a fake profile,” he says. “And once somebody accepts you, and if you have not changed your default LinkedIn settings, your contact list and other information are visible.”

Företag i kungariket är inte ensamma. De nästan 900 miljoner användarna på LinkedIn från mer än 150 länder gör plattformen till en guldgruva för angripare, som innehåller omfattande data om organisationer och deras anställda. Dessutom kan angripare enkelt konstruera falska profiler som är svåra att skilja från riktiga människor. Med generative AI’s capabilities to create realistic synthetic profile images och mer effektivt översätta till flera språk, profilerna blir ännu bättre.

Som i huvudsak ett arkiv med crowdsourced information om arbetare är LinkedIn allt mer värdefullt för cyberbrottslingar och statligt sponsrade angripare, säger Jon Clay, vice vd för hotintelligens på cybersäkerhetsföretaget Trend Micro.

“We all use LinkedIn to show our achievements and make connections, so we all want to have high visibility — but by doing so, we share a lot of information,” he says. “Threat actors can use this against us, and they often do.”

LinkedIn: Populär bland cyberattackare

För riktade attacker tillåter LinkedIn hotaktörer att samla in information och sedan leverera bedrägliga länkar och skadlig programvara till godtrogna anställda mer effektivt. Under coronavirus-pandemin, till exempel, LinkedIn-bedrägerier målinriktade användare utan arbete med skadliga skript. 2022 toppade LinkedIn listan över varumärken som används i sociala ingenjörsattacker.

In the case of LinkedIn profiles targeting Saudi professionals, almost all of them appeared to be young women in their 20s with Muslim names, and usually they claimed to work in Southeast Asia, often India, according to the STC investigations. Even with those commonalities, many of them were extremely difficult to discern as part of a threat campaign. In the case of one profile of a “person” claiming to be head of product at a large company, for example, the fake profile was perfect, except that the person indicated that they worked in a tiny town outside Riyadh that has no industry — and the profile image could eventually be traced back to a Ukrainian website.

The researchers encountered a number of types of schemes that used LinkedIn profiles. In many cases, the fraudster behind the profile attempted to leverage their good reputation to sell fake certificates or training to targeted victims. In other cases, the threat actors targeted employees who had access to specific information and attempted to convince them to part with data. Finally, the fake profile was often its own product, and the scammer would attempt to sell access to high-quality LinkedIn accounts, STC’s Khan says.

“Essentially, they are saying, ‘I have [connections to] managers already there, C-level already there, and the profile has good following with everything established, so pay me this much and you can have this profile,'” he says. “This is basically a ‘good-reputation profile on LinkedIn as-a-service.'”

Andra attacker inkluderar att förbättra nätfiske genom att använda smarta länkar från LinkedIn som verkar länka till en legitim webbplats, men som faktiskt omdirigerar till en angriparkontrollerad webbplats, vilket – enligt e-postsäkerhetsföretaget Cofense – är det första sättet att missbruka LinkedIn.

“These links are connected to LinkedIn’s Sales Navigator services for marketing, and tracking solutions for team and business accounts, [and] are particularly effective at bypassing secure email gateways (SEGs) because LinkedIn is a trusted brand with a trusted domain name,” says Max Gannon, a senior cyber threat intelligence analyst at Cofense.

Företag behöver specifika LinkedIn-policyer

Spjutfiskekampanjerna understryker farorna med att anställda överdelar information på LinkedIns sociala nätverk, och fungerar som en påminnelse om att överväga vem de accepterar kontakter från.

LinkedIn började bekämpa falska profiler på allvar i slutet av 2021, och tog ner 11.9 miljoner falska konton under registreringen och ytterligare 4.4 miljoner som tjänsten identifierade på egen hand, enligt en Trend Micro-rapport om LinkedIn-hot.

But LinkedIn could be doing more, such as giving users more tools to manage their contacts and connections, that could help them improve their security posture, Trend Micro’s Clay says. While LinkedIn has done a lot to harden the platform, especially against data scraping, having exceptions for verified researchers — allowing them to do deep searches, for example — could improve the security of the platform.

Företag bör aktivera LinkedIn-funktionen som verifierar alla användare som påstår sig vara anställda i företaget. Företag bör också skapa en specifik LinkedIn-policy och överväga att ge anställda vägledning om att inte dela affärse-post offentligt, akta sig för att klicka på förkortade länkar och begränsa omnämnanden av specifika interna företagsnamn och teknologier.

Finally, employees need to be trained to report fake LinkedIn profiles, not just be able to identify them, says STC’s Khan.

“We found that even if somebody found a fake profile, they normally don’t do anything — they will ignore it, and that’s it,” he says. “We highly recommend reporting it. Employees have to be told that when you come across something suspicious, report it — don’t just be satisfied that you know it’s a fake profile.”

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cloud-security/convincing-linkedin-profiles-target-saudi-workers-information-leakage