Thuyết phục 'Hồ sơ' của LinkedIn nhắm mục tiêu vào công nhân Ả Rập Xê Út để rò rỉ thông tin

Những kẻ tấn công đã sử dụng hàng trăm hồ sơ giả trên LinkedIn – nhiều hồ sơ rất thuyết phục – để nhắm mục tiêu vào các chuyên gia tại các công ty ở Ả Rập Saudi, không chỉ vì gian lận tài chính mà còn thuyết phục nhân viên ở những vai trò cụ thể cung cấp thông tin nhạy cảm của công ty.

Trong một trình bày tại hội nghị Mũ đen Trung Đông và Châu Phi Tháng trước, các nhà nghiên cứu cho biết họ đã phát hiện ra gần một nghìn hồ sơ giả được tạo ra với mục đích tiếp cận các công ty ở Trung Đông, sử dụng danh tính tổng hợp được kết nối tốt. Và phần lớn, các chiến dịch đã đạt được thành công đáng kể, Nauman Khan, trưởng nhóm quản lý mối đe dọa viễn thông tại Công ty Viễn thông Saudi (STC) và là một trong những nhà nghiên cứu trình bày tại hội nghị, cho biết.

“Vì vậy, thông thường, các hồ sơ sẽ gửi yêu cầu liên hệ đến bất kỳ ai và có vẻ như mọi người không ngần ngại chấp nhận - họ thậm chí chưa bao giờ nghĩ rằng đó có thể là một hồ sơ giả mạo,” anh nói. “Và khi ai đó chấp nhận bạn và nếu bạn chưa thay đổi cài đặt LinkedIn mặc định của mình, danh sách liên hệ và thông tin khác của bạn sẽ hiển thị.”

Các công ty ở Vương quốc không đơn độc. Gần 900 triệu người dùng trên LinkedIn từ hơn 150 quốc gia khiến nền tảng này trở thành mỏ vàng cho những kẻ tấn công, chứa dữ liệu phong phú về các tổ chức và nhân viên của họ. Hơn nữa, kẻ tấn công có thể dễ dàng tạo hồ sơ giả khó phân biệt với người thật. Với khả năng sáng tạo của AI để tạo ra hình ảnh hồ sơ tổng hợp thực tế và dịch sang nhiều ngôn ngữ một cách hiệu quả hơn, hồ sơ ngày càng hoàn thiện hơn.

Jon Clay, phó chủ tịch phụ trách tình báo mối đe dọa tại công ty an ninh mạng Trend Micro, cho biết về cơ bản là một kho lưu trữ thông tin có nguồn gốc từ cộng đồng về người lao động, LinkedIn ngày càng có giá trị đối với tội phạm mạng và những kẻ tấn công được nhà nước bảo trợ.

Ông nói: “Tất cả chúng ta đều sử dụng LinkedIn để thể hiện thành tích của mình và tạo kết nối, vì vậy tất cả chúng ta đều muốn có mức độ hiển thị cao - nhưng bằng cách đó, chúng ta chia sẻ rất nhiều thông tin”. “Những kẻ đe dọa có thể sử dụng điều này để chống lại chúng tôi và họ thường làm như vậy.”

LinkedIn: Phổ biến với những kẻ tấn công mạng

Đối với các cuộc tấn công có mục tiêu, LinkedIn cho phép các tác nhân đe dọa thu thập thông tin và sau đó cung cấp các liên kết lừa đảo và phần mềm độc hại cho những nhân viên cả tin một cách hiệu quả hơn. Ví dụ, trong đại dịch coronavirus, các vụ lừa đảo trên LinkedIn nhắm mục tiêu người dùng không có việc làm với các tập lệnh độc hại. Năm 2022, LinkedIn đứng đầu danh sách thương hiệu được sử dụng trong các cuộc tấn công kỹ thuật xã hội.

Trong trường hợp hồ sơ LinkedIn nhắm vào các chuyên gia Ả Rập Saudi, hầu hết tất cả họ đều là phụ nữ trẻ ở độ tuổi 20 với tên Hồi giáo và thường họ tuyên bố làm việc ở Đông Nam Á, thường là Ấn Độ, theo điều tra của STC. Ngay cả với những điểm chung đó, nhiều trong số chúng cực kỳ khó nhận ra là một phần của chiến dịch đe dọa. Ví dụ: trong trường hợp hồ sơ của một “người” tự xưng là người đứng đầu sản phẩm của một công ty lớn, hồ sơ giả mạo là hoàn hảo, ngoại trừ việc người đó cho biết rằng họ làm việc ở một thị trấn nhỏ bên ngoài Riyadh không có ngành công nghiệp — và hình ảnh hồ sơ cuối cùng có thể được truy ngược về một trang web tiếng Ukraina.

Các nhà nghiên cứu đã gặp phải một số loại âm mưu sử dụng hồ sơ LinkedIn. Trong nhiều trường hợp, kẻ lừa đảo đằng sau hồ sơ đã cố gắng lợi dụng danh tiếng tốt của họ để bán chứng chỉ hoặc chương trình đào tạo giả cho các nạn nhân mục tiêu. Trong các trường hợp khác, kẻ đe dọa nhắm mục tiêu vào những nhân viên có quyền truy cập vào thông tin cụ thể và cố gắng thuyết phục họ chia tay dữ liệu. Cuối cùng, hồ sơ giả mạo thường là sản phẩm của chính họ và kẻ lừa đảo sẽ cố gắng bán quyền truy cập vào các tài khoản LinkedIn chất lượng cao, Khan của STC cho biết.

“Về cơ bản, họ đang nói, 'Tôi đã có [kết nối với] người quản lý ở đó, cấp C đã có ở đó và hồ sơ có lượng người theo dõi tốt với mọi thứ đã được thiết lập, vì vậy hãy trả cho tôi số tiền này và bạn có thể có hồ sơ này,'" anh ấy nói . “Về cơ bản, đây là 'hồ sơ có danh tiếng tốt trên LinkedIn dưới dạng dịch vụ.'”

Các cuộc tấn công khác bao gồm tăng cường lừa đảo bằng cách sử dụng các liên kết thông minh LinkedIn có vẻ như liên kết đến một trang web hợp pháp, nhưng thực tế lại chuyển hướng đến một trang web do kẻ tấn công kiểm soát, mà — theo công ty bảo mật email Cofense — là cách số 1 mà LinkedIn đang bị lạm dụng.

“Các liên kết này được kết nối với các dịch vụ Sales Navigator của LinkedIn để tiếp thị và theo dõi các giải pháp cho tài khoản nhóm và doanh nghiệp, [và] đặc biệt hiệu quả trong việc vượt qua các cổng email an toàn (SEG) vì LinkedIn là một thương hiệu đáng tin cậy có tên miền đáng tin cậy,” cho biết Max Gannon, nhà phân tích tình báo mối đe dọa mạng cấp cao tại Cofense.

Các công ty cần chính sách LinkedIn cụ thể

Các chiến dịch lừa đảo trực tuyến nhấn mạnh sự nguy hiểm do nhân viên chia sẻ quá nhiều thông tin trên mạng xã hội LinkedIn và đóng vai trò như một lời nhắc nhở để xem xét họ chấp nhận kết nối từ ai.

LinkedIn bắt đầu chống lại hồ sơ giả một cách nghiêm túc vào cuối năm 2021, gỡ bỏ 11.9 triệu tài khoản giả trong quá trình đăng ký và 4.4 triệu tài khoản khác mà dịch vụ này tự xác định, theo một báo cáo. Báo cáo của Trend Micro về các mối đe dọa trên LinkedIn.

Nhưng LinkedIn có thể làm được nhiều hơn thế, chẳng hạn như cung cấp cho người dùng nhiều công cụ hơn để quản lý danh bạ và kết nối của họ, điều đó có thể giúp họ cải thiện tình trạng bảo mật của mình, Clay của Trend Micro cho biết. Mặc dù LinkedIn đã làm rất nhiều việc để củng cố nền tảng, đặc biệt là chống lại việc thu thập dữ liệu, nhưng việc có ngoại lệ đối với các nhà nghiên cứu đã được xác minh - chẳng hạn như cho phép họ thực hiện tìm kiếm sâu - có thể cải thiện tính bảo mật của nền tảng.

Các công ty nên bật tính năng LinkedIn để xác minh bất kỳ người dùng nào tự nhận là nhân viên của công ty. Các công ty cũng nên tạo chính sách LinkedIn cụ thể và xem xét hướng dẫn nhân viên không chia sẻ email doanh nghiệp một cách công khai, cẩn thận khi nhấp vào các liên kết rút gọn và hạn chế đề cập đến tên và công nghệ nội bộ cụ thể của công ty.

Cuối cùng, nhân viên cần được đào tạo để báo cáo hồ sơ LinkedIn giả mạo, chứ không chỉ có thể xác định được chúng, Khan của STC nói.

“Chúng tôi nhận thấy rằng ngay cả khi ai đó tìm thấy một hồ sơ giả, họ thường không làm gì cả - họ sẽ bỏ qua nó, và thế là xong,” anh nói. “Chúng tôi thực sự khuyên bạn nên báo cáo nó. Nhân viên phải được thông báo rằng khi bạn gặp điều gì đó đáng ngờ, hãy báo cáo điều đó - đừng chỉ hài lòng khi biết đó là hồ sơ giả mạo.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cloud-security/convincing-linkedin-profiles-target-saudi-workers-information-leakage