令人信服的 LinkedIn“个人资料”以沙特工人为目标进行信息泄露

令人信服的 LinkedIn“个人资料”以沙特工人为目标进行信息泄露

时间戳:11 年 2023 月 4 日下午 23:XNUMX
源节点: 3007834

攻击者在 LinkedIn 上使用数百个虚假个人资料(其中许多非常令人信服)来针对沙特阿拉伯公司的专业人士,不仅进行财务欺诈,还说服特定职位的员工提供敏感的公司信息。

在一个 在黑帽中东和非洲会议上的演讲 上个月,研究人员表示,他们发现了近千个虚假个人资料,其目的是使用人脉广泛的合成身份来接触中东的公司。沙特电信公司 (STC) 电信威胁管理负责人、出席会议的研究人员之一 Nauman Khan 表示,这些活动在很大程度上取得了巨大成功。

“通常情况下,个人资料会向任何人发送联系请求,而且看起来人们会毫不犹豫地接受——他们甚至从未想过这可能是假个人资料,”他说。 “一旦有人接受你,并且你没有更改默认的 LinkedIn 设置,你的联系人列表和其他信息就会可见。”

沙特王国的公司并不孤单。 LinkedIn 上有来自 900 多个国家的近 150 亿用户,该平台成为攻击者的金矿,其中包含有关组织及其员工的大量数据。此外,攻击者可以轻松构建难以与真人区分的虚假个人资料。和 生成式人工智能能够创建逼真的合成个人资料图像 并且更有效地翻译成多种语言,配置文件变得更好。

网络安全公司趋势科技威胁情报副总裁乔恩·克莱 (Jon Clay) 表示,LinkedIn 本质上是员工众包信息的存储库,对网络犯罪分子和国家支持的攻击者来说越来越有价值。

“我们都使用 LinkedIn 来展示我们的成就并建立联系,因此我们都希望拥有较高的知名度 - 但通过这样做,我们分享了很多信息,”他说。 “威胁行为者可以利用这一点来对付我们,而且他们经常这样做。”

LinkedIn:在网络攻击者中很受欢迎

对于有针对性的攻击,LinkedIn 允许威胁行为者收集信息,然后更有效地将欺诈链接和恶意软件传递给轻信的员工。例如,在冠状病毒大流行期间,LinkedIn 诈骗 目标失业用户 带有恶意脚本。 2022年,LinkedIn位居榜首 社会工程攻击中使用的品牌.

根据 STC 的调查,在针对沙特专业人士的 LinkedIn 个人资料中,几乎所有这些人似乎都是 20 多岁的穆斯林名字的年轻女性,而且通常她们声称在东南亚(通常是印度)工作。即使有这些共同点,其中许多都极难识别为威胁活动的一部分。例如,在一个自称是一家大公司产品负责人的“人”的个人资料中,假资料是完美的,只是该人表示他们在利雅得郊外的一个没有工业的小镇工作——个人资料图片最终可以追溯到乌克兰网站。

研究人员遇到了多种使用 LinkedIn 个人资料的骗局。在许多情况下,个人资料背后的欺诈者试图利用他们的良好声誉向目标受害者出售虚假证书或培训。在其他情况下,威胁行为者会针对有权访问特定信息的员工,并试图说服他们放弃数据。最后,STC 的 Khan 表示,虚假个人资料通常是其自己的产品,诈骗者会试图出售高质量 LinkedIn 帐户的访问权限。

“从本质上讲,他们是在说,‘我已经与那里的经理建立了联系,C 级高管也已经在那里,而且我的个人资料在一切已建立的情况下都有很好的追随者,所以付给我这么多钱,你就可以拥有这个个人资料,’”他说。 “这基本上是‘LinkedIn 即服务上的良好声誉个人资料’。”

其他攻击包括通过使用 LinkedIn 智能链接来增强网络钓鱼,这些链接看似链接到合法网站,但实际上重定向到攻击者控制的网站,根据电子邮件安全公司 Cofense 的说法,这是 LinkedIn 被滥用的第一大方式。

“这些链接连接到 LinkedIn 的 Sales Navigator 服务进行营销,以及团队和企业帐户的跟踪解决方案,并且在绕过安全电子邮件网关 (SEG) 方面特别有效,因为 LinkedIn 是一个值得信赖的品牌,拥有值得信赖的域名。” Max Gannon,Cofense 高级网络威胁情报分析师。

公司需要具体的 LinkedIn 政策

鱼叉式网络钓鱼活动强调了员工在 LinkedIn 社交网络上过度分享信息所带来的危险,并提醒他们考虑接受来自谁的联系。

据一家公司称,LinkedIn 于 2021 年底开始认真打击虚假个人资料,在注册过程中删除了 11.9 万个虚假账户,并删除了该服务自行识别的另外 4.4 万个虚假账户。 趋势科技关于 LinkedIn 威胁的报告.

但趋势科技的克莱表示,LinkedIn 可以做得更多,例如为用户提供更多工具来管理他们的联系人和联系,这可以帮助他们改善安全状况。虽然 LinkedIn 为强化平台做了很多工作,特别是针对数据抓取,但为经过验证的研究人员提供例外(例如允许他们进行深度搜索)可以提高平台的安全性。

公司应该启用 LinkedIn 功能来验证任何自称是公司员工的用户。公司还应该制定具体的 LinkedIn 政策,并考虑指导员工不要公开共享商业电子邮件,谨防点击缩短的链接,并限制提及特定的内部公司名称和技术。

最后,STC 的 Khan 表示,员工需要接受培训,以报告虚假的 LinkedIn 个人资料,而不仅仅是识别它们。

“我们发现,即使有人发现了虚假的个人资料,他们通常也不会做任何事情——他们会忽略它,仅此而已,”他说。 “我们强烈建议报告此事。员工必须被告知,当你发现可疑的情况时,请报告——不要仅仅知道这是一个虚假的个人资料就满足了。”

时间戳记:

更多来自 暗读