攻击者在 LinkedIn 上使用数百个虚假个人资料(其中许多非常令人信服)来针对沙特阿拉伯公司的专业人士,不仅进行财务欺诈,还说服特定职位的员工提供敏感的公司信息。
在一个 在黑帽中东和非洲会议上的演讲 上个月,研究人员表示,他们发现了近千个虚假个人资料,其目的是使用人脉广泛的合成身份来接触中东的公司。沙特电信公司 (STC) 电信威胁管理负责人、出席会议的研究人员之一 Nauman Khan 表示,这些活动在很大程度上取得了巨大成功。
“通常情况下,个人资料会向任何人发送联系请求,而且看起来人们会毫不犹豫地接受——他们甚至从未想过这可能是假个人资料,”他说。 “一旦有人接受你,并且你没有更改默认的 LinkedIn 设置,你的联系人列表和其他信息就会可见。”
沙特王国的公司并不孤单。 LinkedIn 上有来自 900 多个国家的近 150 亿用户,该平台成为攻击者的金矿,其中包含有关组织及其员工的大量数据。此外,攻击者可以轻松构建难以与真人区分的虚假个人资料。和 生成式人工智能能够创建逼真的合成个人资料图像 并且更有效地翻译成多种语言,配置文件变得更好。
网络安全公司趋势科技威胁情报副总裁乔恩·克莱 (Jon Clay) 表示,LinkedIn 本质上是员工众包信息的存储库,对网络犯罪分子和国家支持的攻击者来说越来越有价值。
“我们都使用 LinkedIn 来展示我们的成就并建立联系,因此我们都希望拥有较高的知名度 - 但通过这样做,我们分享了很多信息,”他说。 “威胁行为者可以利用这一点来对付我们,而且他们经常这样做。”
LinkedIn:在网络攻击者中很受欢迎
对于有针对性的攻击,LinkedIn 允许威胁行为者收集信息,然后更有效地将欺诈链接和恶意软件传递给轻信的员工。例如,在冠状病毒大流行期间,LinkedIn 诈骗 目标失业用户 带有恶意脚本。 2022年,LinkedIn位居榜首 社会工程攻击中使用的品牌.
根据 STC 的调查,在针对沙特专业人士的 LinkedIn 个人资料中,几乎所有这些人似乎都是 20 多岁的穆斯林名字的年轻女性,而且通常她们声称在东南亚(通常是印度)工作。即使有这些共同点,其中许多都极难识别为威胁活动的一部分。例如,在一个自称是一家大公司产品负责人的“人”的个人资料中,假资料是完美的,只是该人表示他们在利雅得郊外的一个没有工业的小镇工作——个人资料图片最终可以追溯到乌克兰网站。
研究人员遇到了多种使用 LinkedIn 个人资料的骗局。在许多情况下,个人资料背后的欺诈者试图利用他们的良好声誉向目标受害者出售虚假证书或培训。在其他情况下,威胁行为者会针对有权访问特定信息的员工,并试图说服他们放弃数据。最后,STC 的 Khan 表示,虚假个人资料通常是其自己的产品,诈骗者会试图出售高质量 LinkedIn 帐户的访问权限。
“从本质上讲,他们是在说,‘我已经与那里的经理建立了联系,C 级高管也已经在那里,而且我的个人资料在一切已建立的情况下都有很好的追随者,所以付给我这么多钱,你就可以拥有这个个人资料,’”他说。 “这基本上是‘LinkedIn 即服务上的良好声誉个人资料’。”
其他攻击包括通过使用 LinkedIn 智能链接来增强网络钓鱼,这些链接看似链接到合法网站,但实际上重定向到攻击者控制的网站,根据电子邮件安全公司 Cofense 的说法,这是 LinkedIn 被滥用的第一大方式。
“这些链接连接到 LinkedIn 的 Sales Navigator 服务进行营销,以及团队和企业帐户的跟踪解决方案,并且在绕过安全电子邮件网关 (SEG) 方面特别有效,因为 LinkedIn 是一个值得信赖的品牌,拥有值得信赖的域名。” Max Gannon,Cofense 高级网络威胁情报分析师。
公司需要具体的 LinkedIn 政策
鱼叉式网络钓鱼活动强调了员工在 LinkedIn 社交网络上过度分享信息所带来的危险,并提醒他们考虑接受来自谁的联系。
据一家公司称,LinkedIn 于 2021 年底开始认真打击虚假个人资料,在注册过程中删除了 11.9 万个虚假账户,并删除了该服务自行识别的另外 4.4 万个虚假账户。 趋势科技关于 LinkedIn 威胁的报告.
但趋势科技的克莱表示,LinkedIn 可以做得更多,例如为用户提供更多工具来管理他们的联系人和联系,这可以帮助他们改善安全状况。虽然 LinkedIn 为强化平台做了很多工作,特别是针对数据抓取,但为经过验证的研究人员提供例外(例如允许他们进行深度搜索)可以提高平台的安全性。
公司应该启用 LinkedIn 功能来验证任何自称是公司员工的用户。公司还应该制定具体的 LinkedIn 政策,并考虑指导员工不要公开共享商业电子邮件,谨防点击缩短的链接,并限制提及特定的内部公司名称和技术。
最后,STC 的 Khan 表示,员工需要接受培训,以报告虚假的 LinkedIn 个人资料,而不仅仅是识别它们。
“我们发现,即使有人发现了虚假的个人资料,他们通常也不会做任何事情——他们会忽略它,仅此而已,”他说。 “我们强烈建议报告此事。员工必须被告知,当你发现可疑的情况时,请报告——不要仅仅知道这是一个虚假的个人资料就满足了。”
- :具有
- :是
- :不是
- 1
- 11
- 150
- 2021
- 2022
- 9
- a
- Able
- 滥用
- 接受
- 接受
- ACCESS
- 根据
- 账户
- 成就
- 横过
- 演员
- 通
- 非洲
- 驳
- AI
- 瞄准
- 所有类型
- 允许
- 允许
- 几乎
- 单
- 已经
- 还
- 其中
- an
- 分析人士
- 和
- 另一个
- 任何
- 任何人
- 什么
- 出现
- 出现
- 保健
- AS
- 亚洲
- At
- 攻击
- 尝试
- 尝试
- 背部
- 基本上
- BE
- 因为
- 开始
- 背后
- 作为
- 更好
- 提防
- 黑色
- 黑帽
- 品牌
- 商业
- 但是
- by
- 营销活动
- 活动
- CAN
- 能力
- 案件
- 例
- 证书
- 变
- 声称
- 自称
- 索赔
- 战斗
- 如何
- 公司
- 公司
- 研讨会 首页
- 已联繫
- 连接
- 考虑
- 建设
- CONTACT
- 联系
- 说服
- 冠状病毒
- 冠状病毒大流行
- 公司
- 可以
- 国家
- 创建信息图
- 创建
- 网络
- 网络罪犯
- 网络安全
- 危险
- data
- 深
- 默认
- 交付
- 难
- 辨别
- 区分
- do
- 做
- 域
- 域名
- 不
- 完成
- 向下
- ,我们将参加
- 容易
- 东部
- 有效
- 只
- 邮箱地址
- 电子邮件安全
- 员工
- 员工
- 工程师
- 加强
- 特别
- 本质上
- 成熟
- 醚(ETH)
- 甚至
- 终于
- 一切
- 例子
- 除
- 广泛
- 非常
- 假
- 专栏
- 终于
- 金融
- 财务欺诈
- 公司
- 以下
- 针对
- 发现
- 骗局
- 欺诈
- 止
- 收集
- 越来越
- 给予
- 非常好
- 指导
- 民政事务总署
- 帽子
- 有
- 有
- he
- 头
- 帮助
- 犹豫不决
- 高
- 高品质
- 高度
- HTTPS
- 数百
- i
- 确定
- 鉴定
- 身份
- if
- 忽略
- 图片
- 改善
- in
- 其他
- 包括
- 日益
- 印度
- 表示
- 行业中的应用:
- 信息
- 房源搜索
- 内部
- 成
- 调查
- IT
- 它的
- 乔恩
- JPG
- 只是
- 神的国
- 知道
- 语言
- 大
- (姓氏)
- 晚了
- 铅
- 合法
- 杠杆作用
- 喜欢
- 极限
- 友情链接
- 链接
- 清单
- LOOKS
- 占地
- 使
- 恶意软件
- 管理
- 颠覆性技术
- 经理
- 许多
- 营销
- 最大
- me
- 提到
- 微
- 中间
- 中东
- 百万
- 月
- 更多
- 此外
- 最先进的
- 许多
- 多
- 姓名
- 名称
- 航海家
- 几乎
- 需求
- 网络
- 决不要
- 没有
- 通常
- 数
- of
- 经常
- on
- 一旦
- 一
- 仅由
- or
- 组织
- 其他名称
- 我们的
- 输出
- 学校以外
- 己
- 流感大流行
- 部分
- 尤其
- 员工
- 人
- 钓鱼
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 热门
- 构成
- 呈现
- 总统
- 产品
- 专业人士
- 本人简介
- 简介
- 提供
- 公然
- 达
- 真实
- 现实
- 建议
- 重定向
- 注册
- 提醒
- 报告
- 报告
- 知识库
- 声誉
- 请求
- 研究人员
- 角色
- s
- 说
- 销售
- 满意
- 沙特
- 沙特阿拉伯
- 说
- 说
- 诈骗
- 方案
- 刮
- 脚本
- 搜索
- 安全
- 保安
- 出售
- 提交
- 前辈
- 敏感
- 服务
- 服务
- 特色服务
- 设置
- Share
- 缩短
- 应该
- 显示
- 显著
- 网站
- 智能
- So
- 社会
- 社会工程学
- 社交网络
- 解决方案
- 东西
- 东南
- 东南亚
- 具体的
- 成功
- 这样
- 可疑
- 合成的
- T
- 服用
- 目标
- 针对
- 瞄准
- 团队
- 技术
- 电信
- 比
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 那些
- 思想
- 千
- 威胁
- 威胁者
- 威胁情报
- 至
- 告诉
- 工具
- 突破
- 镇
- 跟踪
- 熟练
- 产品培训
- 翻译
- 趋势
- 趋势科技
- 信任
- 转
- 类型
- 乌克兰语
- 裸露
- 下划线
- us
- 使用
- 用过的
- 用户
- 用户
- 运用
- 平时
- 有价值
- 专利
- 非常
- 副
- 副总裁
- 受害者
- 能见度
- 可见
- 想
- 是
- 方法..
- we
- 您的网站
- 为
- ,尤其是
- 这
- 而
- WHO
- 谁
- 将
- 女性
- 工作
- 工作
- 工人
- 将
- 您
- 年轻
- 您一站式解决方案
- 和风网