Saldırganlar, Suudi Arabistan’daki şirketlerde çalışan profesyonelleri hedef almak için LinkedIn’de yüzlerce sahte profil (çoğu son derece ikna edici) kullandı. Bu profil, yalnızca mali dolandırıcılık amacıyla değil, aynı zamanda belirli rollerdeki çalışanları hassas kurumsal bilgiler sağlamaya ikna etmek için kullanıldı.
İçinde Black Hat Orta Doğu ve Afrika konferansında sunum Geçtiğimiz ay araştırmacılar, Orta Doğu’daki şirketlere ulaşmak amacıyla iyi bağlantılı sentetik kimlikler kullanarak oluşturulmuş bine yakın sahte profil ortaya çıkardıklarını söyledi. Konferansta sunum yapan araştırmacılardan biri olan Saudi Telecom Company’nin (STC) telekom tehdit yönetimi lideri Nauman Khan, kampanyaların çoğunlukla önemli bir başarı elde ettiğini söylüyor.
“Yani normalde profiller herkese iletişim isteği gönderirdi ve görünen o ki insanlar kabul etmekte tereddüt etmiyorlardı; bunun sahte bir profil olabileceğini hiç düşünmediler bile” diyor. “Ve birisi sizi kabul ettiğinde ve varsayılan LinkedIn ayarlarınızı değiştirmediyseniz kişi listeniz ve diğer bilgileriniz görünür.”
Krallıktaki şirketler yalnız değil. LinkedIn’in 150’den fazla ülkeden yaklaşık 900 milyon kullanıcısı, kuruluşlar ve çalışanlar hakkında kapsamlı veriler içeren platformu saldırganlar için bir altın madeni haline getiriyor. Üstelik saldırganlar, gerçek insanlardan ayırt edilmesi zor olan sahte profilleri kolaylıkla oluşturabiliyor. İle üretken yapay zekanın gerçekçi sentetik profil görüntüleri oluşturma yetenekleri ve birden fazla dile daha etkili bir şekilde tercüme edildiğinde, profiller daha da iyi hale geliyor.
Siber güvenlik firması Trend Micro’nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, esasen çalışanlara ilişkin kitle kaynaklı bilgilerin depolandığı LinkedIn’in, siber suçlular ve devlet destekli saldırganlar için giderek daha değerli hale geldiğini söylüyor.
“Hepimiz başarılarımızı göstermek ve bağlantılar kurmak için LinkedIn’i kullanıyoruz, dolayısıyla hepimiz yüksek görünürlüğe sahip olmak istiyoruz – ancak bunu yaparak birçok bilgiyi paylaşıyoruz” diyor. “Tehdit aktörleri bunu bize karşı kullanabilir ve sıklıkla da kullanırlar.”
LinkedIn: Siber Saldırganlar Arasında Popüler
Hedefli saldırılar için LinkedIn, tehdit aktörlerinin bilgi toplamasına ve ardından sahte bağlantılar ve kötü amaçlı yazılımları saf çalışanlara daha etkili bir şekilde dağıtmasına olanak tanır. Örneğin, koronavirüs salgını sırasında LinkedIn dolandırıcılıkları iş dışı kullanıcıları hedef aldı kötü amaçlı komut dosyalarıyla. LinkedIn 2022’de listenin başında yer aldı sosyal mühendislik saldırılarında kullanılan markalar.
Suudi profesyonelleri hedef alan LinkedIn profillerinde neredeyse hepsinin 20’li yaşlarında, Müslüman isimleri taşıyan genç kadınlar olduğu ortaya çıktı ve STC araştırmalarına göre genellikle Güneydoğu Asya’da, çoğunlukla da Hindistan’da çalıştıklarını iddia ettiler. Bu ortak noktalara rağmen birçoğunun bir tehdit kampanyasının parçası olarak ayırt edilmesi son derece zordu. Örneğin, büyük bir şirkette ürün sorumlusu olduğunu iddia eden bir “kişinin” profili durumunda, sahte profil mükemmeldi, ancak kişi Riyad’ın dışında sanayisi olmayan küçük bir kasabada çalıştığını belirtmişti. ve profil resminin izi sonunda Ukraynalı bir web sitesine kadar uzanabildi.
Araştırmacılar, LinkedIn profillerini kullanan çeşitli plan türleriyle karşılaştı. Çoğu durumda, profilin arkasındaki dolandırıcı, hedeflenen kurbanlara sahte sertifikalar veya eğitim satarak iyi itibarından yararlanmaya çalıştı. Diğer durumlarda, tehdit aktörleri belirli bilgilere erişimi olan çalışanları hedef aldı ve onları verilerden ayrılmaya ikna etmeye çalıştı. Son olarak, STC’den Khan, sahte profilin genellikle kendi ürünü olduğunu ve dolandırıcının yüksek kaliteli LinkedIn hesaplarına erişim satmaya çalışacağını söylüyor.
“Aslında ‘Bende var’ diyorlar. [connections to] Yöneticiler zaten orada, C seviyesi zaten orada ve profil her şey kurulduğunda iyi bir takipçi kitlesine sahip, bu yüzden bana şu kadar öde ve bu profile sahip olabilirsin” diyor. “Bu aslında ‘LinkedIn’de iyi bir itibara sahip bir profil’ -servis.'”
Diğer saldırılar arasında meşru bir web sitesine bağlantı veriyormuş gibi görünen ancak aslında saldırganların kontrolündeki bir siteye yönlendiren LinkedIn akıllı bağlantıları kullanılarak kimlik avının geliştirilmesi de yer alıyor; e-posta güvenlik firması Cofense’e göre bu, LinkedIn’in kötüye kullanılmasının 1 numaralı yolu.
“Bu bağlantılar, ekip ve işletme hesaplarına yönelik pazarlama ve takip çözümleri için LinkedIn’in Satış Gezgini hizmetlerine bağlıdır. [and] Cofense’de kıdemli siber tehdit istihbaratı analisti Max Gannon, “LinkedIn güvenilir bir alan adına sahip güvenilir bir marka olduğundan, güvenli e-posta ağ geçitlerini (SEG’ler) atlamada özellikle etkilidir” diyor.
Şirketlerin Özel LinkedIn Politikalarına İhtiyacı Var
Hedef odaklı kimlik avı kampanyaları, çalışanların LinkedIn sosyal ağında aşırı bilgi paylaşımından kaynaklanan tehlikelerin altını çiziyor ve kimlerden bağlantı kabul edeceklerini dikkate almaları gerektiğini hatırlatıyor.
LinkedIn, 2021’in sonlarında sahte profillerle ciddi bir şekilde mücadele etmeye başladı; kayıt sırasında 11,9 milyon sahte hesabı ve hizmetin kendi tespit ettiği 4,4 milyon sahte hesabı daha kaldırdı. LinkedIn tehditlerine ilişkin Trend Micro raporu.
Ancak Trend Micro’dan Clay, LinkedIn’in kullanıcılara bağlantılarını ve bağlantılarını yönetmeleri için daha fazla araç sunmak gibi güvenlik durumlarını iyileştirmelerine yardımcı olabilecek daha fazlasını yapabileceğini söylüyor. LinkedIn, platformu özellikle veri kazımaya karşı güçlendirmek için pek çok şey yapmış olsa da, doğrulanmış araştırmacılara yönelik istisnalar (örneğin derin arama yapmalarına izin vermek) platformun güvenliğini artırabilir.
Şirketler, şirketin çalışanı olduğunu iddia eden herhangi bir kullanıcıyı doğrulayan LinkedIn özelliğini açmalıdır. Şirketler ayrıca belirli bir LinkedIn politikası oluşturmalı ve çalışanlara iş e-postalarını kamuya açık olarak paylaşmamaları, kısaltılmış bağlantılara tıklamaktan kaçınmaları ve belirli şirket içi şirket adları ve teknolojilerinden bahsetmemeleri konusunda rehberlik sağlamayı düşünmelidir.
STC’den Khan, son olarak, çalışanların yalnızca tespit edebilmek için değil, sahte LinkedIn profillerini bildirmek için de eğitilmeleri gerektiğini söylüyor.
“Birisi sahte bir profil bulsa bile normalde hiçbir şey yapmadığını, bunu görmezden geleceğini gördük, hepsi bu” diyor. “Bunu bildirmenizi şiddetle tavsiye ediyoruz. Çalışanlara, şüpheli bir şeyle karşılaştıklarında bunu bildirmeleri gerektiği söylenmelidir; yalnızca bunun sahte bir profil olduğunu bildiğiniz için tatmin olmayın.”