Hakeri prave fiktivne ljude na mreži LinkedIn sa ciljem da vrše industrijsku špijunažu i da napadaju lažnim predstavljanjem. Sigurno ste već primili poziv za LinkedIn od nekoga koga ne poznajete – ili od nekoga za koga niste sigurni da ga poznajete. Sledeći put kada se to desi možda ćete malo bolje da razmislite pre nego što pristanete.
Sigurno ste već primili poziv za LinkedIn od nekoga koga ne poznajete – ili od nekoga za koga niste sigurni da ga poznajete. Sledeći put kada se to desi možda ćete malo bolje da razmislite pre nego što pristanete.
Istraživači iz jedinice protiv pretnji Dell SecureWorks Counter Threat Unit otkrili su mrežu sa najmanje 25 dobro razvijenih LinkedIn profila u okviru ciljane kampanje lažnog predstavljanja protiv pojedinaca na Bliskom Istoku, severnoj Africi i južnoj Aziji. Lažni profili su povezani sa 204 legitimnih profila pojedinaca koji rade u sektorima odbrane, telekomunikacija, vlade i komunalija. Četvrtina žrtava je radila u sektoru telekomunikacija na Srednjem Istoku i u severnoj Africi. Srećom, lažni profili su već uklonjeni iz mreže LinkedIn.
Lažnu mrežu su napravili kako bi pomogli napadačima da ciljaju žrtve pomoću lažnog predstavljanja. Grupa se verovatno uzdala u činjenicu da ljudi obično imaju poverenje u pripadnike vlastite mreže i da je veća verovatnoća da će poverovati u e-poruku sa pecanjem ukoliko je prime od nekoga ko je takođe član. Takođe je veća verovatnoća da će žrtva posetiti neki veb sajt ako im ga predloži član njihove mreže.
Mreža je imala osam vodećih profila, sa potpunim (naravno, lažnim) istorijama obrazovanja i detaljnim informacijama o trenutnim i prethodnim zaposlenjima. Preostali profili su obrazovali mrežu za podršku šestorici vođa, da bi mreža izgledala legitimna. Profili su navodno pripadali zaposlenima u kompanijama velikih organizacija, uključujući izvođače iz oblasti odbrane Northrop Grumman, tehnološke firme TeleDyne, RHB Banke iz Malezije i holding firme Doosan iz Južne Koreje. Petorica vodećih persona je tvrdila da regrutuju osoblje za Teledyne, Doosan i za Airbus, a ostalo troje je tvrdilo da rade za Doosan i za Petrochemical Industries.
Dell SecureWorks je uspeo da prepozna da su profili lažni na osnovu specifičnih karakteristika. Najpre, profili za podršku nisu bili tako dobro razvijeni, pošto su svi imali samo pet veza i jednostavan opis samo jednog zaposlenja. Neke od fotografija profila su pronađene „drugde na Internetu pridružene nekim drugim, naizgled legitimnim, identitetima“. Jedan od vodećih profila je, na primer, postojao na nekoliko sajtova “za odrasle”.
Nekoliko vodećih profila je takođe u poljima za opis posla imalo kopiran tekst iz oglasa za prava zaposlenja.
Napadači već odavno koriste društvene mreže za svoje istraživačke aktivnosti. Oni biraju lične podatke objavljene na tim sajtovima da bi napravili ciljane napade sa većim šansama za uspeh. Istraživači kažu da lažni LinkedIn profili „značajno povećavaju“ verovatnoću da ovi napadi lažnim predstavljanjem uspeju.
SecureWorks je u izveštaju naveo spisak lažnih imena i opise pridružene ovim profilima. Ako dobijete poziv od pojedinaca koji se tako zovu, pokušajte da izvan mreže LinkedIn proverite da li je pojedinac legitiman pre nego što prihvatite zahtev.
Lažni profili su navodno regrutovali osoblje, pa je, što se tiče žrtava, imalo smisla da se ti „ljudi“ javljaju nepozvani. I pored toga, Dell SecureWorks preporučuje da se najpre pokuša provera da li je osoba legitimna tako da se direktno kontaktira poslodavac.
Napadači bi uspostavili direktan odnos sa žrtvom tako što bi sa lažne mreže slali zahtev za vezu. Takođe bi pokušali da se povežu sa nekom od veza onoga koga ciljaju. „Lakše je uspostaviti direktnu vezu ako je neka od lažnih persona već u LinkedIn mreži ciljane osobe“ kažu istraživači.
Korisnici bi trebalo da „zauzmu stav razumnog opreza“ pri povezivanju sa nepoznatim pojedincima koji tvrde da imaju zajedničke veze. Ne znači da nekome treba verovati samo zato što se već nalazi u mreži vašeg kolege ili prijatelja. Proverite izvan mreže LinkedIn ko je ta osoba, pre nego pro mu otkrijete svoje informacije.
Neki od ovih profila imaju čak 500 veza, što znači da je grupa razvila duboke mreže sa žrtvama i da ima pristup mnogim deljenim informacijama. Kad žrtva jednom prihvati LinkedIn zahtev, veća je verovatnoća da će podeliti lične informacije koje im zatraže, zato što to više nije nepoznati, već postojeća veza.
„Nivo detalja u profilima nagoveštava da su učesnici napada uložili znatno vreme i napor u pravljenje i održavanje tih persona“ kažu istraživači.
Napadači u ovoj kampanji usredsredili su se na sektor mobilnih telekoma u regionu Srednjeg Istoka i severne Afrike, sa većinom žrtava lociranih u Saudijskoj Arabiji, Kataru i Ujedinjenim Arapskim Emiratima. Moguće je da su napadači bili zainteresovani samo za krađu podataka, kao što su pretplatničke informacije i informacije za fakturisanje, u svrhu sajber špijunaže, ili su možda pokušavali da pristupe telefonskim mrežama radi presretanja komunikacija.
Geografska lokacija žrtava i grane u kojima rade „spadaju u očekivane ciljeve jedne grupe napadača koja posluje iz Irana“ rekli su istraživači. Činjenica da neki od lažnih profila sadrže reference na vazduhoplovne kompanije bi mogla da bude znak da napadači planiraju prebacivanje fokusa na tu industriju kao sledeću.
LinkedIn olakšava prihvatanje poziva za povezivanje, a ne „arhiviranje“ zahteva za vezu. Sledeći put, pre nego što pritisnete dugme Accept, proverite da li poznajete onoga čiji je to profil.