روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متقاضیان کار به لحاظ عاطفی و احساسی بسیار آسیب‌پذیرند و دوست دارند هرچقدر اطلاعات از خود در چنته دارند ارائه دهند و از این رو لذیذترین طعمه‌ها برای کمپین‌های مهندسی اجتماعی هستند. در ادامه با ما همراه شوید تا حمله بزرگ فیشینگ به پلت‌فرم لینکدین را مورد بررسی قرار دهیم.

با توجه به باب شدن پدیده‌ای به نام «استعفای عظیم[1]» که طی آن کارمندان به صورت دسته‌جمعی استعفا می‌دهند مهاجمین فرصت خوبی دارند تا سریع سراغ قربانی بعدی بروند. تحلیلگران همین ماه فوریه شاهد حملات فیشینگ ایمیل بودند که پلت‌فرم لینکدین را جعل کرده بودند.  طبق گزارشی رویه‌های فعلی اشتغال راه را برای چنین حملاتی حتی هموارتر نیز کرده است. استعفای عظیم هنوز سرتیتر خبرها می‌شود و  رکورد این اقدام در سال 2021 زده شد. احتمال می‌رود چنین حملات فیشینگی هدفشان تسلط کامل روی متقاضیان کار (همچنین افراد کنجکاو) باشد. در حقیقت مهاجمین به کاربران این حس را می‌دهند که پروفایلشان به دقت دیده شده و تجاربشان با برندهایی خاص همخوانی دارد. بدین‌ترتیب قربانی دچار توهم دیده شدن و مقبولیت می‌شود. طی این حملات فیشینگ، ایمیل‌ها تیترهای جذابی داشتند از جمله «کسانی که شما را آنلاین جستجو کرده‌اند»، «شما این هفته در 4 جستجو ظاهر شده‌اید»، یا حتی «شما یک پیام جدید دارید». این ایمیل‌های فیشینگ در قالب‌های html ساخته می‌شود و لوگوی لینکدین نیز با همان رنگ و فونت و آیکون نیز آن‌ها را متقاعدکننده‌تر می‌کند.

به گفته تحلیل‌گران، کلاهبرداران همچنین نام شرکت‌های معروف را در سراسر بدنه ایمیل‌های فیشینگ، از جمله American Express و CVS Carepoint، بررسی کردند تا مکاتبات قانونی‌تر به نظر برسد. آن‌ها همچنین خاطرنشان کردند که حتی فوتر ایمیل آدرس دفتر مرکزی شرکت برداشته شده و لینک‌های "لغو اشتراک" برای افزودن به اعتبار ایمیل درج می‌شود. در این گزارش آمده است، «همچنین می‌توانید جعل نام نمایشی لینکدین را مشاهده کنید، که برای مخفی کردن حساب‌های ایمیل وب مورد استفاده برای انجام حملات طراحی شده است».

هنگامی که قربانی روی لینک‌های مخرب در ایمیل کلیک می‌کند، به سایتی هدایت می‌شود تا آنجا مهاجمین لاگین و رمز عبور LinkedInشان را جمع‌آوری کنند. تحلیلگران افزودند: «درحالیکه نام نمایشی همیشه LinkedIn است و ایمیل‌ها همگی از الگوی مشابهی پیروی می‌کنند اما حملات فیشینگ از آدرس‌های ایمیل مختلف ارسال می‌شوند که هیچ ارتباطی با یکدیگر ندارند. در حال حاضر، مشخص نیست که آیا این حملات کار یک مجرم سایبری است یا یک باند که با یکدیگر همکاری می‌کنند.»

به‌روزرسانی: LinkedIn بیانیه زیر را به Threatpost ارسال کرد:

«تیم‌های داخلی ما برای مقابله با افرادی که از طریق فیشینگ تلاش می‌کنند به اعضای لینکدین آسیب برسانند، کار می‌کنند. ما اعضا را تشویق می‌کنیم پیام‌های مشکوک را گزارش کنند و به آن‌ها کمک می‌کنیم درباره کارهایی که می‌توانند برای محافظت از خود انجام دهند، از جمله فعال کردن تأیید صحت دو مرحله‌ای، اطلاعات بیشتری کسب کنند. برای کسب اطلاعات بیشتر در مورد اینکه اعضا چگونه می‌توانند پیام‌های فیشینگ را شناسایی کنند، به  Help Center ما در اینجا مراجعه کنید».

حملات تراش داده[2] روی متقاضیان کار

علاوه بر استفاده از سرنخ های شغلی بالقوه برای فریب کاربر که اطلاعاتش را دو دستی تقدیم کند، Imperva در گزارشی جداگانه نحوه توقف بزرگترین حمله رباتی را که شرکت تا به امروز دیده است، در یک سایت فهرست مشاغل جهانی توضیح داد. Imperva مشخصاً نام شرکت را ذکر نکرده است، اما این شرکت گفته است که با 400 میلیون درخواست ربات بیش از 400000 آدرس IP منحصر به فرد در طول چهار روز بمباران شد که سعی در حذف تمام داده‌های جویندگان کار خود داشت. تیم Imperva افزود این نوع حملات تراش وب رایج هستند و می‌توانند منجر به «نرخ تبدیل پایین‌تر، تحلیل‌های بازاریابی منحرف، کاهش رتبه‌بندی سئو، تأخیر وب‌سایت و حتی خرابی (معمولاً توسط تراشگرهای تهاجمی[3]) شوند. اما همانطور که Imperva در گزارش خود اشاره کرده است، حذف داده‌ها یکی از آن مناطق خاکستری امنیت سایبری است. جمع‌آوری اطلاعات در دسترس عموم به خودی خود یک نقض داده نیست، اما جمع‌آوری شده در مقادیر انبوه می‌تواند سلاحی باشد که علیه کاربران در حملات مهندسی اجتماعی استفاده می‌شود. تابستان گذشته، یک حمله جمع‌آوری اطلاعات گسترده علیه لینکدین کشف شد که حداقل 1.2 میلیارد رکورد کاربر را جمع‌آوری کرد که بعداً در انجمن‌های زیرزمینی فروخته شد. در آن زمان، لینکدین تکرار کرد که داده‌های تراش‌شده اطلاعات عمومی هستند، نه اطلاعات خصوصی، و نمی‌توانند جزو نقض‌های اطلاعاتی قرار گیرند. به گفته مهندس ارشد نرم افزار در nVisium، لینکدین واقعاً در اینجا مقصر نیست. او چنین توضیح می‌دهد که، این ارتباط چندانی با LinkedIn ندارد - آنها در اینجا کار اشتباهی انجام نمی دهند. لینکدین صدها میلیون عضو دارد - بسیاری از آنها به دیدن ایمیل های مکرر مشروع لینکدین عادت دارند و ممکن است به ناچار بدون بررسی دقیق اینکه هر ایمیل معامله واقعی است کلیک کنند.

از این رو کاربران باید مراقب اطلاعاتی باشند که به صورت عمومی منتشر می‌کنند و اینکه باید از روش‌های که مهاجم برای فریب آن‌ها استفاده می‌کند آگاهی داشته باشند. در حالی که گمان نمی‌رود که این به برند LinkedIn آسیبی برساند، اما این موضوع بر اهمیت آموزش فیشینگ ایمیلی باری دیگر تأکید می‌کند. با توجه به اینکه این ایمیل‌ها از یک آدرس ایمیل قانونی لینکدین می‌آیند، شناسایی خطر را به ویژه دشوار می‌کند. قانون این است که هرگز روی لینک‌های ایمیل کلیک نکنید. همیشه مستقیماً از سایت دیدن نمایید.

[1] Great Resignation

[2]Data scraping، یک برنامه رایانه ای داده ها را از خروجی های انسان خواندنی (یا همان human readable) که از برنامه دیگری آمده است استخراج می‌کند.

[3] aggressive scrapers

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.