روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ متقاضیان کار به لحاظ عاطفی و احساسی بسیار آسیبپذیرند و دوست دارند هرچقدر اطلاعات از خود در چنته دارند ارائه دهند و از این رو لذیذترین طعمهها برای کمپینهای مهندسی اجتماعی هستند. در ادامه با ما همراه شوید تا حمله بزرگ فیشینگ به پلتفرم لینکدین را مورد بررسی قرار دهیم.
با توجه به باب شدن پدیدهای به نام «استعفای عظیم[1]» که طی آن کارمندان به صورت دستهجمعی استعفا میدهند مهاجمین فرصت خوبی دارند تا سریع سراغ قربانی بعدی بروند. تحلیلگران همین ماه فوریه شاهد حملات فیشینگ ایمیل بودند که پلتفرم لینکدین را جعل کرده بودند. طبق گزارشی رویههای فعلی اشتغال راه را برای چنین حملاتی حتی هموارتر نیز کرده است. استعفای عظیم هنوز سرتیتر خبرها میشود و رکورد این اقدام در سال 2021 زده شد. احتمال میرود چنین حملات فیشینگی هدفشان تسلط کامل روی متقاضیان کار (همچنین افراد کنجکاو) باشد. در حقیقت مهاجمین به کاربران این حس را میدهند که پروفایلشان به دقت دیده شده و تجاربشان با برندهایی خاص همخوانی دارد. بدینترتیب قربانی دچار توهم دیده شدن و مقبولیت میشود. طی این حملات فیشینگ، ایمیلها تیترهای جذابی داشتند از جمله «کسانی که شما را آنلاین جستجو کردهاند»، «شما این هفته در 4 جستجو ظاهر شدهاید»، یا حتی «شما یک پیام جدید دارید». این ایمیلهای فیشینگ در قالبهای html ساخته میشود و لوگوی لینکدین نیز با همان رنگ و فونت و آیکون نیز آنها را متقاعدکنندهتر میکند.
به گفته تحلیلگران، کلاهبرداران همچنین نام شرکتهای معروف را در سراسر بدنه ایمیلهای فیشینگ، از جمله American Express و CVS Carepoint، بررسی کردند تا مکاتبات قانونیتر به نظر برسد. آنها همچنین خاطرنشان کردند که حتی فوتر ایمیل آدرس دفتر مرکزی شرکت برداشته شده و لینکهای "لغو اشتراک" برای افزودن به اعتبار ایمیل درج میشود. در این گزارش آمده است، «همچنین میتوانید جعل نام نمایشی لینکدین را مشاهده کنید، که برای مخفی کردن حسابهای ایمیل وب مورد استفاده برای انجام حملات طراحی شده است».
هنگامی که قربانی روی لینکهای مخرب در ایمیل کلیک میکند، به سایتی هدایت میشود تا آنجا مهاجمین لاگین و رمز عبور LinkedInشان را جمعآوری کنند. تحلیلگران افزودند: «درحالیکه نام نمایشی همیشه LinkedIn است و ایمیلها همگی از الگوی مشابهی پیروی میکنند اما حملات فیشینگ از آدرسهای ایمیل مختلف ارسال میشوند که هیچ ارتباطی با یکدیگر ندارند. در حال حاضر، مشخص نیست که آیا این حملات کار یک مجرم سایبری است یا یک باند که با یکدیگر همکاری میکنند.»
بهروزرسانی: LinkedIn بیانیه زیر را به Threatpost ارسال کرد:
«تیمهای داخلی ما برای مقابله با افرادی که از طریق فیشینگ تلاش میکنند به اعضای لینکدین آسیب برسانند، کار میکنند. ما اعضا را تشویق میکنیم پیامهای مشکوک را گزارش کنند و به آنها کمک میکنیم درباره کارهایی که میتوانند برای محافظت از خود انجام دهند، از جمله فعال کردن تأیید صحت دو مرحلهای، اطلاعات بیشتری کسب کنند. برای کسب اطلاعات بیشتر در مورد اینکه اعضا چگونه میتوانند پیامهای فیشینگ را شناسایی کنند، به Help Center ما در اینجا مراجعه کنید».
حملات تراش داده[2] روی متقاضیان کار
علاوه بر استفاده از سرنخ های شغلی بالقوه برای فریب کاربر که اطلاعاتش را دو دستی تقدیم کند، Imperva در گزارشی جداگانه نحوه توقف بزرگترین حمله رباتی را که شرکت تا به امروز دیده است، در یک سایت فهرست مشاغل جهانی توضیح داد. Imperva مشخصاً نام شرکت را ذکر نکرده است، اما این شرکت گفته است که با 400 میلیون درخواست ربات بیش از 400000 آدرس IP منحصر به فرد در طول چهار روز بمباران شد که سعی در حذف تمام دادههای جویندگان کار خود داشت. تیم Imperva افزود این نوع حملات تراش وب رایج هستند و میتوانند منجر به «نرخ تبدیل پایینتر، تحلیلهای بازاریابی منحرف، کاهش رتبهبندی سئو، تأخیر وبسایت و حتی خرابی (معمولاً توسط تراشگرهای تهاجمی[3]) شوند. اما همانطور که Imperva در گزارش خود اشاره کرده است، حذف دادهها یکی از آن مناطق خاکستری امنیت سایبری است. جمعآوری اطلاعات در دسترس عموم به خودی خود یک نقض داده نیست، اما جمعآوری شده در مقادیر انبوه میتواند سلاحی باشد که علیه کاربران در حملات مهندسی اجتماعی استفاده میشود. تابستان گذشته، یک حمله جمعآوری اطلاعات گسترده علیه لینکدین کشف شد که حداقل 1.2 میلیارد رکورد کاربر را جمعآوری کرد که بعداً در انجمنهای زیرزمینی فروخته شد. در آن زمان، لینکدین تکرار کرد که دادههای تراششده اطلاعات عمومی هستند، نه اطلاعات خصوصی، و نمیتوانند جزو نقضهای اطلاعاتی قرار گیرند. به گفته مهندس ارشد نرم افزار در nVisium، لینکدین واقعاً در اینجا مقصر نیست. او چنین توضیح میدهد که، این ارتباط چندانی با LinkedIn ندارد - آنها در اینجا کار اشتباهی انجام نمی دهند. لینکدین صدها میلیون عضو دارد - بسیاری از آنها به دیدن ایمیل های مکرر مشروع لینکدین عادت دارند و ممکن است به ناچار بدون بررسی دقیق اینکه هر ایمیل معامله واقعی است کلیک کنند.
از این رو کاربران باید مراقب اطلاعاتی باشند که به صورت عمومی منتشر میکنند و اینکه باید از روشهای که مهاجم برای فریب آنها استفاده میکند آگاهی داشته باشند. در حالی که گمان نمیرود که این به برند LinkedIn آسیبی برساند، اما این موضوع بر اهمیت آموزش فیشینگ ایمیلی باری دیگر تأکید میکند. با توجه به اینکه این ایمیلها از یک آدرس ایمیل قانونی لینکدین میآیند، شناسایی خطر را به ویژه دشوار میکند. قانون این است که هرگز روی لینکهای ایمیل کلیک نکنید. همیشه مستقیماً از سایت دیدن نمایید.
[1] Great Resignation
[2]Data scraping، یک برنامه رایانه ای داده ها را از خروجی های انسان خواندنی (یا همان human readable) که از برنامه دیگری آمده است استخراج میکند.
[3] aggressive scrapers
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
