LinkedIn

Огромна база с лични данни (имена, имейл адреси, телефонни номера и др.) е открадната от LinkedIn и може да се използва за стартиране на допълнителни атаки срещу потребителите на професионалната мрежа.

Данните са публикувани на популярен хакерски сайт и достъпът до тях струва четирицифрена сума, казват изследователите на CyberNews.

Сама по себе си, изтеклата информация не може да послужи за извършване на финансови измами, но може да се използва за създаване на подробни профили на потенциалните жертви и провеждане на последващи атаки (фишинг, кражба на самоличност).

Ако имате LinkedIn профил е добре да вземете незабавни мерки:

• Променете паролата на LinkedIn акаунта си и тези на свързаните профили
• Създайте силна, произволна, уникална парола; при възможност, използвайте мениджър на пароли
• Активирайте двуфакторно удостоверяване (2FA) за акаунта си в LinkedIn и за свързаните с него акаунти
• Бъдете подозрителни към съобщения и имейли, получени от непознати
• Внимавайте за характерни белези на фишинг в съобщенията, които получавате
• Не отваряйте линкове, получени в имейл, а навигирайте ръчно до дадения сайт, в който искате да влезете
• Използвайте надеждно антивирусно решение

Засечени са опити за проникване в системите на AstraZeneca, един от тримата водещи разработчици на ваксина срещу COVID-19.

Злонамерените лица, за които се подозира, че са от Северна Корея, са се представили като специалисти по подбор на персонала. Те са установили контакт със служители от AstraZeneca през LinkedIn и WhatsApp. След това са им изпратили „длъжностни характеристики“, съдържащи злонамерен код, предназначен да получи достъп до компютърите им.

Атаката е насочена към широк кръг от служители на фармацевтичния производител, включително към персонал, работещ по ваксината срещу COVID-19, но няма данни да е постигнала успех. AstraZeneca е отказала да коментира.

Препоръки:

• Потребители, избягвайте да кликате върху линкове и да отваряте прикачени документи (.pdf, .doc, .txt), получени от непознати, които са се свързали с вас в социалните мрежи или по и-мейл, за да не позволите нежелан достъп до компютъра си
• Работодатели, провеждайте адекватни и регулярни обучения за персонала си, за да могат служителите ви да разпознават и да не се хващат на тези фишинг атаки, които по някакъв начин успеят да преминат през филтрите ви

Невнимателен системен администратор, хванал се на LinkedIn фишинг, е станал причина за успешна атака срещу фирма, свързана с криптовалути (точното име и дейност не се споменава в анализа на F-Secure). Автори на тактиката за пробива са Lazarus Group (на тази организация се приписва глобалната атака, при която през 2017 г. криптовируса WannaCry за броени дни порази стотици хиляди компютри в над 150 държави по света).

Механика на атаката

Хакерите са получили достъпа до системите на компанията-жертва чрез обява за работа в LinkedIn. Тя е изпратена до личния профил на системен администратор в професионалната социална мрежа. Обявата е била от името на блокчейн компания, търсеща нов сисадмин с набор от умения, точно като на получателя за съобщението.

Обявата е включвала Microsoft Word документ, уж „защитен“ съгласно действащите в ЕС правила на GDPR. Отварянето на документа е активирало макрос, който е свалил зловреден код на устройството на потребителя и оттам се е разпространил върху цялата компания.

За обирането на портфейлите с криптовалута на жертвата е използвана модифицирана версия на Mimikatz

Една организация е толкова уязвима, колкото уязвимо е най-слабото й звено. В информационната сигурност най-уязвими са хората и хакерите много добре разбират това.

А сега, накъде, Lazarus Group?

Според анализаторите от F-Secure, групата ще продължи атаките си към организации, работещи с криптовалута, докато има изгода от това. Не се изключва възможността хаковете да разширят обхвата си и към самите доставчици – „копачите“ на криптовалута.

За мистериозната Lazarus Group се предполага, че стои зад атаки срещу банки от Югоизточна Азия и Европа през последните няколко години (сред най-значителните е тази срещу Централната банка на Бангладеш, при която бяха източени 81 млн. USD през 2016 г.). Явно, че свързваната със Северна Корея групировка диверсифицира дейността и портфейла си.

Позицията на LinkedIn

„Нашите екипи използват разнообразни автоматизирани технологии, комбинирани с обучен екип от анализатори, за да предпазят членовете ни от всякакви видове измамници. Прилагаме нашите политики, които са много ясни: създаването на фалшив акаунт или измамна дейност с цел въвеждане в заблуждение или лъжа на нашите членове е нарушение на Общите ни условия.“ (свободен превод)