LinkedIn kullanıcıları, kimlik avı kampanyaları tarafından giderek daha fazla hedefleniyor.
Son haftalarda yapılan ağ denetimleri, profesyonellere yönelik sosyal medya platformunun, 2022’nin ilk çeyreğinde dünya çapındaki tüm kimlik avı dolandırıcılıklarının yüzde 52’sinin hedefinde olduğunu ortaya çıkardı.
Çeşitli raporlara göre, bilgisayar korsanları ilk kez LinkedIn’i Apple, Google ve Microsoft gibi herhangi bir teknoloji devi markadan daha fazla kullandı.
Ağ güvenliği firması Check Point‘e göre, sosyal medya ağları artık suç grupları tarafından en çok hedef alınan kategori olarak nakliye, perakende ve teknolojiyi geride bırakıyor.
Kimlik avı saldırıları, LinkedIn’in kimlik avı girişimlerinin yalnızca yüzde sekiziyle beşinci sırada olduğu önceki çeyreğe göre yüzde 44’lük bir artışı yansıtıyor. Şimdi LinkedIn, en çok hedeflenen marka olarak DHL’i geride bıraktı.
En çok hedeflenen ikinci kategori artık nakliye. DHL, çeyrek boyunca tüm kimlik avı girişimlerinin yüzde 14’ünü alarak ikinci sırada yer alıyor.
Checkpoint’in en son güvenlik raporu, sosyal ağları birincil hedef olarak kullanan tehdit aktörlerine yönelik bir eğilim gösteriyor. Bilgisayar korsanları, kötü amaçlı bir bağlantıya tıklamaları için onları tuzağa düşürmek amacıyla, resmi görünümlü bir e-posta yoluyla LinkedIn kullanıcılarıyla iletişim kurar.
Kullanıcılar kandırıldıktan sonra, bilgisayar korsanlarının kimlik bilgilerini topladıkları sahte bir portala giriş ekranıyla karşılaşırlar. Sahte web sitesi genellikle kullanıcıların kimlik bilgilerini, ödeme ayrıntılarını veya diğer kişisel bilgilerini çalmayı amaçlayan bir form içerir.
“Bu kimlik avı saldırılarının amacı, kurbanların kötü amaçlı bir bağlantıya tıklamasını sağlamaktır. LinkedIn e-postaları, diğer bir yaygın olarak hedeflenen gönderi sağlayıcıları gibi idealdir çünkü e-posta yalnızca özet bilgileri paylaşır ve kullanıcı, platformdaki ayrıntılara ve içeriğe tıklamak zorunda kalır,” Archie Agarwal, kurucusu ve CEO’su ThreatModeler, E-Commerce Times’a söyledi.
İdeal Seçimler
Agarwal’a göre bilgisayar korsanları, LinkedIn kullanıcılarını iki temel nedenden dolayı hedefliyor. Kimlik avı, güven üzerine kurulu güven oyununda dijital bir oyundur. Kurbanların LinkedIn ağlarına olan güvenini kötüye kullanmak, kurumsal sitelerde kimlik avına doğal bir alternatiftir.
“LinkedIn kullanıcılarını hedeflemenin diğer bir avantajı da hedefleri belirlemenin ve önceliklendirmenin kolay olmasıdır. Kullanıcıların profilleri unvanlarını ve bağlantılarını yayınlıyor” dedi.
Güvenlik çözümleri şirketi Lookout’un üst düzey yöneticisi Hank Schless, saldırganların LinkedIn’i sosyal olarak tasarlanmış kimlik avı saldırıları için bir kanca olarak kullanmasının mantıklı olduğunu, çünkü genel olarak kullanılabilir bir profesyonel platform olarak kabul edildiğini ekledi.
E-Commerce Times’a verdiği demeçte, “Ancak, bir saldırganın sahte ama ikna edici bir profil oluşturup çalışanlarınızdan birine kötü niyetli bir bağlantı veya ek ile mesaj gönderebileceği diğer herhangi bir sosyal platformdan çok da farklı değil” dedi.
Karşı önlemler
Agarwal, e-postaya tıklamak yerine, LinkedIn kullanıcılarının doğrudan kendilerini bilgilendirdiği varsayılan platforma gitmeleri ve orada o bildirim ayrıntısını aramaları gerektiğini önerdi.
“LinkedIn ve DHL gibi platformlar, kullanıcıları e-posta ve kısa mesaj yoluyla bilgilendirmeye, ancak ziyaretleri/kullanımı artırmak için kullanıcıyı tekrar platforma bağlamaya teşvik ediyor. Bu teşvik, kimlik avı fırsatlarına karşı korumayla her zaman çelişecektir” dedi.
Meşru hizmetlerden geliyormuş gibi görünen kimlik avı durdurulamaz. Kimlik avı önleme firması SlashNext’in CEO’su Patrick Harr, aynı zamanda mevcut savunmaların bu tür saldırıları tespit edecek şekilde ayarlanmadığını belirtti.
“Bu saldırılar artıyor ve fidye yazılımlarına açılan kapı kimlik avı. Kimlik avı, fidye yazılımı saldırıları için bir vektör olarak büyümeye devam ederken, sıfır saat, gerçek zamanlı tehdit önleme çözümleri bu tehditleri durdurmak için kritik öneme sahip, “dedi E-Commerce Times’a.
Kötü amaçlı bağlantılar ve diğer vektörler yoluyla kimlik avı sitelerine çalışan web trafiğini engelleme ve öldürme zincirinin başlangıcında bir fidye yazılımı saldırısını durdurma yeteneğinin çok önemli olduğunu da sözlerine ekledi.
Güven Faktörleri
LinkedIn kullanımı, iş amaçları ile kişisel kariyer gelişimi arasındaki sınırı bulanıklaştırır. Satış ve pazarlama uzmanları veya LinkedIn’i iş amacıyla kullanan işe alım görevlileri gibi bireyler için, işverenler onlara güvenin geçişsiz olmadığını hatırlatmalıdır.
İkinci düzey bağlantıların temelde bilinmeyen bireyler olduğunu kabul edin. Vectra AI güvenlik firmasının CTO’su Oliver Tavakoli, LinkedIn’deki tüm bilgilerin, ne kadar profesyonel görünürse görünsün tamamen sahte olabileceğini gözlemledi.
“LinkedIn dolandırıcılığına kanmamak için, aynı mesajın iş gelen kutunuza e-posta yoluyla geldiğini hayal edin. Kimlik avı dolandırıcılıklarını belirlemek için aldığınız eğitimi uygulayın. Yalnızca tanıştığınız veya sizinle resmen tanıştırılan kişilerin bağlantılarını kabul edin, ”dedi E-Commerce Times’a.
LinkedIn, sahte profilleri bulmak ve silmek için çaba sarf etmelidir. Tavakoli ayrıca, kuruluşların sahte profillerdeki yanlış iddiaları – örneğin belirli bir kuruluşta çalışmış olmak – bu tür yanlışlıkları hızlı bir şekilde düzeltmek için işaretlemesini çok daha kolay hale getirmesi gerektiğini de sözlerine ekledi.
“Son kullanıcı cephesinde, eğitimin gerçek bir ikamesi yok – şüpheciliği öğretmek ve güvenin geçişli etkisine kanmamak,” diye tavsiyede bulundu.
Bir Düşünün
Harr, LinkedIn kullanıcılarının verilerinin yüzde 92’sinin 2021 ihlali sırasında açığa çıktığını düşünürsek, siber suçluların LinkedIn verilerinden yararlanarak saldırılarını artırması şaşırtıcı değil. “Ancak elimizdeki verilere göre LinkedIn’in en çok taklit edilen marka haline geldiğini görmüyoruz. Bu unvan Microsoft’a aittir.”
Schless, LinkedIn’in kimlik avı ile ilgili saldırılarda kullanılan platformlar listesinde üst sıralara çıkmasıyla birlikte, kuruluşların çalışanları korumak ve web tabanlı saldırı riskini azaltmak için kabul edilebilir kullanım politikalarını (AUP’ler) güncellemeleri gerektiğini önerdi. Zengin tehdit istihbaratı veri kümeleriyle beslenen güvenli web ağ geçitleri (SWG) gibi bulut tabanlı web proxy’leri, kuruluşların dinamik AUP’ler oluşturmasına ve kurumsal verileri korumasına yardımcı olabilir.
Bu, yöneticilerin çalışanlarının ve konuk kullanıcılarının internet kaynaklı kötü amaçlı yazılımları, virüsleri ve kimlik avı sitelerini engellemek amacıyla hangi web sitelerine erişebileceklerini kontrol etmelerini sağlar.
SWG, modern kurumsal güvenlik cephaneliğinde bulunması gereken kritik bir çözümdür. Kötü amaçlı sitelere yanlışlıkla erişimi engellemenin bir yolunu sunar ve ayrıca kullanıcıları fidye yazılımı, diğer kötü amaçlı yazılımlar ve kimlik avı saldırıları gibi modern web tabanlı tehditlerden korumak için güvenli bir tünel olabilir.