İş Dünyası İçin Yeni Risk LinkedIn Tabanlı Siber Saldırılar
Kasım ayında, İngiltere Güvenlik Servisi, parlamento üyelerine ve onların çalışanlarına, cüretkâr bir yabancı istihbarat toplama planı hakkında bilgilendirme yaptı. MI5, LinkedIn'deki iki profilin, "içeriden bilgi" elde etmek için İngiliz siyasetinde çalışan kişilere yaklaştığını iddia etti. MI5'in açıklamaları, parlamentoya yönelik casusluk tehditleriyle mücadele etmek için 170 milyon sterlin (230 milyon dolar) tutarında bir hükümet girişiminin başlatılmasına neden oldu. Bu, tehdit aktörlerinin kendi kötü amaçlarını gerçekleştirmek için LinkedIn'i kötüye kullandıkları en son yüksek profilli vaka olabilir. Ancak hiçbir şekilde ilk vaka değil. Site, dolandırıcılık veya tehdit kampanyalarını desteklemek için kullanılabilecek kurumsal verilerin hazinesi de olabilir.
LinkedIn neden hedef oluyor?
LinkedIn, 2003 yılında kurulduğundan bu yana dünya çapında bir milyardan fazla "üye"ye ulaştı. Bu, devlet destekli ve finansal amaçlı tehdit aktörleri için çok sayıda potansiyel hedef anlamına geliyor. Peki, bu platform neden bu kadar popüler? Bunun için birkaç neden öne çıkıyor:
Harika bir bilgi kaynağı: Siteyi araştırarak tehdit aktörleri hedefledikleri şirketteki kilit kişilerin, yeni çalışanlar da dâhil olmak üzere, rollerini ve sorumluluklarını öğrenebilirler. Ayrıca kişiler arasındaki ilişkiler ve üzerinde çalıştıkları projeler hakkında oldukça doğru bir tablo oluşturabilirler. Bunların tümü, spearphishing ve BEC dolandırıcılığı girişimlerinde kullanılabilecek çok değerli istihbaratlardır.
Güvenilirlik ve koruma sağlar: LinkedIn profesyonel bir ağ sitesi olduğu için hem üst düzey yöneticiler hem de alt düzey çalışanlar tarafından sıkça kullanılır. Her ikisi de tehdit aktörleri için faydalı olabilir. Kurbanlar, istenmeyen bir e-postadan ziyade, sitedeki birinden gelen DM veya InMail'i açma eğilimindedir. Aslında üst düzey yöneticiler söz konusu olduğunda e-postalar genellikle sadece astlar tarafından kontrol edildiği için onları doğrudan hedef almanın tek yolu bu olabilir.
Geleneksel güvenliği atlar: Mesajlar kurumsal e-posta sistemleri yerine LinkedIn sunucuları üzerinden iletildiğinden kurumsal BT departmanı neler olup bittiğinden habersizdir. LinkedIn'in bazı yerleşik güvenlik önlemleri olsa da kimlik avı, kötü amaçlı yazılım ve spam mesajlarının geçmeyeceğine dair bir garanti yoktur. Ayrıca sitenin güvenilirliği nedeniyle hedeflerin kötü amaçlı bir bağlantıya tıklama olasılıkları daha yüksektir.
Kullanımı kolay: Tehdit aktörleri için LinkedIn'i kullanarak saldırıların potansiyel getirisi çok yüksektir. Herkes bir profil oluşturabilir ve sitede istihbarat elde etmek veya kimlik avı ve BEC tarzı mesajlarla hedef almak için profilleri tarayabilir. Saldırılar, ölçeklendirme için nispeten kolay bir şekilde otomatikleştirilebilir. Kimlik avı çabalarına meşruiyet katmak için tehdit aktörleri mevcut hesapları ele geçirmek veya sahte kimlikler oluşturmak isteyebilirler. Siber suç forumlarında dolaşan çok sayıda ele geçirilmiş kimlik bilgisi, bunu her zamankinden daha kolay hâle getiriyor.
En yaygın saldırılar
Tehdit aktörlerinin LinkedIn üzerinden kötü niyetli kampanyalarını hayata geçirebilecekleri çeşitli yollar var. Bunlar arasında şunlar yer alıyor:
Oltalama ve hedefli oltalama: LinkedIn kullanıcılarının profillerinde paylaştıkları bilgileri kullanarak oltalama kampanyalarını başarı oranlarını artırmak için özelleştirebilirler.
Doğrudan saldırılar: Düşmanlar, bilgi hırsızları gibi kötü amaçlı yazılımları dağıtmak veya kimlik bilgilerini toplamak amacıyla iş tekliflerini tanıtmak için tasarlanmış kötü amaçlı bağlantılarla doğrudan iletişime geçebilirler. Alternatif olarak, MI5'in uyardığı gibi, devlet destekli ajanlar LinkedIn'i "içeriden bilgi sağlayanlar"ı işe almak için kullanabilirler.
BEC: Kimlik avı örneğinde olduğu gibi LinkedIn, BEC saldırılarını daha ikna edici hâle getirmek için kullanılabilecek zengin bir istihbarat kaynağı sağlar. Bu, dolandırıcıların kimin kime rapor verdiğini, hangi projeler üzerinde çalıştıklarını ve ortaklarının veya tedarikçilerinin isimlerini belirlemelerine yardımcı olabilir.
Deepfake'ler: LinkedIn, hedeflerin videolarını da barındırabilir ve bu videolar, daha sonraki kimlik avı, BEC veya sosyal medya dolandırıcılığında kullanılmak üzere hedeflerin deepfake'lerini oluşturmak için kullanılabilir.
Hesap ele geçirme: Sahte LinkedIn (oltalama) sayfaları, bilgi hırsızları, kimlik bilgisi doldurma ve diğer teknikler, tehdit aktörlerinin kullanıcıların hesaplarını ele geçirmesine yardımcı olmak için kullanılabilir. Bunlar, hedeflerinin kişi listelerini hedef alan sonraki saldırılarda kullanılabilir.
Tedarikçi saldırıları: LinkedIn, hedef alınan şirketin ortakları hakkında ayrıntılı bilgi toplamak için de kullanılabilir. Bu ortaklar daha sonra "basamak taşı" saldırısında kimlik avı ile hedef alınabilir.
LinkedIn'de güvende kalmak
LinkedIn tehditlerinin zorluğu, BT departmanının çalışanları için riskin ne kadar büyük olduğu ve onları hedef almak için hangi taktiklerin kullanıldığı konusunda gerçek bir fikir edinmesinin zor olmasıdır. LinkedIn tehdit senaryolarını güvenlik farkındalık kurslarına dâhil etmek mantıklı olacaktır. Çalışanlar ayrıca sitede aşırı paylaşım yapmamaları konusunda uyarılmalı ve sahte hesapları ve tipik phishing tuzaklarını nasıl tespit edecekleri konusunda yardım almalıdır. Kendi hesaplarının ele geçirilmesini önlemek için düzenli yama uygulama politikasını takip etmeli, tüm cihazlara (güvenilir bir sağlayıcıdan) güvenlik yazılımı yüklemeli ve çok faktörlü kimlik doğrulamayı etkinleştirmelidirler. Genellikle daha sık hedef alınan yöneticiler için özel eğitim kursları düzenlemek de faydalı olabilir. Her şeyden önce, çalışanlarınızın LinkedIn gibi güvenilir bir ağda bile herkesin onların çıkarlarını gözetmediğini anlamalarını sağlamanız önemlidir.
