Bilgisayar korsanları, bazı durumlarda erişim kazanmak için kullanıcılardan küçük bir fidye talep ederek ve kalıcı olarak silme tehdidinde bulunarak saldırılardan para kazanıyorlar.
Microsoft’un bir yan kuruluşu olan LinkedIn, kampanya hakkında henüz kamuoyuna açıklama yapmasa da, son haftalarda dünya çapında insanları etkiledi. Cyberint tarafından yayınlanan yakın tarihli bir rapora göre, sosyal medyadaki konuşmalar ve Google aramaları, profesyonel odaklı sosyal medya platformundaki hesap saldırılarında “son 90 gün içinde önemli bir artış” olduğunu gösteriyor.
Cyberint’te bir güvenlik araştırmacısı olan Coral Tayar, raporda, kullanıcılar için LinkedIn desteği yanıt süresinin, yüksek hacimli destek talepleri nedeniyle uzadığını ve bunun bir şeylerin yanlış olduğunu gösterdiğini yazdı.
“[Google] ‘LinkedIn hesabı saldırıya uğradı’ veya ‘LinkedIn hesabı kurtarma’ gibi arama sorguları önemli bir artış eğilimi yaşadı … yüzde yerine ‘kırılma’ terimi, arama teriminin %5.000’in üzerinde büyüdüğünü gösteriyor” diye yazdı.
İki Saldırı Senaryosu
Kullanıcılar arasında bir miktar öfkeye neden olan konuyla ilgili şimdiye kadarki sessizliğine rağmen, LinkedIn şüpheli hesapla ilgili etkinliğin farkında gibi görünüyor. LinkedIn bugün bir yorum talebine hemen yanıt vermedi.
“Şu anda LinkedIn’e kesinlikle kızgınım!” Raporda yayınlanan bir yoruma göre, bir kişi eski adıyla Twitter olan X’te öfkelendi. “Bir hack’in kurbanı oldu ve bir güvenlik sistemi için acıklı mazeretleri onu durduramadı. Onlardan da yanıt gelmedi.”
Bununla birlikte, çevrimiçi olarak yayınlanan hesap korsanlığı raporlarında, iki senaryo ortaya çıktı; bunlardan biri, LinkedIn’in halihazırda kullanıcılar adına bazı adımlar attığını gösteriyor. Bu senaryoda, LinkedIn, şüpheli etkinlik veya bilgisayar korsanlığı girişimleri nedeniyle bir kişinin hesabını geçici olarak kilitler ve ardından kullanıcıyı eylem hakkında bilgilendirerek hesapları doğrulamasını ve yeniden erişim kazanmak için parolalarını güncellemesini ister.
Tayar, “Bu durumda, tehdit aktörleri muhtemelen iki faktörlü kimlik doğrulama ile hesapları ihlal etmeye çalıştı veya parolalara yönelik kaba kuvvet saldırıları denedi, bu da LinkedIn’in bu girişimleri engellemesine yol açtı.”
İkinci senaryo daha talihsizdir, çünkü kurbanların LinkedIn hesapları, hesaplarını bağımsız olarak kurtarmaları imkansız olacak şekilde tamamen saldırıya uğramıştır. Bu örnekte, saldırganlar hesaba erişim elde eder ve hesabın ilişkili e-posta adresini, genellikle rambler.ru posta sistemini kullanarak potansiyel olarak oluşturulmuş adresleri kullanarak başka bir e-posta adresiyle değiştirir.
Saldırganlar daha sonra hesabın şifresini değiştirmeye devam eder ve hesabın e-posta adresini değiştirdikleri için, kullanıcı genellikle olabileceği gibi hesaba bağlı önceki e-posta adresini kullanarak oturum açma ayrıntılarını kurtaramaz.
Tayar, “Bazı kurbanlar, yeniden erişim sağlamak için fidye mesajları aldı (genellikle birkaç on dolar talep ederken), diğerleri hesaplarının tamamen silindiğine tanık oldu.”
LinkedIn Hedefleme Tarihi
LinkedIn, siber suçluların hedefi olmaya yabancı değil; Geçen yıl, platform, muhtemelen kurumsal dünyada tanınırlığı ve yaygın kullanımı nedeniyle, kimlik avı girişimlerinde en çok suistimal edilen marka olarak kabul edildi. Ve bu yılın Haziran ayında, Kuzey Koreli APT Lazarus, bir kimlik avı kampanyasında güvenlik araştırmacılarını hedef almak için sahte LinkedIn profilleri kullanırken tespit edildi.
Geçen Temmuz ayında keşfedilen bir başka hedefli kimlik avı kampanyasında saldırganlar, kötü amaçlı reklamcılık planları yürütmek için Facebook Business hesaplarını ele geçirme çabasının bir parçası olarak LinkedIn’i hedef aldı.
Tayar, son hesap ele geçirme kampanyasının arkasındaki nedenin belirsizliğini korusa da, tehdit aktörlerinin güvenliği ihlal edilmiş profilleri kullanarak girebilecekleri bir dizi kötü niyetli faaliyet olduğunu kaydetti. Saldırganlar, güvenilir bir iş arkadaşını veya amirini taklit ederek kimlik avı kampanyalarını sosyal olarak tasarlamak için birinin LinkedIn profilini kullanabilir.
Ayrıca, iş arkadaşları arasındaki konuşmalara erişerek değerli bilgiler toplayabilirler veya hesaplarını kötü amaçlı içerik içeren gönderiler yapmak veya iş bağlantılarına zarar verici veya tehdit edici mesajlar göndermek için kullanarak kurbanların itibarına zarar verebilirler.
Tehdit istihbaratı şirketi Cyware’in yöneticisi Emily Phelps, “Hayatımızın önemli bir bölümünü çevrimiçi olarak yaşıyoruz ve çevrimiçi kimliklerimizin yanlış ellere geçmesini istemiyoruz” diyor.
LinkedIn Hesap Erişimini Şimdi Onaylayın
İhlallerin potansiyel kapsamı ve ciddiyeti nedeniyle Cyberint, kullanıcılara hesaplarda oturum açmalarını ve erişimi derhal onaylamalarını şiddetle tavsiye eder. Kullanıcılar ayrıca hesaplarında bulunan tüm iletişim bilgilerinin gerçekten kendilerine ait olduğundan emin olmalı ve hesabı kilitlerlerse ve e-posta kullanarak hesabı kurtaramazlarsa derhal LinkedIn ile iletişime geçmelidir.
LinkedIn kullanıcıları ayrıca e-posta gelen kutularını, hesaplarına fazladan bir e-posta eklendiğini belirten ve bu da saldırıya uğradıkları anlamına gelebilecek LinkedIn mesajları için kontrol etmelidir. Tayar, “Bu eylemi siz başlatmadıysanız ve böyle bir e-posta bulmadıysanız, bunu önemli bir uyarı işareti olarak kabul edin” ve takip edin, diye yazdı Tayar.
Parola güvenliğini artırmak ve LinkedIn ve diğer platformların hesap erişimi için sunduğu bir özellik olan iki adımlı doğrulama eklemek, birinin profilini tehlikeye karşı daha da güvenli hale getirebilir.