ESET, 500 milyon LinkedIn kullanıcısını hedef alan ve sahte iş tekliflerini yem olarak kullanan bir kimlik avı saldırısı hakkında uyarıda bulundu.
500 milyon LinkedIn kullanıcısının verileri satılık
Facebook kullanıcısı 533 milyon kullanıcının kişisel verilerinin ifşa edilmesi ve bazı forumlarda satılmasının ardından ESET, bu tür forumlarda 500 milyon LinkedIn kullanıcısının verilerinin de satıldığını açıkladı.
Bilgiler dört dosya üzerinden sunuluyor ve tam isimler, cinsiyet, e-posta adresi, telefon numarası, iş yeri ve iş tanımı verileri, LinkedIn profillerine bağlantılar ve ayrıca diğer sosyal ağlara bağlantılar yer alıyor.
Ayrıca forumda 2 dolar karşılığında örnek bir dosya sunuluyor. Bu örnek, iki milyon kullanıcının verilerini içeriyor, ancak görünüşe göre tam bilgiyi elde etmek için minimum fiyat bin doları aşıyor. Verileri pazarlayan kullanıcı, LinkedIn’den çıkarıldığını iddia etse de, verilerin güncel olup olmadığı bilinmiyor.
ESET uzmanı Josep Albors, konuyla ilgili olarak “Facebook verilerinin ifşa edildiği bu hafta söylediğimiz gibi, bu bilgiler kötü niyetli kişiler tarafından sosyal mühendislik saldırıları gerçekleştirmek için kullanılabilir. Örneğin, potansiyel kurbanın belirli verilerini içeren kişiselleştirilmiş kimlik avı e-postaları, onları meşru olduğuna ikna etmek, kurbanın kimliğine bürünmek ve klonlanmış hesaplar oluşturarak kişilerini kandırmaya çalışmak” dedi ve herkesi, kendilerine gelebilecek sahte mesajlar konusunda uyardı.
LinkedIn profesyonellerini hedef alan ve sahte iş tekliflerini yem olarak kullanan bir kimlik avı kısa süre önce ortaya çıktı. Sahte mesaj, kötü niyetli bir ZIP dosyası içeriyor ve potansiyel kurbanları, Golden Chickens tarafından oluşturulan daha fazla yumurtayı bilgisayara indirmeye ikna etmeye çalışıyor.
LinkedIn’le ilgili bu gelişme, iş odaklı sosyal ağın siber saldırılara ilk hedef oluşu değil. Geçen yıl ESET, diğer siber casusluk gruplarının LinkedIn aracılığıyla sosyal mühendisliği kullanarak askeri ve havacılık şirketlerine saldırılar başlattığını belirtmişti. Bu nedenle, sözü edilen türde bilgiler farklı suç profilleri için değerli olabilir. ESET’in Baş Güvenlik Evangelisti Tony Anscombe “Her hesap için benzersiz parolalar, çok faktörlü kimlik doğrulama ve ESET gibi iyi bir güvenlik yazılımı kullanmak kendinizi korumanıza yardımcı olabilir. Ayrıca, parolaları hatırlayamıyorsanız veya benzersiz ve karmaşık parolalar oluşturamıyorsanız, bir parola yöneticisi düşünün” dedi.
