Cyberkriminelle können Jobs auf LinkedIn posten und sich als beliebiger Arbeitgeber ausgeben

Die laxe Überprüfung, welches Unternehmen eine bestimmte Stelle auf LinkedIn anbietet, ermöglicht es Angreifern, gefälschte Stellenausschreibungen für böswillige Zwecke zu erstellen.

Es scheint, dass LinkedIn von Cyberkriminellen als Medium genutzt wird, um mit Opfern in Kontakt zu treten. Bedrohungsakteure haben heute die Möglichkeit, sich bei der Veröffentlichung von Stellenanzeigen als Mitarbeiter eines legitimen Unternehmens auszugeben.

Betrügereien mit Stellenausschreibungen sind eine der wirkungsvollsten Social-Engineering-Taktiken, die heutzutage eingesetzt werden – die Nutzung einer gut etablierten Website wie LinkedIn und die völlige Abwesenheit von E-Mail-basiertem Phishing, gepaart mit dem Wunsch des potenziellen Bewerbers, jeden Prozess zu durchlaufen, der notwendig ist, um diesen coolen Job bei diesem großartigen Unternehmen mit der fantastischen Bezahlung zu bekommen, ergibt einen perfekten Cybersturm.

Ich habe bereits im Jahr 2019 über solche Angriffe geschrieben, als ein Entwickler einer Bank auf der Suche nach einem neuen Job war und dazu verleitet wurde, ein RAT zu installieren, unter der Annahme, dass es sich um ein Programm handelte, mit dem er eine Bewerbung ausfüllen konnte. Es scheint, dass LinkedIn immer noch keine Möglichkeit hat, zu überprüfen, ob der Poster von dem Unternehmen stammt, das er vorgibt zu sein.

Laut Bleeping Computer waren Sicherheitsforscher kürzlich in der Lage, den Posting-Prozess zu durchlaufen, ohne das Unternehmen, für das sie angeblich arbeiten, überprüfen zu müssen. Dies ist ein enormer Vorteil für den Bedrohungsakteur. Denken Sie darüber nach: Wenn ich eine bestimmte Branche oder ein bestimmtes Unternehmen ins Visier nehmen möchte, kann ich einen Entwicklerjob als konkurrierendes Unternehmen in derselben Branche ausschreiben. Einfaches, elegantes und wahrscheinlich effektives Social Engineering – alles dank LinkedIn.

Diese Art des Angriffs ist eine der raffiniertesten, da das Opfer das Gefühl hat, die Verbindung selbst herzustellen (im Gegensatz zu einer Phishing-E-Mail, die in Ihrem Posteingang auftaucht) und emotional daran interessiert ist, den Prozess bis zum Ende zu verfolgen.

Die Gefahr, auf Social Engineering hereinzufallen, ist einer der Hauptgründe dafür, dass Unternehmen ihre Benutzer zu kontinuierlichen Sicherheitsschulungen anhalten müssen – Social-Engineering-Taktiken sind nicht nur in E-Mails zu finden, und diese neuesten Erkenntnisse auf LinkedIn bestätigen diese Annahme.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Recommended Posts