Sociálna sieť LinkedIn určená pre profesionálov je obrovská, verejne prístupná databáza firemných informácií. Neverte, že každý na tejto platforme je tým, za koho sa vydáva.
Prečo je LinkedIn terčom?
LinkedIn od svojho založenia v roku 2003 zhromaždil viac než jednu miliardu „členov“ po celom svete. To je obrovské množstvo potenciálnych cieľov pre štátmi podporovaných aj finančne motivovaných útočníkov. Prečo je však táto platforma taká populárna? Vyniká niekoľko dôvodov:
1. LinkedIn je skvelý zdroj informácií
Hĺbkovým skúmaním platformy môžu útočníci zistiť úlohy a zodpovednosti kľúčových ľudí v cielenej spoločnosti, vrátane nových zamestnancov. Dokážu si tiež poskladať pomerne presný obraz o vzťahoch medzi jednotlivcami a o tom, na akých typoch projektov môžu pracovať. To všetko sú neoceniteľné informácie, ktoré následne môžu využiť v spear-phishingu a pri podvodoch typu BEC (Business Email Compromise).
2. Dodáva dôveryhodnosť a krytie
Keďže LinkedIn je profesionálna sieť, používajú ho rovnako vysoko postavení manažéri aj zamestnanci na nižších pozíciách. Oboch môže útočník vedieť využiť. Obeť skôr otvorí súkromnú správu (DM) alebo InMail od niekoho na LinkedIne než nevyžiadaný e-mail. V prípade členov vrcholového vedenia (C-suite) to dokonca môže byť jediný spôsob, ako ich zacieliť priamo, pretože e-maily často kontrolujú iba podriadení.
3. Obchádza „tradičné“ zabezpečenie
Keďže správy prechádzajú cez servery LinkedInu, a nie cez firemné e-mailové systémy, firemné IT nemá prehľad o tom, čo sa deje. Hoci má LinkedIn určité zabudované bezpečnostné opatrenia, neexistuje záruka, že sa cez ne nedostanú phishing, škodlivý kód a spam. A vzhľadom na dôveryhodnosť platformy môžu ciele častejšie kliknúť na niečo škodlivé.
4. Je jednoduché začať
Pre útočníkov môže byť návratnosť investícií (ROI) pri útokoch cez LinkedIn obrovská. Ktokoľvek si môže zaregistrovať profil a začať „prečesávať“ platformu – buď kvôli získavaniu informácií z profilov, alebo kvôli phishingu a správam v štýle BEC. Útoky sa dajú pomerne ľahko automatizovať a škálovať. Na zvýšenie dôveryhodnosti môžu útočníci ukradnúť existujúce účty alebo si vytvoriť falošné identity, ktoré sa vydávajú za uchádzačov o prácu či recruiterov. Bohatá ponuka kompromitovaných prihlasovacích údajov kolujúcich na kyberzločineckých fórach (aj vďaka infostealerom) to uľahčuje viac než kedykoľvek predtým.
Ktoré útoky sú najčastejšie?
Ako už bolo uvedené, útočníci môžu na LinkedIne realizovať svoje škodlivé kampane rôznymi spôsobmi. Patria medzi ne:
1. Phishing a spear-phishing
Využitím informácií, ktoré používatelia zdieľajú v profiloch, dokážu útočníci prispôsobiť phishingové kampane tak, aby mali vyššiu úspešnosť.
2. Priame útoky
Protivníci môžu osloviť obete priamo a posielať škodlivé odkazy určené na nasadenie malvéru, napríklad infostealerov, alebo propagovať pracovné ponuky, ktorých cieľom je získať prihlasovacie údaje. Alternatívne môžu štátom podporovaní aktéri využívať LinkedIn na verbovanie „insiderov“.
3. BEC
Podobne ako pri phishingu poskytuje LinkedIn množstvo informácií, ktoré sa potom dajú využiť na to, aby boli útoky typu BEC presvedčivejšie. Podvodníkom môže pomôcť identifikovať, kto je komu podriadený, na čom pracujú, a mená partnerov alebo dodávateľov.
4. Deepfaky
LinkedIn môže obsahovať aj videá cieľových osôb, ktoré sa dajú použiť na vytváranie ich deepfakov – následne využiteľných v phishingu, BEC alebo podvodoch na sociálnych sieťach.
5. Krádež účtov
Falošné stránky LinkedInu (phishing), infostealery, credential stuffing a ďalšie techniky môžu útočníkom pomôcť prevziať účty používateľov. Tie sa potom dajú využiť v následných útokoch na ich kontakty.
6. Útoky cez dodávateľov
LinkedIn sa dá prečesávať aj kvôli údajom o partneroch cielenej firmy, ktorí môžu byť následne napadnutí phishingom v rámci „odrazového mostíka“ (stepping stone attack).
Príklady hackerských skupín, ktoré využili niektoré z uvedených taktík:
- Severokórejská skupina Lazarus sa na LinkedIne vydávala za recruiterov s cieľom nainštalovať malvér na zariadenia ľudí pracujúcich v letecko-kozmickej spoločnosti, ako zistili výskumníci spoločnosti ESET. Výskumníci tiež nedávno opísali kampane Wagemole, v ktorých sa osoby napojené na Severnú Kóreu snažia získať zamestnanie v zahraničných firmách ako IT pracovníci.
- ScatteredSpider zavolal na helpdesk MGM a vydával sa za zamestnanca, ktorého našiel na LinkedIne, aby získal prístup do organizácie. Následný ransomvérový útok spôsobil firme straty vo výške 100 miliónov dolárov.
- Spearphishingová kampaň s názvom „Ducktail“ cielila marketingových a HR profesionálov na LinkedIne; cez odkazy v DM správach doručovala malvér na krádež informácií. Samotný malvér bol hostovaný v cloude.
Ako zostať v bezpečí na LinkedIn
Ako už bolo spomenuté, problém hrozieb na LinkedIne je v tom, že pre IT oddelenia je ťažké získať reálny prehľad o rozsahu rizika pre zamestnancov a o taktikách, ktoré sa používajú pri cielení. Dá sa však odporučiť zaradiť scenáre hrozieb na LinkedIne (ako tie uvedené vyššie) do školení zameraných na bezpečnostné povedomie. Zamestnancov treba tiež upozorniť na riziká prílišného zdieľania informácií a poskytnúť im pomoc pri rozpoznávaní falošných účtov a typických phishingových návnad.
Aby sa znížilo riziko krádeže účtu, mali by dodržiavať pravidlá pravidelného aktualizovania (patchovania), inštalovať bezpečnostný softvér na všetky zariadenia (od dôveryhodného poskytovateľa) a zapnúť viacfaktorové overovanie (MFA). Môže byť užitočné pripraviť špecifické školenie aj pre členov vrcholového vedenia, ktorí sú často cieľom útokov. Predovšetkým zabezpečte, aby si zamestnanci uvedomovali, že aj na dôveryhodnej sieti, akou je LinkedIn, nie každý má na zreteli ich najlepší záujem.
