Od LinkedInu po X, od GitHubu po Instagram – príležitostí podeliť sa o pracovné informácie je dnes viac než dosť. Takéto príspevky však môžu nepríjemne poškodiť vašu firmu. Kedy hrá prílišné zdieľanie zamestnancami do kariet útočníkom?
Employee advocacy – podpora firemnej značky cez zamestnancov – je tu ako koncept už viac než desať rokov. To, čo sa začalo ako dobre mienený spôsob, ako posilniť firemný profil, thought leadership a marketing, má však aj nečakané následky. Keď profesionáli publikujú o svojej práci, firme a svojej roli, chcú osloviť podobne zmýšľajúcich odborníkov, potenciálnych klientov a partnerov. Lenže príspevky pozorne sledujú aj útočníci.
Akonáhle sú tieto informácie vo verejnom priestore, často sa využívajú na prípravu presvedčivých útokov typu spearphishing (cielený phishing) alebo business email compromise (BEC – kompromitácia firemnej e-mailovej komunikácie). Čím viac informácií, tým viac príležitostí pre podvodné aktivity, ktoré môžu vašu organizáciu tvrdo zasiahnuť.
Kde všade vaši zamestnanci zdieľajú?
Hlavnými platformami na zdieľanie takýchto informácií sú klasickí „podozriví“. LinkedIn je asi ten najviditeľnejší. Dalo by sa o ňom hovoriť ako o najväčšej otvorenej databáze firemných informácií na svete: hotový poklad v podobe pracovných pozícií, rolí, zodpovedností a interných vzťahov. Je to tiež miesto, kde recruiteri zverejňujú pracovné ponuky – tie často až príliš detailne opisujú technické prostredie, čo sa neskôr dá využiť pri príprave spearphishingových útokov.
GitHub je v kyberbezpečnostnom kontexte známy ako priestor, kde roztržití developeri zverejňujú hardcoded prístupové údaje, duševné vlastníctvo či zákaznícke dáta. Popri tom však môžu zdieľať aj na prvý pohľad nevinné informácie o názvoch projektov, CI/CD pipeline, používaných technológiách a open-source knižniciach. V Git commit nastaveniach sa môžu objaviť aj firemné e-mailové adresy.
Potom sú tu klasické spotrebiteľské sociálne siete ako Instagram a X. Práve tu zamestnanci často zdieľajú detaily o pracovných cestách na konferencie a iné podujatia – informácie, ktoré možno zneužiť proti nim aj proti organizácii. Dokonca aj údaje na firemnom webe môžu byť užitočné pre podvodníkov či hackerov: napríklad informácie o technických platformách, dodávateľoch a partneroch či veľké firemné oznamy ako M&A aktivity (fúzie a akvizície). To všetko môže poslúžiť ako zámienka na sofistikovaný phishing.
Ako môže zdieľanie zneužiť útočník?
Prvou fázou typického útoku s využitím sociálneho inžinierstva je zber informácií. Následne útočník tieto údaje zužitkuje – využije ich v cielenom spearphishingovom útoku, ktorého cieľom je presvedčiť obeť, aby si do zariadenia nechtiac nainštalovala malvér alebo odovzdala svoje firemné prihlasovacie údaje. Komunikácia môže prebehnúť e-mailom, SMS správou či dokonca telefonátom. Alebo môže útočník získané informácie použiť na vydávanie sa za člena top manažmentu či dodávateľa v e-maile, telefonáte alebo videohovore, v ktorom naliehavo žiada o urgentný prevod peňazí.
Takéto útoky zvyčajne stavajú na kombinácii impersonifikácie (vydávanie sa za niekoho), naliehavosti a relevancie. Tu je niekoľko hypotetických príkladov:
- Útočník nájde na LinkedIne informácie o novom kolegovi v IT tíme firmy – vrátane jeho roly a zodpovedností. Začne sa vydávať za zástupcu kľúčového technického dodávateľa a tvrdí, že je nutné okamžite nainštalovať bezpečnostnú aktualizáciu. V komunikácii používa meno, kontakty aj rolu cieľa. Odkaz na aktualizáciu je však škodlivý.
- Útočník získá na GitHube informácie o dvoch kolegoch a projekte, na ktorom pracujú. V e-maile sa vydáva za jedného z nich a požiada druhého, aby si pozrel priložený dokument – ten je v skutočnosti infikovaný malvérom.
- Podvodník nájde video vystúpenia manažéra na LinkedIne alebo na firemnom webe. Z jeho Instagram/X profilu vidí, že manažér bude prezentovať na konferencii a nebude v kancelárii. Pretože vie, že manažéra bude ťažké zastihnúť, spustí BEC útok s deepfake videom alebo audionahrávkou – snaží sa tak presvedčiť člena finančného tímu, aby urgentne poslal peniaze novému dodávateľovi.
Varovné príbehy z praxe
Vyššie uvedené scenáre sú hypotetické. No existuje množstvo reálnych prípadov, keď útočníci využili techniky „open source intelligence“ (OSINT) v úvodných fázach útokov. Napríklad:
- BEC útok, ktorý pripravil nemocnicu Children’s Healthcare of Atlanta (CHOA) o 3,6 milióna dolárov: Útočníci pravdepodobne prechádzali tlačové správy o novom kampuse, aby získali detaily vrátane informácií o stavebnom partnerovi nemocnice. Následne využili LinkedIn a/alebo firemný web, aby identifikovali kľúčových manažérov a členov finančného tímu stavebnej firmy (JE Dunn). Nakoniec sa v e-maile vydávali za CFO tejto firmy a požiadali finančný tím CHOA o zmenu platobných údajov pre JE Dunn.
- Skupiny SEABORGIUM (napojená na Rusko) a TA453 (napojená na Irán) používajú OSINT na prieskum pred spearphishingovými útokmi na vopred vybraných cieľov. Podľa britského NCSC využívajú sociálne siete a profesionálne platformy na to, aby „skúmali záujmy cieľov a identifikovali ich reálne sociálne a profesijné kontakty“. Keď si cez e-mail vybudujú dôveru a vzťah, pošlú odkaz na získanie prihlasovacích údajov obete.
Obmedziť zdieľanie? Ako znížiť riziko spearphishingu
Riziká nadmerného zdieľania sú skutočné, našťastie však existujú relatívne jednoduché opatrenia. Najsilnejšou zbraňou vo vašom arzenáli je vzdelávanie. Aktualizujte programy bezpečnostného povedomia tak, aby všetci zamestnanci – od manažmentu nadol – chápali dôležitosť toho, aby na sociálnych sieťach nezdieľali viac, než je nevyhnutné. V niektorých prípadoch to bude znamenať citlivé prehodnotenie priorít – nie „employee advocacy za každú cenu“.
Upozornite zamestnancov, aby neposielali citlivé informácie ako reakciu na nevyžiadané súkromné správy (DM), aj keď používateľa poznajú – jeho účet mohol byť kompromitovaný. Zároveň ich naučte rozpoznávať phishing, BEC a deepfake pokusy.
Tieto aktivity podporte striktnou politikou používania sociálnych sietí, ktorá jasne vymedzí, čo sa smie a čo sa nesmie zdieľať, a tiež hranice medzi osobnými a pracovnými/oficiálnymi účtami. Firemné weby a oficiálne účty môže byť potrebné skontrolovať a upraviť tak, aby neobsahovali informácie, ktoré by bolo možné zneužiť.
Samozrejmosťou by malo byť viacfaktorové overovanie (MFA) a silné heslá (uložené v správcovi hesiel) pre všetky účty na sociálnych sieťach, aby v prípade kompromitácie profesionálnych účtov nebolo možné ľahko cieliť útoky na kolegov.
Napokon, monitorujte verejne dostupné účty, pokiaľ je to možné, a hľadajte informácie, ktoré by sa dali využiť na spearphishing alebo BEC. A realizujte red team cvičenia zamerané na zamestnancov, aby ste otestovali ich pozornosť a pripravenosť.
Žiaľ, umelá inteligencia dnes útočníkom výrazne uľahčuje profilovanie cieľov, zber OSINT informácií a tvorbu presvedčivých správ v dokonalej prirodzenej reči. AI-podporované deepfake techniky ešte viac rozširujú ich možnosti. Základné pravidlo by malo znieť: ak je to vo verejnom priestore, rátajte s tým, že o tom vie aj kyberzločinec – a skôr či neskôr sa poskúsi zaútočiť.
