В ноябре Служба безопасности Великобритании начала уведомлять членов парламента (депутатов) и их сотрудников о дерзкой схеме сбора иностранной разведки. Она утверждала, что два профиля в LinkedIn обращались к людям, работающим в британской политике, с целью получить «инсайдерскую информацию». Откровения от MI5 привели к государственной инициативе стоимостью 170 миллионов фунтов стерлингов (230 миллионов долларов США) по борьбе с угрозами шпионажа в парламенте.

Это может быть самый громкий случай злоупотребления LinkedIn злоумышленниками в последнее время. Но это далеко не первый. Сайт также может быть настоящим кладезем корпоративных данных, которые можно использовать для мошенничества или проведения атак. Пора профессионалам задуматься о рисках цифрового нетворкинга.

Почему LinkedIn — цель?

С момента своего основания в 2003 году LinkedIn собрал более миллиарда «участников» по всему миру. Это огромное количество потенциальных целей для спонсируемых государствами и мотивированных деньгами злоумышленников. Но почему платформа так популярна? Выделяется несколько причин:

  • Это отличный источник информации: Копаясь на сайте, злоумышленники могут узнать о должностях и обязанностях ключевых сотрудников в целевой компании, включая новичков. Они также могут составить довольно точную картину взаимоотношений между людьми и того, над какими проектами они могут работать. Это бесценная разведывательная информация, которая затем может быть использована для фишинга и мошеннических схем BEC.
  • Это обеспечивает доверие и прикрытие: Поскольку LinkedIn — это сайт для профессионального общения, его посещают как высокопоставленные руководители, так и рядовые сотрудники. И те, и другие могут быть полезны злоумышленнику. Жертвы с большей вероятностью откроют личное сообщение или InMail от кого-то на сайте, чем от нежелательного электронного письма. Фактически, когда речь идет о топ-менеджерах, это может быть единственным способом связаться с ними напрямую, поскольку электронную почту часто проверяют только подчиненные.
  • Обходит «традиционную» безопасность: Поскольку сообщения проходят через серверы LinkedIn, а не через корпоративные почтовые системы, корпоративный IT-отдел не видит, что происходит. Хотя в LinkedIn есть некоторые встроенные меры безопасности, нет гарантии, что фишинговые сообщения, вредоносное ПО и спам не пройдут. И из-за доверия к сайту, цели могут с большей вероятностью перейти по вредоносной ссылке.
  • Легко начать: Для злоумышленников потенциальная отдача от атак с использованием LinkedIn огромна. Любой может зарегистрировать профиль и начать просматривать сайт в поисках профилей для извлечения информации или для таргетирования фишинговыми сообщениями и сообщениями в стиле BEC. Атаки относительно легко автоматизировать для масштабирования. И чтобы придать легитимность фишинговым усилиям, злоумышленники могут захотеть захватить существующие учетные записи или создать поддельные личности, прежде чем выдавать себя за соискателей работы или рекрутеров. Обилие скомпрометированных учетных данных, циркулирующих на форумах киберпреступников (частично благодаря инфостилерам), делает это проще, чем когда-либо.

Какие атаки наиболее распространены?

Как уже упоминалось, существует несколько способов, которыми злоумышленники могут использовать LinkedIn для проведения своих вредоносных кампаний. К ним относятся:

  • Фишинг и целевой фишинг: Используя информацию, которой пользователи LinkedIn делятся в своих профилях, они могут настраивать фишинговые кампании для повышения их успешности.
  • Прямые атаки: Злоумышленники могут напрямую связываться с вредоносными ссылками, предназначенными для развертывания вредоносного ПО, такого как инфостилеры, или предлагать вакансии для сбора учетных данных. Альтернативно, государственные операторы могут использовать LinkedIn для найма «инсайдеров», как предупреждала MI5.
  • BEC: Как и в случае с фишингом, LinkedIn предоставляет массу информации, которую затем можно использовать, чтобы сделать атаки BEC более убедительными. Это может помочь мошенникам определить, кто кому подчиняется, над какими проектами они работают, и имена любых партнеров или поставщиков.
  • Дипфейки: LinkedIn также может содержать видеозаписи целей, которые могут быть использованы для создания их дипфейков для использования в последующих фишинговых атаках, BEC или мошенничества в социальных сетях.
  • Захват учетных записей: Поддельные страницы LinkedIn (фишинговые), инфостилеры, брешинг учетных данных и другие методы могут быть использованы для помощи злоумышленникам в захвате учетных записей пользователей. Они могут быть использованы в последующих атаках на их контакты.
  • Атаки на поставщиков: LinkedIn также может использоваться для поиска информации о партнерах целевой компании, которые затем могут стать целью фишинговых атак в рамках «ступенчатой» атаки.

Примеры групп злоумышленников, использующих некоторые из вышеперечисленных методов, включают:

  • Северокорейская группа Lazarus выдавала себя за рекрутеров в LinkedIn, чтобы установить вредоносное ПО на компьютеры людей, работающих в аэрокосмической компании, как обнаружили исследователи ESET. Действительно, исследователи также недавно описали кампании IT-сотрудников Wagemole, в которых северокорейские лица пытаются получить работу в зарубежных компаниях.
  • ScatteredSpider, позвонив в службу поддержки MGM, выдавая себя за сотрудника, найденного в LinkedIn, чтобы получить доступ к организации. Последовавшая атака программы-вымогателя привела к убыткам компании в размере 100 миллионов долларов.
  • Фишинговая кампания под названием «Ducktail» была нацелена на специалистов по маркетингу и HR в LinkedIn, с вредоносным ПО для кражи информации, доставляемым через ссылки в личных сообщениях. Само вредоносное ПО размещалось в облаке.

Как оставаться в безопасности в LinkedIn

Как уже упоминалось, проблема угроз в LinkedIn заключается в том, что IT-отделам сложно получить реальное представление о масштабах риска для своих сотрудников и о том, какие тактики используются для их таргетирования. Однако было бы разумно включить сценарии угроз в LinkedIn, описанные выше, в курсы повышения осведомленности о безопасности. Сотрудников также следует предупреждать о чрезмерном раскрытии информации на сайте и предоставлять им помощь в распознавании поддельных учетных записей и типичных фишинговых приманок.

Чтобы избежать захвата своих учетных записей, они также должны следовать политике регулярного обновления ПО, установки программного обеспечения безопасности на все устройства (от надежного поставщика, конечно) и включения многофакторной аутентификации. Возможно, стоит провести специальные тренинги для руководителей, которые часто становятся более частыми целями. Прежде всего, убедитесь, что ваши сотрудники понимают, что даже в доверенной сети, такой как LinkedIn, не у всех есть их лучшие интересы на уме.

Читать полный анализ на WeLiveSecurity →