Το Νοέμβριο, η Υπηρεσία Ασφαλείας της Βρετανίας (MI5) προειδοποίησε βουλευτές και το προσωπικό τους για ένα τολμηρό σχέδιο ξένης κατασκοπείας. Σύμφωνα με την υπηρεσία, δύο ψεύτικα προφίλ στο LinkedIn προσέγγιζαν άτομα που δραστηριοποιούνται στη βρετανική πολιτική, επιχειρώντας να αποσπάσουν «εμπιστευτικές πληροφορίες εκ των έσω».
Οι αποκαλύψεις της MI5 οδήγησαν την κυβέρνηση στην εκκίνηση πρωτοβουλίας ύψους 170 εκατομμυρίων λιρών για την αντιμετώπιση απειλών κατασκοπείας στο Κοινοβούλιο.
«Πρόκειται ίσως για την πιο πρόσφατη υπόθεση υψηλού προφίλ όπου κακόβουλοι παράγοντες εκμεταλλεύονται το LinkedIn για να προωθήσουν τους σκοπούς τους, αλλά σε καμία περίπτωση δεν είναι η πρώτη» εξηγεί ο Phil Muncaster από την ομάδα της παγκόσμιας εταιρίας κυβερνοασφάλειας ESET.
Στο πλαίσιο αυτό, υπενθυμίζει ορισμένα χαρακτηριστικά περιστατικά:
«Μέλη της ομάδας Lazarus της Βόρειας Κορέας έχουν εμφανιστεί ως υπεύθυνοι προσλήψεων στο LinkedIn με στόχο την εγκατάσταση κακόβουλου λογισμικού σε εργαζομένους αεροδιαστημικών εταιρειών, σύμφωνα με την ESET Research. Οι ερευνητές περιέγραψαν επίσης πρόσφατα τις εκστρατείες Wagemole IT worker, στις οποίες άτομα που έχουν σχέση με τη Βόρεια Κορέα προσπαθούν να βρουν εργασία σε εταιρείες του εξωτερικού.
Αντίστοιχα, σε άλλη περίπτωση, μέλος της ομάδας Scattered Spider προσποιήθηκε υπάλληλο της MGM, αξιοποιώντας πληροφορίες αντλημένες από το LinkedIn, προκειμένου να εξαπατήσει το τμήμα υποστήριξης. Η επίθεση ransomware που ακολούθησε προκάλεσε ζημίες ύψους 100 εκατομμυρίων δολαρίων.
Και να μην ξεχνάμε την εκστρατεία spear-phishing Ducktail που είχε ως στόχο επαγγελματίες μάρκετινγκ και ανθρώπινου δυναμικού μέσω κακόβουλων συνδέσμων σε ιδιωτικά μηνύματα, με malware φιλοξενούμενο στο cloud» σημειώνει ο Muncaster και τονίζει ότι «Η πλατφόρμα αποτελεί, επίσης, θησαυρό εταιρικών δεδομένων που μπορούν να αξιοποιηθούν για εκστρατείες απάτης ή απειλών. Ήρθε η ώρα οι επαγγελματίες να συνειδητοποιήσουν τους κινδύνους που ενέχουν τα ψηφιακά επαγγελματικά δίκτυα».
Γιατί το LinkedIn είναι στόχος;
Το LinkedIn έχει συγκεντρώσει περισσότερα από ένα δισεκατομμύριο μέλη παγκοσμίως από την ίδρυσή του το 2003. Αυτό μεταφράζεται σε τεράστιο αριθμό πιθανών στόχων για κρατικά υποστηριζόμενους ή οικονομικά υποκινούμενους παράγοντες απειλής. Αλλά γιατί είναι τόσο ελκυστική η πλατφόρμα για αυτούς;
- Είναι μια πλούσια πηγή πληροφοριών: Μέσω του LinkedIn, οι δράστες μπορούν να εντοπίσουν ρόλους και αρμοδιότητες βασικών στελεχών μιας εταιρείας-στόχου. Παράλληλα, μπορούν να σχηματίσουν μια αρκετά ακριβή εικόνα των επαγγελματικών σχέσεων και των έργων στα οποία συμμετέχουν τα άτομα αυτά. Οι πληροφορίες αυτές είναι ιδιαίτερα πολύτιμες για επιθέσεις spear-phishing και απάτες τύπου Business Email Compromise (BEC).
- Προσφέρει αξιοπιστία και κάλυψη: Ως επαγγελματικό δίκτυο, το LinkedIn φιλοξενεί τόσο ανώτατα στελέχη όσο και εργαζομένους χαμηλότερων βαθμίδων. Και οι δύο κατηγορίες υπαλλήλων μπορεί να είναι χρήσιμες για έναν παράγοντα απειλής. Τα θύματα είναι συχνά πιο πρόθυμα να ανοίξουν ένα ιδιωτικό μήνυμα ή InMail στο LinkedIn απ’ ό,τι ένα ανεπιθύμητο email. Στην περίπτωση υψηλόβαθμων στελεχών, μάλιστα, μπορεί να είναι ο μοναδικός τρόπος άμεσης επικοινωνίας, καθώς τα εταιρικά email ελέγχονται συχνά από βοηθούς.
- Παράκαμψη της «παραδοσιακής» ασφάλειας: Τα μηνύματα του LinkedIn μεταφέρονται μέσω των διακομιστών της πλατφόρμας και όχι μέσω των εταιρικών συστημάτων email, γεγονός που περιορίζει την ορατότητα των τμημάτων IT. Παρότι το LinkedIn διαθέτει ενσωματωμένα μέτρα ασφαλείας, δεν υπάρχει εγγύηση ότι μηνύματα phishing, κακόβουλο λογισμικό ή spam δεν θα φτάσουν στους χρήστες. Επιπλέον, λόγω της φαινομενικής αξιοπιστίας της πλατφόρμας, οι στόχοι είναι συχνά πιο πιθανό να κάνουν κλικ σε κακόβουλους συνδέσμους.
- Ευκολία χρήσης και λειτουργίας: Η πιθανή απόδοση επένδυσης για επιθέσεις μέσω LinkedIn είναι υψηλή. Οποιοσδήποτε μπορεί να δημιουργήσει ένα προφίλ και να αρχίσει να συλλέγει πληροφορίες ή να στέλνει μηνύματα phishing και BEC. Οι επιθέσεις μπορούν να αυτοματοποιηθούν σε μεγάλη κλίμακα, ενώ η πληθώρα παραβιασμένων διαπιστευτηρίων που κυκλοφορούν σε διαδικτυακά φόρουμ (συχνά χάρη σε κακόβουλο λογισμικό infostealer) καθιστά ευκολότερη από ποτέ την κατάληψη λογαριασμών ή τη δημιουργία πειστικών ψεύτικων ταυτοτήτων.
Οι πιο συχνές επιθέσεις
Όπως αναφέρθηκε, υπάρχουν διάφοροι τρόποι με τους οποίους οι δράστες απειλών μπορούν να υλοποιήσουν τις κακόβουλες εκστρατείες τους μέσω του LinkedIn. Αυτοί περιλαμβάνουν:
- Phishing και spearphishing: Προσαρμοσμένες επιθέσεις με βάση πληροφορίες από τα προφίλ των χρηστών.
- Άμεσες επιθέσεις: Αποστολή κακόβουλων συνδέσμων που έχουν σχεδιαστεί για την εγκατάσταση κακόβουλου λογισμικού, όπως infostealers, ψεύτικες αγγελίες εργασίας ή απόπειρες συλλογής διαπιστευτηρίων. Σε ορισμένες περιπτώσεις, κρατικά υποστηριζόμενοι παράγοντες στοχεύουν άτομα με πρόσβαση σε «εσωτερική πληροφόρηση», όπως προειδοποίησε η MI5.
- Business Email Compromise: Το LinkedIn παρέχει μια πληθώρα πληροφοριών που μπορούν στη συνέχεια να χρησιμοποιηθούν για επιθέσεις BEC (οι κυβερνοεγκληματίες προσποιούνται υψηλόβαθμα στελέχη ή συνεργάτες) πιο πειστικές. Μπορεί να βοηθήσει τους απατεώνες να δημιουργήσουν το οργανόγραμμα της εσωτερικής δομής της εταιρείας, τα έργα που υλοποιούνται και τα ονόματα συνεργατών ή προμηθευτών.
- Deepfakes: Χρήση βίντεο από το LinkedIn για τη δημιουργία ψεύτικων οπτικοακουστικών υλικών που αξιοποιούνται σε περαιτέρω απάτες phishing, BEC ή κοινωνικών μέσων.
- Κατάληψη λογαριασμών: Μέσω phishing σελίδων, infostealers και credential stuffing, οι δράστες αποκτούν πρόσβαση σε λογαριασμούς και στη συνέχεια βάζουν στο στόχαστρο τις επαφές τους.
- Επιθέσεις σε προμηθευτές: Εντοπισμός συνεργατών μιας εταιρείας για επιθέσεις «stepping stone», όπου ο εισβολέας χρησιμοποιεί ενδιάμεσους, παραβιασμένους οργανισμούς.
Διατηρήστε την ασφάλειά σας στο LinkedIn
Η βασική πρόκληση με τις απειλές στο LinkedIn είναι ότι τα τμήματα IT δυσκολεύονται να αποκτήσουν πλήρη εικόνα των απειλών που αντιμετωπίζουν οι εργαζόμενοι. Ωστόσο, σενάρια όπως τα παραπάνω θα πρέπει να ενσωματώνονται σε προγράμματα εκπαίδευσης για την ευαισθητοποίηση σε θέματα ασφάλειας.
Οι εργαζόμενοι πρέπει να αποφεύγουν την υπερβολική κοινοποίηση πληροφοριών, να μαθαίνουν να αναγνωρίζουν ψεύτικους λογαριασμούς και τυπικές τεχνικές phishing, και να ακολουθούν βασικές πρακτικές κυβερνοασφάλειας: τακτικές ενημερώσεις λογισμικού, εγκατάσταση λογισμικού ασφαλείας από αξιόπιστο πάροχο και ενεργοποίηση πολυπαραγοντικής επαλήθευσης. Ιδιαίτερη έμφαση αξίζει να δοθεί στην εκπαίδευση ανώτερων στελεχών, που αποτελούν συχνά προνομιακούς στόχους.
Πάνω απ’ όλα, είναι κρίσιμο οι χρήστες να κατανοήσουν ότι ακόμη και σε ένα φαινομενικά αξιόπιστο επαγγελματικό δίκτυο όπως το LinkedIn, δεν έχουν όλοι τις καλύτερες προθέσεις.
