Irena Hýsková: Obliba LinkedInu přinesla vyšší zájem hackerů
Stoupající obliba LinkedInu ve firemním prostředí dělá z této sociální sítě lákavý nástroj pro hackery. Mohou se tak velmi často dostat do firemního prostředí, využít sociálního inženýrství, phishingu a dalších nástrojů. Výhodné pro útočníky je i napadení účtů, které jim poslouží jako odrazový můstek pro další útoky.
Firmy často LinkedIn nevnímají jako bezpečnostní hrozbu a využití ve firmě bývá živelné, bez dostatečné pozornosti bezpečnostních týmů, a tím také bez odpovídajícího vzdělávání uživatelů.
Nejčerstvější hrozbou je přitom zneužívání přímo funkčnosti LinkedInu. Smart Links slouží v Linkedin marketingu pro sledování úspěšnosti odkazů. Pro příjemce jde o odkaz „od Linkedin“, které ale útočníci mohou snadno zneužít pro phishing. Do důvěryhodně vypadajícího odkazu skryjí odkaz na škodlivou stránku.
Smart Links začaly být takto zneužívány přibližně před rokem a mírně znepokojující je, že Microsoft (vlastník LinkedIn) s tímto zneužitelným bezpečnostním rizikem stále nic neudělal. Není tedy divu, že neunikl novým aktivitám hackerů. Ty podle analýzy společnosti Cofense začaly někdy mezi červencem a srpnem a bylo detekován na osm desítek podvodných odkazů zneužívajících Smart Links využívaných novými nebo kradenými účty.
„Důvěryhodný“ odkaz (obsahuje přímo doménu linkedin.com) po kliknutí přivede oběť na klasickou phishingovou stránku, ať už obecnou nebo cílenou přímo na míru oběti. Cesta je navíc komplikována přes několik přesměrování, aby byla těžší detekce a obrana
Obzvlášť nebezpečné je, že Smart Links předávají e-mailovou adresu oběti a útočnící ji tak zpravidla přímo předvyplní. Velmi často jde o přihlašovací formulář do online služeb, včetně přihlášení Microsoft účtem, oběť už pak musí jen vyplnit heslo a útočníci uspějí.
Obrana je komplikovaná. Je sice možné blokovat Smart Links, ale tím dojde i k znepřístupnění odkazů, které nejsou škodlivé. Pomoci mohou pokročilé detekce phishingových hrozeb, které ale mohou občas selhat. Útočníci jsou velmi vynalézaví v tom jak se detekci vyhýbat.
Nejdůležitějším opatřením tak stále zůstává vzdělávání uživatelů. S ohledem na aktuálnost této hrozby by ve firmách měli velmi konkrétně varovat před falešným pocitem bezpečí na LinkedInu a uživatele naučit k vysoké míře podezíravosti a nedůvěry nejen při klikání na odkazy na LinkedInu (včetně těch v newsletterech), ale také jak poznat pishingové stránky.
Součástí ochrany by rozhodně měla být i odpovídající ochrana účtů zaměstnanců, a to jak firemních tak osobních. V minimální podobě rozhodně základním dvoufaktorovým ověřením s pomocí mobilní aplikace, v pokročilejší podobě pomocí hardwarových ověřovacích klíčů. Pro rizikové skupiny zaměstnanců pak například i důsledné oddělení pracovních aktivit od Internetu.
Zdroj: Thein Security