A LinkedIn azért különösen vonzó terep, mert a felhasználók alapvetően bizalmi közegként tekintenek rá. Egy szakmai üzenetet sokkal nagyobb eséllyel nyitnak meg, mint egy ismeretlen e-mailt, különösen akkor, ha az látszólag egy toborzótól, partnercégtől vagy iparági szereplőtől érkezik. Ráadásul a LinkedIn-en zajló kommunikáció kívül esik a vállalati levelezőrendszerek hagyományos biztonsági ellenőrzésén, így a céges IT-biztonsági csapatok sokszor nem is látják, milyen támadási kísérletek érik a munkavállalókat ezen a csatornán.
Az ESET kiberbiztonsági kutatói több olyan kampányt is azonosítottak az elmúlt években, ahol a támadók kifejezetten a LinkedIn-re építették módszerüket. Az észak-koreai hátterű Lazarus Group - toborzónak álcázva magukat – juttattak kártékony programot, köztük információlopó kártevőt célpontjaik eszközeire.
Egy másik, „Wagemole” néven ismertté vált műveletben szintén Észak-Koreához köthető „IT-szakemberek” próbáltak külföldi cégekhez beépülni.
A Scattered Spider nevű csoport pedig LinkedIn-en gyűjtött információk alapján megszemélyesített egy alkalmazottat, majd az ügyfélszolgálaton keresztül szerzett hozzáférést a vállalati rendszerekhez, ami végül súlyos pénzügyi károkat okozó zsarolóvírus-támadáshoz vezetett.
A magyar vállalatoknak is érdemes a LinkedIn-en keresztül történő támadási forgatókönyveket is beépíteniük a biztonságtudatossági képzésekbe. Fontos, hogy a munkavállalók ne osszanak meg indokolatlanul részletes információkat folyamatban lévő projektekről vagy belső működésről, mindig ellenőrizzék a gyanús profilokat, és kapcsolják be a többfaktoros hitelesítést.
A LinkedIn hasznos szakmai platform, de a digitális, szakmai kapcsolatépítés során sem szabad megfeledkezni az óvatosságról. Attól, hogy egy megkeresés üzleti közegben érkezik, még nem biztos, hogy valódi”
– hangsúlyozza Béres Péter.
További részletek a Digital Hungary cikkében >>
