Az adathalászat ma már nemcsak e-mailben történik, az esetek mintegy 34%-a közösségi és üzenetküldő platformokon zajlik. Az utóbbi időben különösen népszerű célponttá vált a LinkedIn, ahol a támadók kifinomult spear-phishing kampányokat indítanak vállalati felsővezetők ellen, elsősorban a pénzügyi szolgáltatások és a technológiai szektor szereplői között.
Miért célozzák a támadók a LinkedIn-t?
1.Megkerülik a hagyományos védelmi megoldásokat
A LinkedIn-üzenetek alapvetően megkerülik az e-mailre épülő védelmi mechanizmusokat. A munkavállalók gyakran céges eszközökről használják a platformot, miközben a biztonsági csapatoknak nincs rálátásuk a DM-forgalomra. A modern phishing-toolkitek obfuszkációs és detektálás-elhárító technikákat alkalmaznak, így a weboldal-elemzésen vagy hálózati proxykon alapuló védelmeket is megkerülhetik. Ennek következtében a szervezetek sokszor csak a felhasználói tudatosságra és bejelentésekre hagyatkozhatnak, ami jelentős kockázatot jelent. Emellett a reagálási lehetőségek is korlátozottak:
- Nem látható, kiket céloztak meg a szervezeten belül.
- Nem lehet visszahívni, karanténba helyezni vagy központilag blokkolni az üzeneteket.
- Nincsenek könnyen alkalmazható szabályok vagy szűrők, amelyeket módosítani lehetne.
- A fiókjelentések kezelése gyakran lassú.
2.Olcsó, egyszerű és könnyen kivitelezhető
A támadók gyakran kompromittált közösségi fiókokat használnak (az infostealer naplókban szereplő hitelesítési adatok mintegy 60%-a közösségimédia-fiókokhoz kapcsolódik), és ezek nagyrészében nincs engedélyezve az MFA. A hitelesnek tűnő profilok és az AI-alapú, személyre szabott üzenetek kombinációja gyorsan és nagy tömegben terjeszthető kampányokat tesz lehetővé.
3.Könnyen feltérképezhető és elérhető kulcsfontosságú célpontok
A LinkedIn nyilvános profiljain keresztül (munkakörök, beosztások) egyszerűen feltérképezhetővé teszik a szervezet hierarchiáját és gyorsan azonosíthatók a magas jogosultságú személyek. Mivel az üzeneteket sok szervezet nem monitorozza automatikusan, a csatorna különösen alkalmas célzott, spear-phishing támadásokhoz.
4.A felhasználók könnyebben befolyásolhatók ezeken a csatornákon
Mivel a platform külső kapcsolattartásra szolgál, ezért a vezetők gyakran gyorsabban reagálnak LinkedIn-üzenetekre, mint hivatalos e-mailekre. Ha az üzenet egy kompromittált, de „ismert” fiókból érkezik (akár egy belső munkatársét utánzó profilból), az csökkenti a gyanakvás esélyét. A „sürgős jóváhagyás” vagy „dokumentum ellenőrzés” jellegű kérések pedig különösen növelik a támadás sikerét.
5.A támadók által elérhető haszon óriási
A phishing kampányok gyakran vállalati felhőplatformokat (Microsoft Entra, Google Workspace) vagy identitáskezelő szolgáltatókat (Okta) céloznak. Egyetlen fiók feltörése nemcsak az adott rendszerhez biztosít hozzáférést, hanem az SSO-n keresztül az összes, azzal integrált vállalati alkalmazáshoz is. Innen könnyű további felhasználókat célba venni belső kommunikációs csatornákon, például Slacken vagy Microsoft Teamsen keresztül, illetve SAML alapú támadásokkal, amelyek az alkalmazást a további kompromittálás kiindulópontjává teszik. Egyetlen kompromittált fiók így gyorsan szervezetszintű, többmillió dolláros adatvédelmi incidenst okozhat, mint például a 2023-ban az Okta-incidens.
A probléma nem kizárólag a LinkedIn-re korlátozódik
A mai korszerű digitális munkakörnyezet decentralizált, felhőalapú alkalmazásokra és számos kommunikációs csatornára épül (chatappok, közösségi média, SMS, in-app üzenetek, hirdetések, SaaS-szolgáltatások által küldött üzenetek). Ez megnehezíti a felhasználók számára a rosszindulatú tartalmak elkerülését.
Egy átlagos nagyvállalat több száz különböző biztonsági és hitelesítési beállításokkal működő alkalmazást használ, ami jelentősen növeli a támadási felületet és a védekezés komplexitását.