A klasszikus védelmi eszközök kudarcot vallanak
A LinkedIn privát üzenetei teljesen kikerülik azokat az e-mail-alapú biztonsági megoldásokat, amelyekre a legtöbb cég támaszkodik. A munkatársak gyakran használják a LinkedIn-appot üzleti laptopjaikon vagy telefonjaikon is, viszont a biztonsági csapatoknak semmiféle rálátásuk nincs ezeknek az üzeneteknek a tartalmára. Ezáltal az alkalmazottakat bárki megkeresheti, mindenféle e-mail-elfogás vagy ellenőrzés nélkül.
Ennek ellenére a vállalatok többsége jelenleg csupán URL-szűrésre, illetve felhasználói edukációra hagyatkozik – ami önmagában kevés. Az MI-alapú adathalász-szoftverek már számos olyan trükkel élnek, amelyekkel könnyedén átverik a robotokat és a webes forgalmat elemző szűrőket. Ráadásul az ilyen támadásoknál hiányzik a lehetőség arra, hogy például visszahívjunk, karanténba helyezzünk vagy szabály alapján blokkoljunk beérkezett üzeneteket, ahogy ez e-mailnél lehetséges. Mire egy fiókot jelentünk, a támadó legtöbbször már elérte célját, s eltűnt.
A cégek rendszerint a káros URL-ek tiltásával védekeznek, ám a domainforgatás miatt ez a gyakorlatban kilátástalan harc: amire egy oldalt blokkolnának, már számos újabb jelent meg helyette.
Gyors, olcsó, és könnyen tömegesíthető
A LinkedIn-en keresztüli adathalászatnak több előnye is van a támadók szemszögéből. E-mailes csalásokhoz komolyabb előkészület – például ál-domainek létrehozása, azok reputációjának felépítése – szükséges. LinkedIn-en ehhez képest elég egy profilt felépíteni, néhány kapcsolatot begyűjteni, és már indulhat is a támadás.
Gyakori, hogy a támadók meglévő, valós profilokat vesznek át, amelyek jelentős része nem használ kéttényezős hitelesítést (MFA), mert magánjellegű felhasználásról van szó – ez jóval kisebb akadály, mint az üzleti rendszereknél lenne. Így szinte akadálytalanul beilleszkednek a célpont ismerősi hálójába, és kihasználják az ottani bizalmat.
A valós felhasználói fiókokat MI-vel generált, személyre szabott üzenetekkel egészítik ki, ez lehetővé teszi, hogy nagy léptékben és hatékonyan szórják ki a csaló üzeneteket.
Könnyű célpontokat találni
A LinkedIn “térképezése” triviális: pár kattintással felmérhető egy szervezet teljes kapcsolati hálója, kiemelhetők a célszemélyek, a pozícióik, sőt a hozzáférési szintjük is. Ezért a platform nemcsak a támadók, hanem a vállalati “red team”-ek egyik első számú információs forrásává vált.
A LinkedIn-üzeneteknél nincs spam-szűrő, asszisztens vagy titkár, sem automatikus szűrés, így a támadók közvetlenül juttatják el az üzeneteiket, ráadásul akár magas rangú vezetőkhöz is. Ez ideális terepe a célzott, úgynevezett spear-phishing támadásoknak, amelyeknél a támadó egyedi, személyhez igazított történettel próbálkozik.
A jelenlegi trendek szerint a leggyakoribb támadási cél a hozzáférési adatok (például SaaS-fiókok) eltulajdonítása vagy érvényes munkamenetek eltérítése.
Sokkal többen dőlnek be neki
A LinkedIn és más professzionális közösségi oldalak működésében alap, hogy idegenekkel is kapcsolatba lépünk, sőt, a magas beosztású vezetők nagyobb valószínűséggel válaszolnak LinkedIn-üzenetre, mint e-mailes spamre. Ráadásul, ha valaki egy ismerős fiókját veszi át, az üzenet fogadója szinte biztosan válaszol, hiszen megbízik a valódi feladóban.
Ezt tovább fokozza, ha a támadó sürgős engedélyezést vagy dokumentumellenőrzést kér: ilyenkor a siker esélyei drámaian nőnek. Egyetlen sikeres adathalász üzenet komoly információveszteséget, hozzáférés-átadást vagy üzleti kárt eredményezhet.
Gigantikus lehetséges nyereség
Az adathalász támadások elsődleges célpontjai a vállalati felhőplatformok – például a Microsoft vagy a Google rendszerei –, de az identitásmenedzsment cégek, például az Okta is gyakori célpontok. Ha egy ilyen fiókot sikerül feltörni, a támadó hozzáfér minden csatolt felhőalkalmazáshoz, üzleti adathoz és akár SSO-n keresztül más vállalati szoftverekhez is.
Egyetlen fiók kompromittálásával pillanatok alatt átterjedhet a támadás az egész szervezetre; milliókat érő adatszivárgás, rendszerszintű károkozás lehet a végeredmény. Következésképp a magáneszközön megszerzett hozzáférési adatok is visszajutnak a vállalati hálózatba – ahogy azt az Okta 2023-as incidensénél is láthattuk, ahol egy dolgozó böngészője szinkronizálta a munkahelyi hitelesítő adatokat saját Google-fiókjával, ami végül a magáneszköz feltörése nyomán tömeges céges adatszivárgáshoz vezetett.
Nemcsak LinkedIn-probléma: a phishing új korszaka
Az online munka világában a felhasználók szinte bármilyen csatornán keresztül kaphatnak adathalász üzeneteket: üzenetküldőkben, SMS-ben, hirdetésekben vagy akár közvetlenül a felhőalkalmazások beépített chatjeiben. A klasszikus e-mailen kívül most már legalább annyira fenyegetnek a böngészőn keresztüli támadások, melyekkel a meglévő védekezés egyre kevésbé tud lépést tartani.
Ma már a phishing multicsatornás támadássá vált, ezért a védekezésnek is ki kell lépnie az e-mailek világából: az igazi biztonság ott kezdődik, ahol a támadás történik, azaz a böngészőben. A modern megoldások ezért már nemcsak felismerik és blokkolják a gyanús oldalakat, de azonnal reagálnak a felhasználó által megnyitott kártékony oldalakra is.
Következésképpen a vállalatoknak a teljes alkalmazáskörnyezetre kiterjedő, többcsatornás védelmi stratégiára van szükségük, amely képes tartani a lépést az egyre kifinomultabb, MI-alapú támadásokkal szemben.
