Sieci społecznościowe to niemal idealne miejsce by rozpocząć kampanię scamową (bardziej wyrafinowany phishing), rozpoczynającą atak celowany w konkretną firmę lub grupę pracowników. Określenie „scam” odzwierciedla w informatycznej terminologii pewnego rodzaju zdobycie zaufania, aby być bardziej wiarygodnym i łatwiej wyłudzić informacje, ot chociażby od pracowników działu księgowego.
Tradycyjne oszustwa internetowe, takie jak podszywanie się pod Pocztę Polską, Urząd Skarbowy i ZUS, miejmy nadzieję, że są już powszechnie rozpoznawalne, dlatego przestępcom trudniej jest zarobić na zwiększonej świadomości pracowników z zakresu cyberbezpieczeństwa. Jesteśmy blisko cyberprzestępczości, oczywiście po tej dobrej stronie, dlatego nie dziwią nas opisywane poniżej metody. Przekazując je publicznie chcemy wyszkolić i zarazem ostrzec jak największą grupę odbiorców owego artykułu.
Sieć kontaktów na LinkedIn
Oszustwo polega na założeniu konta przez skrypt (bota) lub prawdziwą osobę (bez znaczenia) i pozyskanie zaprzyjaźnionych kontaktów od pracowników danej firmy. Najczęściej jest to firma, która będzie celem przestępców (nie ma na to reguły). A skoro łatwiej jest podejść człowieka niż maszynę, systemy informatyczne i web-aplikacje, chronione dodatkowym uwierzytelnianiem i autoryzacją, to sieć biznesowo-społecznościowa, taka jak LinkedIn, będzie wymarzonym miejscem dla oszustów. Internetowe portale, gdzie przedsiębiorcy mogą pozyskiwać nowych partnerów do współpracy, ale posługując się tym nieodpowiedzialnie, przeradzają się w broń obosieczną.
Fałszywa informacja zamieszczona na profilu niejakiego „Mateusza Miłoszeckiego” dotyczy podszycia się pod pracownika ogólnopolskiego integratora systemów IT i autoryzowanego dystrybutora firmy Apple. Firma INNERGO posiada kilka oddziałów w całej Polsce oraz licznych klientów końcowych, którym dostarcza rozwiązania z zakresu infrastruktury i budowy sieci, sprzętu, oprogramowania i zabezpieczeń.
Anonimowo otrzymaliśmy informację od pracownika INNERGO, że niejaki „Mateusz Miłoszecki” nie jest i nigdy nie był zatrudniony w tej firmie, a na pewno nie w dziale księgowości, w którym nie pracuje żaden mężczyzna.
Oszustwo mogło polecać na wyłudzeniu od pracowników Innergo prawdziwych danych dotyczących kontrahenta, planu biznesowego, numerów telefonów pracowników, by podobnie jak w „oszustwie na policjanta Centralnego Biura Śledczego”, zdobyć zaufanie i przekonać księgowego do zrealizowania przelewu na podrobioną fakturę. Albo jak w innym ataku, gdzie księgowa z radomskiej spółki miejskiej przelała na konta oszustów ponad milion złotych!
Zgłoszenie fałszywego konta
Po zalogowaniu się do LinkedIn pracownicy w imieniu swojej firmy mogą zgłosić profil użytkownika, jeżeli uważają, że jest fałszywy, wybierając WIĘCEJ -> ZGŁOŚ/ZABLOKUJ.
Bezpieczeństwo IT staje się głównym przedmiotem troski w przedsiębiorstwach i instytucjach. To bardzo ważne, aby szkolenia w tym zakresie były częścią każdej skutecznej strategii ochrony sieci i danych. Planując działania edukacyjne należy patrzeć dalej niż tylko na to, jak wykształcić cyberświadomy personel. Wyedukowani pracownicy to bezpieczniejsze przedsiębiorstwo, dlatego wielkie brawa dla społeczności INNERGO, że sami szybko zauważyli próbę poszywania się pod pracownika firmy. Odpowiednio zareagowali, natychmiast ostrzegając swoich kolegów i koleżanki z osobnych departamentów.
Zobacz inne ataki z użyciem wizerunku LinkedIn
Phishing w oparciu o skrócone adresy URL serwisu LinkedIn
Kreatywność cyberprzestępców weszła właśnie na kolejny poziom. Rozsyłają oni wiadomości email podając się za pracowników popularnych serwisów internetowych, takich jak PayPal lub Apple Store. W przedstawionym poniżej
