Mezi hlavní a nejvyužívanější sociální sítě se vedle Facebooku, Instagramu, TikToku či Twitteru řadí také LinkedIn. Ten má navíc jasně definované zaměření – na takzvané profesionální sociální síti jde do velké míry především o pracovní stránku všech uživatelů. Lidé tam sdílí své pracovní úspěchy, kariérní posuny či hledají práci. Na LinkedInu se tak vyskytuje obrovské množství velmi cenných a citlivých dat, a proto se stává stále častěji terčem různých útočníků, kteří se snaží osobní informace získat. Pak je dál prodávají nebo je využívají pro vlastní účely.

Kyberpodvody různých druhů míří na individuální uživatele nebo celé společnosti. K tomuto faktu přitom částečně přispívají i unikátní vlastnosti LinkedInu, které jsou na jiných platformách úplně nebo znatelněji omezené. Co je tím myšleno?

• Na LinkedInu vidíte e-mailovou adresu téměř kohokoliv, s kým se na síti spojíte. Nebo lze snadno použít pluginy v prohlížečích (například SalesQL), které vám e-mail odhalí i pro uživatele, se kterými spojeni nejste. Toho na TikToku nebo Facebooku jen tak nedocílíte, minimálně ne tak úspěšně.

• Limit počtu spojení na LinkedInu je 30 tisíc. Můžete si tedy nastavit například robota jako LinkedHelper, Phantombuster nebo kterýkoliv jiný (případně rozesílat pozvánky manuálně) a tím získat nejen významný počet sledujících (každé spojení je zároveň váš sledující), ale zároveň významný počet e-mailových adres.

• Databáze LinkedInu obsahuje obecně kvalitnější faktografická data než takzvané privátní sociální sítě. Narozdíl od Instagramu můžete na LinkedInu dobře existovat pouze s profilem, aniž byste vytvářeli jakékoliv posty. Oproti Instagramu, kde samotný profil je jeden odstavec textu, obsahuje profil na síti LinkedIn mnohem více informací, jako jsou současní i bývalí zaměstnavatelé, vystudované školy, certifikace a školení, znalost jazyků, dovednosti, reference od jiných lidí a mnoho dalšího.

• LinkedIn je skvělý nástroj pro výzkum trhu, se kterým můžete zjistit, které společnosti propouští nebo nabírají, a to vše je rozděleno podle odvětví, lokality nebo velikosti společností. Můžete také například zjistit, která společnost využívá jakou technologii.

Se kterými podvody se tedy můžete vy osobně nebo vaše společnost setkat?

Falešné pohovory 1: útok proti společnosti

Před několika lety jsem řešil případ, kdy chtěl někdo poškodit velkou ropnou společnost v USA tím, že si zakládal falešné profily existujících členů představenstva a zval různé lidi na pohovor. Žádný pohovor se samozřejmě nekonal a uchazeči, kteří často letěli přes celé Spojené státy, čekalo po příchodu do cílové společnosti nemilé překvapení. Poškození jména firmy bylo významné.

Jaká je obrana? Útočníka může odradit, že vaši zaměstnanci budou mít kvalitně vyplněné profily, a to především u klíčových zaměstnanců. Vedení nebo členové představenstva jsou obecně více navštěvované profily na LinkedInu, navíc lze informace o nich často nalézt například na webu společnosti nebo v obchodním rejstříku. To dělá proces impersonifikace o to jednodušší. Vertikála útoku se dá vést samozřejmě i proti liniovým manažerům nebo HR pracovníkům, kteří mohou být úplně smyšlení.

Navíc mít špatně vyplněný profil (viz obrázek níže) je téměř na úrovni toho nemít profil žádný, protože profil, který vytvoří útočník během pěti minut, bude více důvěryhodný jen díky tomu, že na něm bude fotografie, více informací (i když generických a zkopírovaných například z webových stránek nebo z firemních LinkedIn stránek společnosti) a bude mít například více spojení (protože to na LinkedInu není problém skrze aktivní rozesílání pozvánek).

Falešné pohovory 2: útok proti jednotlivci

Několik účastníků mých kurzů zmínilo případ, kdy je oslovil člověk z HR nebo recruiter konkrétní společnosti (v tomto případě to byly společnosti z velkých auditorských firem), ale jednalo se o zahraniční pobočku, například v San Francisku.

Daný recruiter uvedl, že jejich společnost má zájem o pracovní pohovor. Pohovor pro obecně prestižní společnost s místem výkonu práce USA zní zajímavě, že? Nebo jen fakt, že má taková společnosti o vás zájem, vás může motivovat odpovědět.

Háček je v tom, že oslovující recruiter posléze chtěl, aby si osoba hradila část cesty na pohovor sama. Jednalo se tedy o podvod vylákání peněz. Jako vedlejší efekt samozřejmě může využitá společnost utrpět kvůli poškození dobrého jména.

Jaká je obrana? V první řadě bych se ptal, jestli je daný LinkedIn profil skutečně pravý. Jak ale rozpoznat falešný profil na této síti?

Technicky vzato e-mailová adresa je jedinou možností stoprocentního rozpoznání toho, že daná osoba pracuje ve společnosti, kterou uvádí na svém LinkedIn profilu. Pokud se s danou osobou propojíte na LinkedInu a vidíte, že používá například @gmail.com účet, nelze říct, že by byl profil falešný, ale jeho pravost potvrdit nelze.

Pokud má osoba na LinkedIn profilu uvedený pracovní e-mail, pak můžeme říct, že se jedná o pravý profil – stále však mohou být data na profilu zkreslená. Osoba například uvádí, že pracuje v HR oddělení, ale ve skutečnosti může být třeba finanční kontrolór. To již takto neověříte.

Útočníci však ve zmíněném případu využívali e-mailové adresy, které se tvářily jako firemní (například na doméně delloitte.com místo skutečného deloitte.com), a to i z důvodu, že si s oběťmi po navázání kontaktu na LinkedInu dopisovali skrze klasický e-mail. To je standardní postup při náboru. Ale i standardní postup podvodníků, kteří převedou konverzaci z LinkedInu do e-mailu nebo do WhatsAppu, kde jsou třeba možnosti phishingu jednodušší.

LinkedIn nedávno zavedl nové ochrané funkce proti impersonifikaci. Nyní se můžete podívat, kdy byl daný profil založený (LinkedIn profil > More > About this profile). Zde brzy najdete i možnost si ověřit svůj firemní e-mail a telefon a uvidíte také u ostatních uživatelů, zda mají ověřený firemní e-mailovou adresu, aniž byste se s nimi spojovali.

Samozřejmě tyto zaměstnanecké podvody mají ještě další prvky. Například většinou chybí pohovor přes videocall a většina komunikace jde přes e-mail, WhatsApp nebo samotný LinkedIn. Další možnosti vylákání peněz jsou kupříkladu náklady na screening a ověření dané osoby jako budoucího zaměstnance nebo náklady na vybavení pro zaměstnance, aby mohl začít pracovat.

LinkedIn botnety

V tomto případě hrají prim opět falešné LinkedIn profily, i když nemají primárně za cíl impersonifikovat existující zaměstnance konkrétních společností. Důležitá je zde velká škála útoku. Představte si, že vám přijde na LinkedInu pozvánka od osoby většinou z globálně známé korporace. Daná osoba po vás sice nic konkrétního nechce, ale zároveň si vezme vaši e-mailovou adresu (a telefonní číslo, pokud ho na LinkedIn profilu máte). Kvůli tomu vám může začít chodit spam nebo se vám bude zobrazovat určitá reklama na Facebooku.

Tento útok může být proxy atakem i pro další zaměstnanecký podvod nebo napadení společnosti (viz další bod). Nedávno byl odhalen případ LinkedIn botnetu, přičemž tyto účty spojovala jedna společná věc – všechny jejich fotografie byly vygenerovány přes umělou inteligenci.

Fotografie byly generovány pomocí služby Generated Photos a na jednom profilu se to rozpoznává špatně. LinkedIn údajně zavedl ochranu právě i proti těmto generovaným fotografiím, ale z mé vlastní zkušenosti to zatím nefunguje – nebo minimálně nefunguje plošně.

Takto získaná data jsou zároveň předmětem takzvaných leaků, které se průběžně objevují na různých webech. Pokud se nejedná vyloženě o bezpečnostní úniky dat, které mohou obsahovat i vaše LinkedIn hesla (i toto se LinkedInu stalo, a tak si ověřte svůj účet přes službu Have I Been Pwned?), tak tato data obsahují minimálně veřejné informace z vašich LinkedIn profilů, případně i zmíněné kontaktní údaje, které lze získat pouze skrze přímé propojení se s vámi na zmíněné profesní síti.

Jaká je obrana? Buďte selektivní v tom, komu akceptujete pozvánky. LinkedIn sice uzavřel možnost si exportovat všechna svá spojení včetně e-mailových adres, ale skrze nástroje jako LinkedHelper nebo Phantombuster to stále jako útočník udělat můžete, i když to bude trvat déle. V mém případě to znamená, že mohu mít CSV soubor s 30 tisíci účty i s e-mailovými adresami. To není zanedbatelné číslo na to, že se jedná pouze o jeden profil. LinkedIn botnety mohou mít tisíce nebo desetitisíce takových účtů.

Falešné pohovory 3: útok proti společnosti vedený mimo LinkedIn

Falešné nebo duplicitní LinkedIn profily nebo botnety jako celé skupiny falešných profilů mohou být zdrojem útoků, které se zdánlivě nemusí jevit jako útok na platformě LinkedIn. Před několika týdny nám do GoodCallu začali různí lidé oznamovat, že je oslovuje náš zaměstnanec na WhatsAppu a nabízí jim volnou pozici.

Jméno zaměstnance i telefonní číslo jsou smyšlené. Otázkou je, jak se útočník dostal k telefonním číslům. Vzhledem k tomu, že zprávu dostávají především lidé z HR oddělení, lze předpokládat, že zdrojem dat k útoku byl právě LinkedIn, který dokáže vyfiltrovat nejen konkrétní lidi, ale i kontaktní údaje. Navíc lidé z HR z povahy své práce svůj telefon uvádějí mnohem častěji než například programátoři.

Jaká je obrana? Samotná společnost s tím moc nezmůže. Osloveným jedincům může přijít zvláštní například telefonní číslo odesílatele nebo jiné soft prvky zprávy.

Sociální inženýrství, průmyslová špionáž a cyberbullying

Kvůli svým vlastnostem, kdy se téměř každý může stát kredibilním, byť smyšleným novinářem, ředitelem společnosti či personalistou, je LinkedIn živnou půdou pro jakékoliv negativní aktivity využívající sociální inženýrství včetně průmyslové špionáže nebo vylákání informací od politiků.

Jsou zdokumentovány případy, kdy došlo k instalaci malwaru do počítače oběti poté, co byla oslovena údajným recruiterem ze společnosti Meta (mateřská společnost Facebooku) pod záminkou programovací výzvy v rámci výběrového procesu.

Možná byste neřekli, že LinkedIn bude nástrojem pro nejprimitivnější metody kyberšikany nebo vydírání. Ale opět vlastnosti sítě toho typu, že si mohu vyfiltrovat třeba bohatší uživatele podle jejich pozice (lokality, společnosti, oboru a podobně) a mohu je snadno zkontaktovat, zjednodušují škálu zneužití více než na Instagramu, Twitteru nebo Facebooku, kde se to dělá obtížněji.