LinkedIn es un terreno de caza para los actores maliciosos
En noviembre último, el Servicio de Seguridad británico comenzó alertó a los miembros del Parlamento sobre un plan de recopilación de inteligencia extranjera. Dos perfiles en LinkedIn estaban contactando a personas que trabajaban en la política británica para solicitarles “información privilegiada”. Las revelaciones del MI5 precipitó una iniciativa gubernamental de US$ 230 millones para abordar las amenazas de espionaje contra el Parlamento. Si bien se trata de un caso de alto perfil desde ESET aseguran que está lejos de ser el primero. El sitio también puede ser un verdadero tesoro de datos corporativos que pueden utilizarse para apoyar campañas de fraude o amenazas.
LinkedIn acumula más de mil millones de “miembros” en todo el mundo desde su fundación en 2003. Eso representa una gran cantidad de posibles objetivos para actores de amenazas respaldados por Estados o con motivaciones financieras. En primera instancia, se trata de una fuente de información extraordinaria en la que actores maliciosos pueden descubrir las funciones y responsabilidades de personas clave dentro de una empresa objetivo. Y reconstruir las relaciones entre individuos y de los proyectos en los que podrían estar trabajando. Además, aporta credibilidad y cobertura ya que al tratarse de una red profesional, está frecuentada tanto por ejecutivos de alto nivel como por trabajadores de menor rango. Y es un contexto en el que una víctima está más propensas a abrir un mensaje directo o un InMail proveniente de alguien en la plataforma que un correo electrónico no solicitado.
Por otro lado, elude la seguridad “tradicional” porque no existe garantía de que no mensajes de phishing, malware o spam no logren pasar. Y debido a la credibilidad que inspira el sitio, los objetivos pueden tener más probabilidades de hacer clic en contenido malicioso. Por último, es fácil comenzar a operar, cualquiera puede crear un perfil y empezar a merodear por el sitio para extraer inteligencia o para el envío de mensajes de phishing y fraudes tipo BEC. Además, los atacantes pueden secuestrar cuentas existentes o crear identidades falsas antes de hacerse pasar por candidatos o reclutadores. La gran cantidad de credenciales comprometidas que circulan en foros de ciberdelincuencia (debido en parte a los infostealers) hace que esto no sea difícil.
Desde ESET destacan que existen varias maneras en que los actores de amenazas pueden operacionalizar sus campañas maliciosas a través de esta red. Por ejemplo phishing y spearphishing. Al utilizar la información que los usuarios comparten en sus perfiles, los atacantes pueden personalizar campañas de phishing (correos falsos) para aumentar su tasa de éxito. Asimismo, el contacto puede ser directamente con enlaces maliciosos diseñados para desplegar malware. Como infostealers, o promover ofertas laborales falsas destinadas a robar credenciales. Al igual que en el caso del phishing, LinkedIn proporciona una gran cantidad de inteligencia que puede utilizarse para hacer que los ataques de compromiso del correo electrónico empresarial (BEC) luzcan más convincentes. Puede ayudar a los estafadores a identificar quién reporta a quién, en qué proyectos están trabajando y los nombres de socios o proveedores.
LinkedIn también puede alojar videos de los objetivos, que pueden utilizarse para crear deepfakes y emplearlos en posteriores ataques de phishing, BEC o estafas en redes sociales. Páginas falsas de LinkedIn (phishing), infostealers, credential stuffing y otras técnicas pueden ayudar a los atacantes a tomar control de cuentas de usuarios. Estas cuentas secuestradas pueden usarse en ataques posteriores dirigidos a sus contactos. LinkedIn también puede rastrearse en busca de información sobre socios de una empresa objetivo. Quienes pueden ser atacados con phishing como parte de un ataque en “efecto dominó”.
“El desafío que plantean las amenazas en LinkedIn es que a los departamentos de IT les resulta difícil obtener información real sobre el alcance del riesgo al que se exponen sus empleados y las tácticas que se utilizan para atacarlos. Sin embargo, tiene sentido incluir en los cursos de concientización en seguridad escenarios de amenazas en LinkedIn como los descritos anteriormente. También debería advertirse a los empleados sobre el riesgo de compartir información en exceso en la plataforma. Y brindarles orientación para detectar cuentas falsas y señuelos típicos de phishing”. Así lo indicó Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
