Em novembro, o serviço de segurança do Reino Unido começou a notificar membros do Parlamento e seus assessores sobre um audacioso esquema de coleta de inteligência estrangeira. Segundo o alerta, dois perfis no LinkedIn estariam abordando pessoas que atuam na política britânica para solicitar "informações internas". As revelações do MI5, serviço de segurança interna do Reino Unido, levaram a uma iniciativa governamental de cerca de R$ 1,07 bilhão, o equivalente a aproximadamente R$ 1,15 bilhão, para enfrentar ameaças de espionagem contra o Parlamento.

Esse pode ser o caso recente de maior repercussão envolvendo o uso indevido do LinkedIn por cibercriminosos para avançar objetivos criminosos. No entanto, está longe de ser o primeiro. A plataforma também pode funcionar como uma verdadeira mina de ouro de dados corporativos, capazes de sustentar fraudes ou campanhas de ataque. Está na hora de os profissionais se conscientizarem dos riscos do networking digital.

Por que o LinkedIn é um alvo?

Desde sua fundação, em 2003, o LinkedIn já ultrapassou a marca de um bilhão de "membros" em todo o mundo. Isso representa um enorme conjunto de alvos potenciais para atores de ameaça patrocinados por Estados ou motivados financeiramente. Mas por que a plataforma é tão atrativa? Alguns motivos se destacam:

  • Excelente fonte de informações: ao explorar a plataforma, cibercriminosos conseguem identificar cargos e responsabilidades de pessoas-chave em uma empresa-alvo, incluindo novos colaboradores. Também é possível reconstruir, com bastante precisão, as relações entre indivíduos e até inferir em que tipos de projetos eles podem estar envolvidos. Trata-se de inteligência valiosa, que pode ser usada para alimentar ataques de spear phishing e fraudes do tipo BEC (Business Email Compromise).
  • Oferece credibilidade e cobertura: por ser uma rede profissional, o LinkedIn é frequentado tanto por executivos de alto escalão quanto por funcionários de níveis mais baixos. Ambos podem ser úteis para um cibercriminoso. As vítimas tendem a confiar mais e a abrir uma mensagem direta ou InMail na plataforma do que um e-mail não solicitado. No caso de executivos do C-level, muitas vezes essa é a única forma de contato direto, já que seus e-mails costumam ser filtrados ou gerenciados por assistentes.
  • Contorna a segurança "tradicional": como as mensagens trafegam pelos servidores do LinkedIn, e não pelos sistemas corporativos de e-mail, as equipes de TI das empresas não têm visibilidade sobre essas comunicações. Embora a plataforma conte com alguns mecanismos de segurança, não há garantia de que mensagens de phishing, malware ou spam não passem. Além disso, pela credibilidade associada ao LinkedIn, os alvos podem estar mais propensos a clicar em links ou conteúdos maliciosos.
  • É fácil de usar e escalar: para os cibercriminosos, o potencial de retorno sobre o investimento em ataques via LinkedIn é alto. Qualquer pessoa pode criar um perfil e começar a explorar a plataforma para extrair informações ou enviar mensagens de phishing e golpes no estilo BEC. Esses ataques são relativamente simples de automatizar em larga escala. Para aumentar a legitimidade, criminosos podem sequestrar contas existentes ou criar identidades falsas, passando-se por recrutadores ou candidatos a vagas. A grande quantidade de credenciais comprometidas circulando em fóruns cibercriminosos, em parte devido a infostealers, torna esse processo ainda mais fácil.

Leia mais: Recrutamento em risco: você reconheceria um espião se ele se passasse por candidato?

Quais ataques são mais comuns?

Como mencionado, há várias formas de cibercriminosos operacionalizarem campanhas maliciosas por meio do LinkedIn. Entre elas estão:

  • Phishing e spear phishing: usando as informações que os usuários compartilham em seus perfis, os criminosos conseguem personalizar campanhas de phishing para aumentar a taxa de sucesso.
  • Ataques diretos: os cibercriminosos podem entrar em contato diretamente com links maliciosos, projetados para distribuir malware como infostealers, ou divulgar falsas ofertas de emprego com o objetivo de roubar credenciais. Alternativamente, operadores patrocinados por Estados podem usar o LinkedIn para recrutar insiders, como alertado pelo MI5.
  • BEC (Business Email Compromise): assim como no phishing, o LinkedIn fornece uma grande quantidade de informações que tornam os ataques de BEC mais convincentes. A plataforma pode ajudar fraudadores a identificar hierarquias internas, projetos em andamento e nomes de parceiros ou fornecedores.
  • Deepfakes: o LinkedIn também pode hospedar vídeos dos alvos, que podem ser usados para criar deepfakes e aplicados em campanhas subsequentes de phishing, BEC ou golpes em redes sociais.
  • Sequestro de contas: páginas falsas do LinkedIn (phishing), infostealers, credential stuffing e outras técnicas podem ser usadas para que criminosos assumam o controle de contas de usuários. Essas contas comprometidas podem ser utilizadas em ataques posteriores contra seus contatos.
  • Ataques à cadeia de suprimentos: o LinkedIn também pode ser explorado para levantar informações sobre parceiros de uma empresa-alvo, que passam a ser atacados por phishing em uma estratégia de stepping stone, na qual cibercriminosos comprometem primeiro um alvo intermediário para, a partir dele, alcançar um alvo final mais valioso.

Exemplos de grupos que utilizaram algumas dessas táticas incluem:

  • O grupo norte-coreano Lazarus se passou por recrutadores no LinkedIn para instalar malware em computadores de profissionais de uma empresa do setor aeroespacial, conforme descoberto pela Equipe de Pesquisa da ESET. Os pesquisadores também descreveram recentemente as campanhas "Wagemole", nas quais indivíduos alinhados à Coreia do Norte tentam obter empregos em empresas no exterior.
  • O grupo Scattered Spider entrou em contato com o help desk da MGM se passando por um funcionário identificado no LinkedIn, conseguindo, assim, acesso à organização. O ataque de ransomware subsequente resultou em prejuízos de R$ 500 milhões para a empresa.
  • Uma campanha de spear phishing conhecida como "Ducktail" teve como alvo profissionais de marketing e RH no LinkedIn, com malware de roubo de informações distribuído por links enviados via mensagens diretas. O malware era hospedado na nuvem.

Como se manter seguro no LinkedIn

Como mencionado, o desafio em relação às ameaças no LinkedIn é que as equipes de TI têm pouca visibilidade real sobre o nível de risco a que os colaboradores estão expostos e sobre quais táticas estão sendo usadas para atacá-los. Ainda assim, faz sentido incorporar cenários de ameaças no LinkedIn, como os descritos acima, aos programas de conscientização em cibersegurança. Os colaboradores também devem ser alertados sobre o excesso de compartilhamento de informações na plataforma e receber orientações sobre como identificar contas falsas e armadilhas comuns de phishing.

Para evitar que as próprias contas sejam comprometidas, é importante seguir políticas de atualização regular de sistemas, instalar softwares de segurança em todos os dispositivos (de fornecedores confiáveis) e ativar a autenticação multifator. Também pode valer a pena oferecer treinamentos específicos para executivos, que costumam ser alvos com mais frequência. Acima de tudo, é fundamental garantir que os colaboradores entendam que, mesmo em uma rede considerada confiável como o LinkedIn, nem todos têm boas intenções.