Hlavní navigace

Naletět na falešné účty na LinkedIn je příliš snadné

 Autor: LinkedIn
Daniel Dočekal 14. 9. 2015

Ubránit se můžete jen vysokou dávkou podezíravosti a ověřováním. Což se, na jednu stranu, může dost vyplatit, pokud nejste dostatečně rozumní jinak.

Graham Cluley ve Why I fell victim to a LinkedIn scam – and why I would do so again tomorrow komentuje aktuální kampaň, kdy (teoretičtí) útočníci cílí na LinkedIn na odborníky pohybující se v oblasti počítačové bezpečnosti. Uvádí i pár příkladů falešných účtů, které jsou k těmto útokům používány.

Paradoxem je, že falešné účty v tomto případě všechny pracují pro jednu a tutéž společnost „Talent Src“ a byly použity pro snahu vstoupit mezi kontakty cílů. Po pár týdnech se z LinkedIn zmíněné účty ztratily, což je možné přikládat jak aktivitě útočníků, tak možnému zásahu LinkedIn (které je v otázce falešných účtů tradičně neuvěřitelně laxní).

Cluley zmiňuje, že i on sám jednomu z těchto účtů „naletěl“, ale zároveň říká, že se to v budoucnu nejspíš může opakovat – nepoužívá totiž na LinkedIn žádná striktní a podstatná pravidla pro schválení žádostí. 

Schvaluje požadavky kdykoliv si myslí, že žadatele zná, nebo že žadatel pracuje ve stejném oboru jako on sám. Vede ho k tomu přesvědčení, že LinkedIn, Twitter, Facebook nebo třeba blog jsou veřejná místa a cokoliv tam vkládané je nutné posuzovat podle toho.

Odhalit falešné účty na LinkedIn nebývá až tak složité – mívají fotografie z fotobanky nebo z internetu (velmi rychlou metodou ověření je reverzní hledání přes Obrázky Google či Tineye.com), málokdy si dávají práci s tím, aby profil byl skutečně obsažný, co se profesní stránky a příspěvků týče. Osobu zpravidla ani nedohledáte jinde, což je zejména u falešných účtů z oblasti informačních technologií či bezpečnosti dost zásadním důvodem k podezření.

Cluley upozorňuje, že LinkedIn (ale vlastně jakýkoliv podobný systém) není použitelný pro sdílení citlivých informací, ale také to, že pokud by snad zavedl nějaké postupy pro ověřování kontaktů na LinkedIn, tak by stejně nakonec šlo pouze o falešný pocit bezpečí. Není totiž prakticky žádný problém založit si na LinkedIn profil za někoho cizího a úspěšně se za něj vydávat.

Jakkoliv vznik falešných účtů v této kampani, cílící na profesionály z oblasti počítačové bezpečnosti, může být něčím útokem, může jít také o pokus z oblasti sociálního inženýrství. A jak Cluley zmiňuje, možná jej brzy někdo zveřejní v nějaké studii či na konferenci. Zmiňuje podobný příklad z let 2011 až 2013, kde ale nešlo jenom o přidání do kontaktů, ale i následnou konverzaci, která, překvapivě, v některých případech vedla k získání mírně citlivých informací.

Proč si dávat práci s falešnými profily?

V souvisejícím LinkedIn Sockpuppets Are Targeting Security Researchers od F-Secure najdete i detailnější příklad falešného profilu, včetně dalších informací k celé události. Účet Jennifer White (stejně jako další příklady) už dnes bohužel neexistuje.

Zajímavé na tom může být, že si někdo dal alespoň trochu práci v tom, že profilové fotografie zveřejněných příkladů falešných profilů nejsou dohledatelné přes reverzní hledání. Jenže, což je ještě zajímavější, ta práce spočívá v tom, že otočil fotografii – jeden z profilů (Monika Kaminski) má profilové foto použité z @NathaliaHolt – což je mimochodem účet skutečného člověka.

Proč vytvářet falešné účty a dostávat se pod falešnou identitou do sociálních kontaktů? Za prvé proto, že to může znamenat přístup k informacím, které lidé naivně sdílejí „jen pro přátele“, či věří něčemu takovému, jako že „Snapchat ty fotografie opravdu maže“. Z podobných informací může útočník získat něco, co je zneužitelné. Může jít i o prostý přehled toho, s kým oběť komunikuje či koho v má „v přátelích“.

CIF16

Dlouhodobější sledování člověka pak může přinést řadu dalších užitečných informací: kde či pro koho pracuje, kam chodí sportovat, kdy jezdí na nákupy či na chatu. Kdy je na dovolené, kdy se nachází v nějakém městě. Je to i dobrá cesta ke zjištění, jak daná osoba vypadá a jak vypadají osoby, se kterými se stýká.

Včetně informací o dětech či příbuzných – což může být ještě více problematické. Otevírá se tím cesta ke vstupu do dalších sociálních kruhů (protože pokud uživatelé vidí, že daný falešný účet je v přátelích jejich příbuzného, často jeho žádost o propojení prostě odklepnou).

Našli jste v článku chybu?
DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso