Pokud chcete pomocí elektronické pošty zaútočit na konkrétního člověka, největší úspěch bude mít maskování útoku za pozvánku z Linkedin. Tvrdí to Mark Sparshott z americké bezpečnostní firmy Proofpoint a dokládá to i čísly: Linkedin má podle něj dvakrát vyšší proklikovost, než „pozvánky“ z dalších sociálních sítí či obecné phishingové pokusy.
Zajímavé na jeho zjištěních je i to, že phishing maskující se za ostatní sociální sítě (Facebook, Twitter…) je méně úspěšný, než útoky, které sociální sítě nepoužívají.
Pozvánku z Linkedin lze samozřejmě snadno okopírovat a pro cílené útoky se může hodit ještě více, pokud si útočník dá trochu práce a zjistí, jaké kontakty by cíl jeho útoku mohl na Linkedin postrádat. S rozmachem sociálních sítí a řadou volně dostupných vztahových databází to není až tak složité. Linkedin je navíc síť, která velmi snadno umožňuje dohledat k určitému uživateli jeho stávající či minulé kolegy a spolužáky.
Linkedin také svým způsobem přispívá tomu, že tamní uživatelé rádi klikají na maily, které (zdánlivě či doopravdy) z této sítě přicházejí. Typickým lákadlem, kterému jde těžko odolat, jsou zejména nesmyslné zprávy typu „kdo se díval na váš profil“. Přidejte si k tomu vyšší „důvěryhodnost“ Linkedin oproti Facebooku a základy jsou dané.
Obyčejný uživatel samozřejmě nedokáže zpravidla rozpoznat falešný mail od pravého – těžko lze předpokládat, že by si tito lidé prohlíželi odkazy před tím, než na ně kliknou. A už vůbec nebývá zvykem to, že by při žádosti či notifikaci od jakékoliv sociální sítě šli přímo na danou sociální síť a danou notifikaci zpracovali přímo tam, nikoliv proklikem z pošty.
Pro útočníka navíc nebude nijak složité si na falešné cílové adrese vytvořit něco, co bude skutečně vypadat jako Linkedin. A než se napadený stihne orientovat, tak je spousta času na vyzkoušení některých zranitelností – pro podobné účely jsou nakonec snadno dostupná již hotová řešení.
A samozřejmě je zde stále k dispozici starý dobrý trik, zeptat se na jméno a heslo – v tom je Linkedin příkladné, ptá se totiž na jméno a heslo tak často, jako žádná jiná sociální síť.
Zdroj: Want someone to click on your targeted attack? Disguise it as a LinkedIn message