Hlavní navigace

Naletět na falešné účty na LinkedIn je příliš snadné

14. 9. 2015
Doba čtení: 3 minuty

Sdílet

 Autor: LinkedIn
Ubránit se můžete jen vysokou dávkou podezíravosti a ověřováním. Což se, na jednu stranu, může dost vyplatit, pokud nejste dostatečně rozumní jinak.

Graham Cluley ve Why I fell victim to a LinkedIn scam – and why I would do so again tomorrow komentuje aktuální kampaň, kdy (teoretičtí) útočníci cílí na LinkedIn na odborníky pohybující se v oblasti počítačové bezpečnosti. Uvádí i pár příkladů falešných účtů, které jsou k těmto útokům používány.

Paradoxem je, že falešné účty v tomto případě všechny pracují pro jednu a tutéž společnost „Talent Src“ a byly použity pro snahu vstoupit mezi kontakty cílů. Po pár týdnech se z LinkedIn zmíněné účty ztratily, což je možné přikládat jak aktivitě útočníků, tak možnému zásahu LinkedIn (které je v otázce falešných účtů tradičně neuvěřitelně laxní).

Cluley zmiňuje, že i on sám jednomu z těchto účtů „naletěl“, ale zároveň říká, že se to v budoucnu nejspíš může opakovat – nepoužívá totiž na LinkedIn žádná striktní a podstatná pravidla pro schválení žádostí. 

Schvaluje požadavky kdykoliv si myslí, že žadatele zná, nebo že žadatel pracuje ve stejném oboru jako on sám. Vede ho k tomu přesvědčení, že LinkedIn, Twitter, Facebook nebo třeba blog jsou veřejná místa a cokoliv tam vkládané je nutné posuzovat podle toho.

Odhalit falešné účty na LinkedIn nebývá až tak složité – mívají fotografie z fotobanky nebo z internetu (velmi rychlou metodou ověření je reverzní hledání přes Obrázky Google či Tineye.com), málokdy si dávají práci s tím, aby profil byl skutečně obsažný, co se profesní stránky a příspěvků týče. Osobu zpravidla ani nedohledáte jinde, což je zejména u falešných účtů z oblasti informačních technologií či bezpečnosti dost zásadním důvodem k podezření.

Cluley upozorňuje, že LinkedIn (ale vlastně jakýkoliv podobný systém) není použitelný pro sdílení citlivých informací, ale také to, že pokud by snad zavedl nějaké postupy pro ověřování kontaktů na LinkedIn, tak by stejně nakonec šlo pouze o falešný pocit bezpečí. Není totiž prakticky žádný problém založit si na LinkedIn profil za někoho cizího a úspěšně se za něj vydávat.

Jakkoliv vznik falešných účtů v této kampani, cílící na profesionály z oblasti počítačové bezpečnosti, může být něčím útokem, může jít také o pokus z oblasti sociálního inženýrství. A jak Cluley zmiňuje, možná jej brzy někdo zveřejní v nějaké studii či na konferenci. Zmiňuje podobný příklad z let 2011 až 2013, kde ale nešlo jenom o přidání do kontaktů, ale i následnou konverzaci, která, překvapivě, v některých případech vedla k získání mírně citlivých informací.

Proč si dávat práci s falešnými profily?

V souvisejícím LinkedIn Sockpuppets Are Targeting Security Researchers od F-Secure najdete i detailnější příklad falešného profilu, včetně dalších informací k celé události. Účet Jennifer White (stejně jako další příklady) už dnes bohužel neexistuje.

Zajímavé na tom může být, že si někdo dal alespoň trochu práci v tom, že profilové fotografie zveřejněných příkladů falešných profilů nejsou dohledatelné přes reverzní hledání. Jenže, což je ještě zajímavější, ta práce spočívá v tom, že otočil fotografii – jeden z profilů (Monika Kaminski) má profilové foto použité z @NathaliaHolt – což je mimochodem účet skutečného člověka.

Proč vytvářet falešné účty a dostávat se pod falešnou identitou do sociálních kontaktů? Za prvé proto, že to může znamenat přístup k informacím, které lidé naivně sdílejí „jen pro přátele“, či věří něčemu takovému, jako že „Snapchat ty fotografie opravdu maže“. Z podobných informací může útočník získat něco, co je zneužitelné. Může jít i o prostý přehled toho, s kým oběť komunikuje či koho v má „v přátelích“.

BRAND24

Dlouhodobější sledování člověka pak může přinést řadu dalších užitečných informací: kde či pro koho pracuje, kam chodí sportovat, kdy jezdí na nákupy či na chatu. Kdy je na dovolené, kdy se nachází v nějakém městě. Je to i dobrá cesta ke zjištění, jak daná osoba vypadá a jak vypadají osoby, se kterými se stýká.

Včetně informací o dětech či příbuzných – což může být ještě více problematické. Otevírá se tím cesta ke vstupu do dalších sociálních kruhů (protože pokud uživatelé vidí, že daný falešný účet je v přátelích jejich příbuzného, často jeho žádost o propojení prostě odklepnou).

Byl pro vás článek přínosný?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).