LinkedIn, postrzegany jako cyfrowa wizytówka kadry zarządzającej i specjalistów, dla grup przestępczych oraz obcych służb jest precyzyjnym źródłem wiedzy o strukturach firm i instytucji. O skali zagrożenia świadczy niedawny komunikat brytyjskiego kontrwywiadu MI5, który oficjalnie ostrzegł parlamentarzystów przed działaniami obcych agentów na tej platformie. Wykorzystując fałszywe profile, napastnicy miesiącami budowali relacje z osobami decyzyjnymi, by docelowo uzyskać dostęp do poufnych danych[1]. Ten przypadek pokazuje, że to, co uznajemy za networking, może być w rzeczywistości starannie zaplanowaną operacją pozyskiwania informacji.
Choć nagłośnione incydenty dotyczą świata polityki, analogiczne metody mogą zostać wykorzystane w szpiegostwie przemysłowym oraz ukierunkowanych atakach na firmy prywatne. LinkedIn, z bazą ponad miliarda użytkowników, pozwala przestępcom na dokładne mapowanie organizacji niemal dowolnej wielkości.
Analizując profile pracowników, atakujący są w stanie zidentyfikować nie tylko kluczowe osoby decyzyjne, ale także nowe osoby w zespole, ich zakres obowiązków czy realizowane aktualnie projekty. Takie dane stanowią fundament do przygotowania spersonalizowanych ataków socjotechnicznych, których celem może być sieć firmowa. Specyfika portalu sprawia, że użytkownicy darzą otrzymywane tam wiadomości znacznie większym zaufaniem niż tradycyjną korespondencję e-mail, co oszuści mogą bezwzględnie wykorzystać.
Pułapka na styku życia prywatnego i zawodowego
Wykorzystanie LinkedIna do ataków jest skuteczne również dlatego, że platforma ta często stanowi „szarą strefę” w bezpieczeństwie IT. Użytkownicy logują się do serwisu nie tylko na komputerach służbowych, ale także na prywatnych smartfonach i laptopach, na których firmowe systemy ochrony nie funkcjonują.
– Używanie prywatnych urządzeń do celów zawodowych sprawia, że działy IT tracą wgląd w potencjalne zagrożenia płynące z mediów społecznościowych. Nawet jeśli firma stosuje rygorystyczne filtry poczty e-mail, nie mają one wpływu na to, co pracownik otrzyma w prywatnej wiadomości w serwisie LinkedIn. Użytkownik, ufając renomie serwisu, znacznie chętniej klika w linki czy pobiera pliki, które mogą zawierać złośliwe oprogramowanie. Łączenie się z siecią firmową za pomocą zainfekowanego prywatnego urządzenia stanowi ryzyko – mówi Kamil Sadkowski, analityk cyberzagrożeń ESET.
Problem przenikania się sfery prywatnej i zawodowej w kontekście bezpieczeństwa potwierdzają badania. Z raportu „Cyberportret polskiego biznesu 2025”, przygotowanego przez ESET i DAGMA Bezpieczeństwo IT[2], wynika, że aż 28% polskich pracowników nie widzi problemu w wykorzystywaniu firmowego sprzętu do celów prywatnych. Z kolei zaledwie połowa badanych (56%) deklaruje unikanie logowania się do systemów firmowych z urządzeń prywatnych. To oznacza dużą grupę osób, które poprzez tego rodzaju zachowania mogą nieświadomie otwierać cyberprzestępcom furtkę do firmowych danych.
Ryzyko potęguje fakt, że przeprowadzenie takiej operacji jest dla napastników relatywnie proste. Używając skradzionych danych uwierzytelniających lub tworząc wiarygodne profile rekruterów, cyberprzestępcy mogą masowo docierać do wybranej grupy odbiorców. Bezwzględnie wykorzystują również to, że na portalu biznesowym darzymy nieznajomych znacznie większym zaufaniem niż w innych mediach społecznościowych. W efekcie niewinne zaproszenie do sieci kontaktów może stać się początkiem zaawansowanego ataku, którego stawką są najcenniejsze zasoby firmy.
Od fałszywego profilu do przejęcia konta
Działania podejmowane na LinkedIn rzadko kończą się na samej platformie. Są one zazwyczaj wstępem do bardziej zaawansowanych ataków, takich jak spear-phishing czy BEC (Business Email Compromise). Dzięki informacjom o strukturze firmy, relacjach podległości oraz realizowanych projektach, oszuści są w stanie przygotować niezwykle wiarygodne komunikaty, które uśpią czujność nawet doświadczonych pracowników. Spektrum zagrożeń jest jednak znacznie szersze:
- Ataki bezpośrednie i werbunek: Napastnicy przesyłają złośliwe linki ukryte w ofertach pracy lub dokumentach rekrutacyjnych, które służą do instalacji oprogramowania typu infostealer. W skrajnych przypadkach, na co wskazywało MI5, platforma służy do typowego werbunku „współpracowników” wewnątrz organizacji.
- Wykorzystanie deepfake’ów: LinkedIn jest cennym źródłem materiałów wideo i próbek głosu kadry zarządzającej. Mogą one zostać wykorzystane do tworzenia materiałów typu deepfake, używanych później w wyrafinowanych oszustwach finansowych.
- Ataki na łańcuch dostaw: Przestępcy mapują nie tylko samą firmę, ale i jej partnerów biznesowych. Uderzenie w mniejszego dostawcę identyfikowanego przez LinkedIn może stać się „mostem” do przełamania zabezpieczeń głównego celu.
- Przejmowanie kont (Account Hijacking): Poprzez fałszywe strony logowania czy wycieki haseł, napastnicy przejmują profile realnych użytkowników. Takie „uwiarygodnione” konto służy następnie do rozsyłania złośliwych treści do całej sieci kontaktów ofiary, co drastycznie zwiększa skuteczność ataku.
– Badacze ESET wykryli kampanie, w których członkowie grupy Lazarus, podszywając się pod rekruterów, instalowali złośliwe oprogramowanie na komputerach pracowników sektora lotniczego[3]. Co więcej, w ramach operacji Wagemole, osoby powiązane z Koreą Północną próbowały wręcz uzyskać realne zatrudnienie w zagranicznych firmach, by infiltrować je od środka[4]. Z kolei przykład grupy Scattered Spider i ataku na hotele MGM pokazuje, jak niebezpieczne jest wykorzystanie danych z serwisu LinkedIn do manipulowania pracownikami wsparcia technicznego. Doprowadziło to do paraliżu systemów i strat rzędu 100 milionów dolarów[5]. Każda informacja upubliczniona w naszym profilu może zostać użyta do uwiarygodnienia ataku – odpowiada Kamil Sadkowski.
Jak ograniczyć ryzyko? Budowanie cyfrowej czujności
Głównym wyzwaniem w walce z zagrożeniami na LinkedInie pozostaje ograniczona widoczność tych działań dla działów bezpieczeństwa IT. Dlatego kluczowym elementem ochrony staje się edukacja pracowników i włączenie scenariuszy ataków na platformach społecznościowych do regularnych szkoleń z zakresu cyberbezpieczeństwa.
– Każdy pracownik powinien mieć świadomość, że nawet na tak profesjonalnej platformie jak LinkedIn, nie każda osoba nawiązująca kontakt ma czyste intencje. Nadmierne dzielenie się szczegółami dotyczącymi wewnętrznych projektów czy struktury firmy to ułatwienie zadania dla napastnika. Szczególną czujność powinna zachować kadra zarządzająca, która ze względu na swoje uprawnienia jest najczęstszym celem precyzyjnie targetowanych kampanii – zaznacza Kamil Sadkowski.
Aby zminimalizować ryzyko przejęcia konta i infekcji urządzeń, eksperci zalecają przestrzeganie kilku podstawowych zasad:
- Weryfikacja kontaktów: Zanim przyjmiesz zaproszenie, sprawdź profil osoby zapraszającej. Brak wspólnych znajomych, uboga historia aktywności lub bardzo świeża data utworzenia konta powinny wzbudzić czujność.
- Wieloskładnikowe uwierzytelnianie (MFA): Włączenie dwuetapowej weryfikacji logowania na LinkedInie to najskuteczniejsza metoda ochrony przed przejęciem profilu, nawet w przypadku wycieku hasła.
- Ograniczenie widoczności: Warto zweryfikować ustawienia prywatności profilu i ograniczyć dostęp do szczegółowych informacji o projektach osobom spoza sieci kontaktów.
- Ochrona wszystkich urządzeń: Skoro LinkedIn jest obsługiwany także na urządzeniach prywatnych, niezbędne jest stosowanie sprawdzonego oprogramowania zabezpieczającego na urządzeniach mającym dostęp do zasobów firmy.
[1] bbc.co.uk/news/articles/c4gpnz05kr8o
[2] https://in.eset.pl/cyberportret-polskiego-biznesu
[3] https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospace-company/
[4] https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-from-primitive-crypto-theft-to-sophisticated-ai-based-deception/#north-korean-it-workers-aka-wagemole
[5] https://inszoneinsurance.com/blog/cyberattack-mgm-resort-explained