5 lý do tại sao kẻ tấn công lừa đảo qua LinkedIn

[Starlink]

Các cuộc tấn công lừa đảo không còn giới hạn trong hộp thư đến email nữa, khi 1/3 các cuộc tấn công lừa đảo hiện nay diễn ra trên các kênh không phải email như mạng xã hội, công cụ tìm kiếm và ứng dụng nhắn tin.

LinkedIn nói riêng đã trở thành một ổ dịch cho các cuộc tấn công lừa đảo, và điều này hoàn toàn có lý do. Kẻ tấn công đang thực hiện các cuộc tấn công lừa đảo tinh vi nhắm vào các giám đốc điều hành công ty, với các chiến dịch gần đây nhắm vào các doanh nghiệp trong lĩnh vực dịch vụ tài chính và công nghệ.

Nhưng lừa đảo ngoài email vẫn chưa được báo cáo đầy đủ - điều này không thực sự đáng ngạc nhiên khi chúng ta biết rằng hầu hết số liệu về lừa đảo trong ngành đều đến từ các công cụ bảo mật email.

Suy nghĩ đầu tiên của bạn có thể là "tại sao tôi lại quan tâm đến việc nhân viên bị lừa đảo trên LinkedIn?" Mặc dù LinkedIn là một ứng dụng cá nhân, nhưng nó thường được sử dụng cho mục đích công việc, truy cập từ các thiết bị của công ty và kẻ tấn công đặc biệt nhắm vào các tài khoản doanh nghiệp như Microsoft Entra và Google Workspace.

Vậy nên, lừa đảo trên LinkedIn là một mối đe dọa quan trọng mà các doanh nghiệp cần phải chuẩn bị ngay hôm nay. Dưới đây là 5 điều bạn cần biết về lý do tại sao kẻ tấn công lại sử dụng phương thức lừa đảo này trên LinkedIn — và tại sao nó lại hiệu quả đến vậy.

1. Nó bỏ qua các công cụ bảo mật truyền thống

Tin nhắn trực tiếp (DM) của LinkedIn hoàn toàn bỏ qua các công cụ bảo mật email mà hầu hết các tổ chức đều dựa vào để bảo vệ chống lừa đảo. Trên thực tế, nhân viên truy cập LinkedIn trên máy tính xách tay và điện thoại công việc, nhưng đội ngũ bảo mật không thể theo dõi các giao tiếp này. Điều này có nghĩa là nhân viên có thể nhận được tin nhắn từ người ngoài trên thiết bị công việc mà không có bất kỳ nguy cơ bị đánh cắp email nào.

Tệ hơn nữa, các bộ công cụ chống lừa đảo hiện đại sử dụng một loạt các kỹ thuật che giấu, chống phân tích và né tránh phát hiện để vượt qua các biện pháp kiểm soát chống lừa đảo dựa trên việc kiểm tra trang web (chẳng hạn như bot bảo mật thu thập dữ liệu web) hoặc phân tích lưu lượng truy cập web (chẳng hạn như proxy web). Điều này khiến hầu hết các tổ chức phải dựa vào đào tạo người dùng và báo cáo làm tuyến phòng thủ chính — một tình huống không mấy khả quan.

Nhưng ngay cả khi bị người dùng phát hiện và báo cáo, bạn thực sự có thể làm gì với một cuộc tấn công lừa đảo LinkedIn? Bạn không thể biết những tài khoản nào khác trong danh sách người dùng của mình đã bị nhắm mục tiêu hoặc tấn công. Không giống như email, không có cách nào để thu hồi hoặc cách ly cùng một tin nhắn gửi đến nhiều người dùng. Không có quy tắc nào bạn có thể sửa đổi, hay người gửi nào bạn có thể chặn. Bạn có thể báo cáo tài khoản, và có thể tài khoản độc hại sẽ bị đóng băng — nhưng kẻ tấn công có thể đã có được những gì chúng cần và tiếp tục tấn công.

Hầu hết các tổ chức chỉ cần chặn các URL liên quan. Nhưng điều này không thực sự hữu ích khi kẻ tấn công liên tục thay đổi tên miền lừa đảo — khi bạn chặn một trang web, nhiều trang web khác đã thay thế. Đây giống như một trò chơi đập chuột chũi — và nó được sắp đặt để chống lại bạn.

2. Rẻ, dễ dàng và có thể mở rộng cho kẻ tấn công

Có một số lý do khiến việc lừa đảo qua LinkedIn dễ xảy ra hơn so với các cuộc tấn công lừa đảo qua email.

Với email, kẻ tấn công thường tạo trước các tên miền email, trải qua giai đoạn khởi động để xây dựng uy tín tên miền và vượt qua các bộ lọc email. So với các ứng dụng mạng xã hội như LinkedIn, việc tạo tài khoản, kết nối, thêm bài đăng và nội dung, rồi trang trí chúng sao cho trông có vẻ hợp pháp, là điều thường thấy.

Ngoại trừ việc chiếm đoạt các tài khoản hợp pháp cực kỳ dễ dàng. 60% thông tin đăng nhập trong nhật ký đánh cắp thông tin được liên kết với các tài khoản mạng xã hội, nhiều tài khoản trong số đó không có MFA (vì tỷ lệ áp dụng MFA thấp hơn nhiều trên các ứng dụng "cá nhân" trên danh nghĩa, nơi người dùng không được nhà tuyển dụng khuyến khích thêm MFA). Điều này tạo cho kẻ tấn công một bệ phóng đáng tin cậy cho các chiến dịch của chúng, xâm nhập vào mạng lưới hiện có của tài khoản và lợi dụng sự tin tưởng đó.

Kết hợp việc chiếm đoạt tài khoản hợp pháp với cơ hội do tin nhắn trực tiếp do AI cung cấp có nghĩa là kẻ tấn công có thể dễ dàng mở rộng phạm vi tiếp cận LinkedIn của mình.

3. Dễ dàng tiếp cận các mục tiêu có giá trị cao

Như bất kỳ chuyên gia bán hàng nào cũng biết, việc thu thập thông tin từ LinkedIn rất đơn giản. Việc lập sơ đồ hồ sơ LinkedIn của một tổ chức và chọn mục tiêu phù hợp để tiếp cận rất dễ dàng. Trên thực tế, LinkedIn đã là một công cụ hàng đầu cho cả nhóm đỏ và kẻ tấn công khi tìm kiếm các mục tiêu kỹ thuật xã hội tiềm năng — ví dụ như xem xét vai trò và mô tả công việc để ước tính tài khoản nào có mức độ truy cập và đặc quyền cần thiết để triển khai một cuộc tấn công thành công.

LinkedIn cũng không có chức năng sàng lọc hay lọc tin nhắn, không có chức năng chống thư rác, hay trợ lý giám sát hộp thư đến cho bạn. Đây được cho là cách trực tiếp nhất để tiếp cận người liên hệ bạn muốn, và do đó là một trong những nơi tốt nhất để triển khai các cuộc tấn công lừa đảo có mục tiêu cao.

4. Người dùng có nhiều khả năng bị lừa hơn

Bản chất của các ứng dụng mạng lưới chuyên nghiệp như LinkedIn là bạn mong đợi được kết nối và tương tác với những người bên ngoài tổ chức của mình. Trên thực tế, một giám đốc điều hành cấp cao có khả năng mở và trả lời tin nhắn trực tiếp trên LinkedIn cao hơn nhiều so với một email rác khác.

Đặc biệt khi kết hợp với việc chiếm đoạt tài khoản, tin nhắn từ các liên hệ quen biết thậm chí còn có khả năng nhận được phản hồi cao hơn. Điều này tương đương với việc chiếm đoạt tài khoản email của một liên hệ kinh doanh hiện tại — vốn là nguyên nhân của nhiều vụ vi phạm dữ liệu trong quá khứ.

Trên thực tế, trong một số trường hợp gần đây, những người liên hệ đó lại là đồng nghiệp — nên nó giống như việc kẻ tấn công chiếm đoạt một trong những tài khoản email công ty của bạn và sử dụng nó để lừa đảo các giám đốc điều hành cấp cao. Kết hợp với lý do chính đáng (ví dụ: xin phê duyệt gấp hoặc xem xét tài liệu), cơ hội thành công sẽ tăng lên đáng kể.

5. Phần thưởng tiềm năng là rất lớn

Việc những cuộc tấn công này xảy ra trên một ứng dụng "cá nhân" không có nghĩa là tác động bị hạn chế. Điều quan trọng là phải nghĩ đến bức tranh toàn cảnh.

Hầu hết các cuộc tấn công lừa đảo đều tập trung vào các nền tảng đám mây doanh nghiệp cốt lõi như Microsoft và Google, hoặc các Nhà cung cấp Danh tính chuyên biệt như Okta. Việc chiếm đoạt một trong những tài khoản này không chỉ cho phép truy cập vào các ứng dụng và dữ liệu cốt lõi trong ứng dụng tương ứng mà còn cho phép kẻ tấn công lợi dụng SSO để đăng nhập vào bất kỳ ứng dụng nào được kết nối mà nhân viên đó đăng nhập.

Điều này cho phép kẻ tấn công truy cập vào hầu hết mọi chức năng kinh doanh cốt lõi và tập dữ liệu trong tổ chức của bạn. Và từ đó, việc nhắm mục tiêu vào những người dùng khác của các ứng dụng nội bộ này cũng dễ dàng hơn nhiều — sử dụng các ứng dụng nhắn tin doanh nghiệp như Slack hoặc Teams, hoặc các kỹ thuật như SAMLjacking để biến một ứng dụng thành nơi trú ẩn cho những người dùng khác cố gắng đăng nhập.

Kết hợp với việc các nhân viên cấp cao bị lừa đảo, hậu quả sẽ rất đáng kể. Một vụ xâm phạm tài khoản đơn lẻ có thể nhanh chóng biến thành một vụ vi phạm trị giá hàng triệu đô la trên toàn doanh nghiệp.

Và ngay cả khi kẻ tấn công chỉ liên lạc được với nhân viên của bạn trên thiết bị cá nhân của họ, điều này vẫn có thể bị chuyển thành hành vi xâm phạm tài khoản công ty. Hãy xem xét vụ xâm phạm Okta năm 2023, khi kẻ tấn công lợi dụng việc một nhân viên Okta đã đăng nhập vào hồ sơ Google cá nhân trên thiết bị làm việc của họ. Điều này có nghĩa là bất kỳ thông tin đăng nhập nào được lưu trong trình duyệt của họ đều được đồng bộ hóa với thiết bị cá nhân của họ — bao gồm thông tin đăng nhập của 134 khách hàng thuê. Khi thiết bị cá nhân của họ bị hack, tài khoản làm việc của họ cũng bị ảnh hưởng.

6. Đây không chỉ là vấn đề của LinkedIn

Với hoạt động hiện đại diễn ra trên mạng lưới các ứng dụng internet phi tập trung và nhiều kênh truyền thông đa dạng hơn ngoài email, việc ngăn chặn người dùng tương tác với nội dung độc hại trở nên khó khăn hơn bao giờ hết.

Kẻ tấn công có thể gửi liên kết qua các ứng dụng nhắn tin tức thời, mạng xã hội, tin nhắn SMS, quảng cáo độc hại và sử dụng chức năng nhắn tin trong ứng dụng, cũng như gửi email trực tiếp từ các dịch vụ SaaS để vượt qua các bước kiểm tra qua email. Tương tự, hiện nay có hàng trăm ứng dụng cho mỗi doanh nghiệp có thể bị nhắm mục tiêu, với các mức độ cấu hình bảo mật tài khoản khác nhau.

7. Ngăn chặn lừa đảo trực tuyến ngay tại nơi xảy ra: trong trình duyệt

Lừa đảo qua mạng đã vượt ra khỏi phạm vi hộp thư — điều quan trọng là bảo mật cũng phải được thực hiện.

Để giải quyết các cuộc tấn công lừa đảo hiện đại, các tổ chức cần một giải pháp có thể phát hiện và chặn lừa đảo trên mọi ứng dụng và phương thức phân phối.

Push Security nhìn thấy những gì người dùng của bạn thấy. Bất kể kênh phân phối hay phương pháp tránh phát hiện nào được sử dụng, Push đều ngăn chặn cuộc tấn công theo thời gian thực khi người dùng tải trang độc hại vào trình duyệt web — bằng cách phân tích mã trang, hành vi và tương tác của người dùng theo thời gian thực.

Đây không phải là tất cả những gì chúng tôi làm: Push chặn các cuộc tấn công dựa trên trình duyệt như lừa đảo AiTM, nhồi thông tin đăng nhập, tiện ích mở rộng trình duyệt độc hại, cấp quyền OAuth độc hại, ClickFix và chiếm quyền điều khiển phiên. Bạn cũng có thể sử dụng Push để chủ động tìm và khắc phục các lỗ hổng trên các ứng dụng mà nhân viên của bạn sử dụng, chẳng hạn như đăng nhập ma, lỗ hổng bảo mật SSO, lỗ hổng MFA và mật khẩu dễ bị tấn công. Bạn thậm chí có thể xem nơi nhân viên đã đăng nhập vào tài khoản cá nhân trong trình duyệt làm việc của họ (để ngăn chặn các tình huống như vụ xâm phạm Okta năm 2023 đã đề cập trước đó).