De la LinkedIn la X, de la GitHub la Instagram, există numeroase ocazii pentru a împărtăși informații legate de muncă. Însă astfel de postări pot, uneori, să vă pună compania în dificultate. Promovarea prestată de angajați există ca fenomen de peste un deceniu. Însă ceea ce a început ca o inițiativă bine intenționată de a consolida profilul companiei, vizibilitatea experților și eforturile de marketing vine la pachet și cu efecte secundare neașteptate. Atunci când profesioniștii postează despre activitatea lor, companie și rolul pe care îl ocupă, ei speră să ajungă la specialiști cu interese similare, la potențiali clienți și parteneri. Dar și hackerii sunt cu ochii pe aceste informații.

Odată ce ajung în spațiul public, sunt adesea folosite pentru a construi atacuri credibile de tip spear-phishing sau scheme de compromitere a emailului de afaceri (BEC). Cu cât sunt expuse mai multe detalii, cu atât cresc șansele de succes ale unor atacuri care pot afecta serios organizația.

Unde distribuie angajații informații despre companie?

Principalele platforme pentru partajarea unor astfel de informații sunt cele pe care le știm deja. LinkedIn este, probabil, primul exemplu care ne trece prin minte. Poate fi descrisă drept cea mai mare bază publică de date corporate din lume: o adevărată mină de aur cu funcții, roluri, responsabilități și relații interne. Tot aici sunt publicate și anunțurile de angajare, care uneori dezvăluie prea multe detalii tehnice – informații ce pot fi exploatate ulterior în atacuri de tip spear-phishing.

GitHub este cunoscut în contextul securității cibernetice ca un loc unde dezvoltatorii neatenți pot publica din greșeală secrete codificate (hardcoded), adrese IP sau date ale clienților. Însă pot divulga și informații aparent inofensive, precum denumiri de proiecte, nume de pipeline-uri CI/CD și detalii despre ce tech stack-uri și biblioteci open source folosesc. De asemenea, pot ajunge să expună adrese de email corporate prin setările folosite în commit-uri Git.

Apoi există platformele clasice, orientate către consumatori, cum ar fi Instagram și X. Aici, angajații tind să posteze detalii despre planurile lor de călătorie la conferințe și alte evenimente – informații care pot fi utilizate în atacuri împotriva lor și a organizației. Chiar și informațiile de pe site-ul companiei pot fi utile pentru un potențial fraudator sau hacker: detalii despre platforme tehnice, furnizori și parteneri, sau anunțuri corporate importante, precum activități de fuziuni și achiziții (M&A). Toate acestea pot deveni puncte de plecare pentru atacuri de phishing sofisticate.

Exploatarea informațiilor

Prima etapă a unui atac tipic de inginerie socială este colectarea de informații (intelligence). Următoarea constă în folosirea lor într-un atac de tip spear-phishing, conceput pentru a păcăli destinatarul să instaleze, fără să știe, malware pe dispozitivul său. Sau, în unele cazuri, să-și divulge datele de autentificare corporate, oferind atacatorului acces inițial în sistem. Schema se poate realiza prin email, mesaj text sau chiar apel telefonic. O altă variantă este folosirea informațiilor pentru a impersona un superior de nivel înalt sau un furnizor, prin email, telefon sau apel video, solicitând o plată urgentă.

Astfel de scheme implică de obicei o combinație de impersonare credibilă, grad de urgență și relevanță. Iată câteva exemple ipotetice:
– Un hacker găsește pe LinkedIn informații despre un angajat nou în echipa de IT, inclusiv rolul său principal și responsabilitățile pe care le are. Acesta impersonează un important furnizor de tehnologie și susține că este necesară o actualizare de securitate urgentă, făcând referire la numele, detaliile de contact și rolul victimei. Link-ul de actualizare este, de fapt, malware.
– Un atacator găsește pe GitHub informații despre doi colegi, inclusiv proiectul la care lucrează. Pretinde a fi unul dintre ei într-un email în care îi cere celuilalt să revizuiască un document anexat, document care este de fapt infectat cu malware.
– Un fraudator găsește un video cu o persoană din conducere pe LinkedIn sau pe site-ul companiei. Observă apoi pe conturile de Instagram/X ale acestuia că urmează să participe la o conferință și va lipsi din birou. Știind că va fi greu de contactat, lansează un atac BEC cu deepfake, video sau audio, pentru a păcăli un membru al echipei financiare să transfere urgent fonduri către un „nou” furnizor.

Cazuri reale din care putem învăța

Cele de mai sus sunt doar situații ipotetice. Însă există numeroase exemple reale în care atacatorii folosesc tehnici de „open source intelligence” (OSINT) în etapele inițiale ale unui atac. Acestea includ:
– Un atac BEC care a costat Children’s Healthcare of Atlanta (CHOA) 3,6 milioane de dolari: atacatorii au analizat, cel mai probabil, comunicatele de presă despre un campus nou, pentru a afla informații precum numele firmei de construcție. Ulterior, au folosit LinkedIn și/sau site-ul de companie pentru a identifica persoane cheie din conducere și membri ai echipei financiare ai firmei implicate (JE Dunn). În final, au pretins a fi directorul financiar (CFO) într-un email trimis echipei financiare CHOA, solicitând actualizarea detaliilor de plată pentru JE Dunn.
– Grupările SEABORGIUM, cu sediul în Rusia, și TA453, aliniat intereselor Iranului, folosesc tehnici OSINT pentru recunoaștere înainte de a lansa atacuri de tip spear-phishing asupra unor ținte selectate în prealabil. Conform NCSC din Marea Britanie, grupările utilizează rețelele sociale și platformele de networking profesional pentru a „cerceta interesele victimelor și a identifica contactele lor sociale sau profesionale din viața reală”.

Odată ce încrederea și relația au fost stabilite prin email, ei trimit un link pentru a sustrage datele de autentificare ale victimelor.

Oprim distribuirea? Cum reducem, de fapt, riscul de spear-phishing

Riscurile oversharing-ului sunt reale, dar, din fericire, soluțiile sunt clare. Cea mai eficientă apărare este instruirea. Actualizați programele de conștientizare a riscurilor cibernetice pentru a vă asigura că toți angajații, de la conducere până la personal, înțeleg importanța de a nu împărtăși excesiv informații pe rețelele sociale. În unele cazuri, poate necesita o recalibrare atentă a priorităților, punând mai puțin accent pe promovarea de către angajați „cu orice preț”. Avertizați personalul să evite partajarea prin mesaje private (DM-uri) nesolicitate, chiar dacă recunosc utilizatorul (deoarece contul acestuia ar fi putut fi deturnat). Asigurați-vă, de asemenea, că pot identifica tentative de phishing, BEC și atacuri deepfake.

Susțineți demersul de conștientizare cu o politică strictă privind utilizarea rețelelor sociale, definind precis ce poate și ce nu poate fi partajat și aplicând limite clare între conturile personale și cele profesionale/oficiale. De asemenea, s-ar putea să fie necesară revizuirea și actualizarea site-urilor și conturilor corporate pentru a elimina orice informație care ar putea fi folosită într-un atac cibernetic.

Autentificarea multi-factor (MFA) și parolele puternice, stocate într-un manager de parole, ar trebui să fie obligatorii pentru toate conturile de social media, în cazul în care conturile profesionale sunt deturnate pentru a viza alți colegi.

În cele din urmă, monitorizați, acolo unde este posibil, conturile publice în căutarea de informații care ar putea fi exploatate în atacuri de tip spear-phishing sau BEC. De asemenea, organizați exerciții de tip red team pentru a testa nivelul de vigilență al angajaților.

Din păcate, AI ajută atacatorii să își profileze țintele mai rapid și mai ușor ca niciodată, să colecteze informații OSINT și să creeze emailuri sau mesaje convingătoare, corect redactate. Deepfake-urile generate de AI le extind și mai mult opțiunile. Concluzia e simplă: dacă o informație este publică, plecați de la premisa că și un infractor cibernetic o cunoaște… și că o va folosi mai devreme sau mai târziu.