Cocktail blog

LinkedIn profile: Καλή πηγή επιθέσεων hackers

Ένας ειδικός ΙΤ security ερωτήθη πρόσφατα: «Αν ήσουν ένας εγκληματίας hacker που προσπαθεί να εκμεταλλευτεί μια εταιρεία – προκαλώντας της ανεπανόρθωτη βλάβη μέσω  της παραβίασης δεδομένων – ποιο είναι το πρώτο πράγμα που θα έκανες;».



Η απάντηση ήταν  σύντομη και εύκολη: θα «χτυπούσα» το LinkedIn. Το LinkedIn είναι ένας θησαυρός με  εύκολα προσβάσιμες πληροφορίες και company IT data.

Γιατί όμως είναι το LinkedIn τόσο ελκυστικό για τους χάκερς;

Για να απαντήσουμε σε αυτή την ερώτηση θα ήταν ωφέλιμο να εξετάσουμε το LΙΝΚΕDΙΝ μέσα από τα μάτια ενός χάκερ.

Κάνοντας μια αναζήτηση για μια συγκεκριμένη εταιρεία στο LΙΝΚΕDΙΝ θα εμφανιστούν όλα τα προφίλ των επαγγελματιών που δουλεύουν σε αυτήν,  μερικά από τα οποία θα περιλαμβάνουν και την επαγγελματική διεύθυνση ηλεκτρονικού ταχυδρομείου του ατόμου. Μόλις ένας χάκερ παρατηρήσει μερικές διευθύνσεις e-mail για την ίδια εταιρεία, έχει μάθει την δομή της διεύθυνσης ηλεκτρονικού ταχυδρομείου της εταιρείας (για παράδειγμα: firstname.lastname@companyname.com) και μπορεί να χτίσει έναν κατάλογο ηλεκτρονικού ταχυδρομείου των εργαζομένων τους οποίους θα στοχεύσει. Στην πραγματικότητα, οι χάκερς μπορούν να μαντέψουν με επιτυχία 50-60% του συνόλου των διευθύνσεων ηλεκτρονικού ταχυδρομείου των εργαζομένων που χρησιμοποιούν αυτή τη μέθοδο.

Στη συνέχεια, ο χάκερ θα διαμορφώσει ένα phishing ή social engineering plan. Χρησιμοποιώντας τις γνώσεις του από τα IT platforms της εταιρείας, το σχέδιό του θα μπορούσε να λάβει τη μορφή ενός e-mail που κατευθύνει τα ανυποψίαστα θύματά του σε μια ιστοσελίδα η οποία θα απαιτεί από αυτούς να εισάγουν το όν
ομα χρήστη και τον κωδικό πρόσβασής τους, για παράδειγμα.

Ο χάκερ θα αποφύγει να συμπεριλάβει τα IT staffers στη λίστα του, καθώς αυτό θα ήταν πολύ επικίνδυνο για τον ίδιο να αποκαλυφθεί. Αλλά το τμήμα εξυπηρέτησης πελατών, λογιστικής, μάρκετινγκ, και ανθρώπινου δυναμικού είναι πολύ ελκυστικοί στόχοι. Ο χάκερ θα δημιουργήσει αίσθημα επείγουσας κατάστασης στο μήνυμά του. Και, τελικά, αυτός θα στείλει το δόλωμα του, θα ψαρέψει τα θύματά του και voila: μόλις έκανε το πρώτο βήμα για να πάρει την πρόσβαση που χρειάζεται για να παραβιάσει το δίκτυο και να κλέψει πολύτιμα δεδομένα πιστωτικών καρτών, κοινωνικής ασφάλισης ή άλλα αρχεία δεδομένων . Ο χειρότερος εφιάλτης μιας εταιρείας έχει μόλις αρχίσει.

Πηγή: SecNews

Δεν υπάρχουν σχόλια: