Phishing už dávno není jen o e-mailech. Stále větší část útoků se přesouvá do kanálů, které bezpečnostní týmy tradičně tolik nesledují – sociální sítě, vyhledávače nebo chatovací aplikace. LinkedIn do toho zapadá dokonale: je „osobní“, ale používá se pracovně, často na firemních zařízeních, a útočníci na něm dokážou cílit přesněji než v e-mailové záplavě.
První výhoda pro útočníky je jednoduchá: zprávy na LinkedIn obcházejí běžné e-mailové filtry a ochrany, na které se firmy spoléhají. Bezpečnostní nástroje mají typicky dobrý přehled o firemní schránce, ale nad direct messages na sociálních sítích bývá dohled minimální. Útočník tak může poslat škodlivý odkaz nebo žádost o „rychlou kontrolu dokumentu“ přímo na pracovní notebook, aniž by to prošlo stejnými kontrolami jako e-mail. A i když někdo útok nahlásí, reakce je omezená: neexistuje jednoduché „stažení“ zprávy u více lidí jako u interního mailu, často chybí přehled, koho dalšího stejný útočník oslovil, a blokování domén je běh na dlouhou trať, protože phishingové weby se rychle střídají.
Druhá věc je ekonomika útoku. Phishing přes LinkedIn může být pro útočníky levnější a snazší na škálování než e-mailové kampaně, které často vyžadují práci s doménami, reputací a doručitelností. Navíc není nutné stavět „dokonalý“ falešný profil od nuly, když se dá převzít existující legitimní účet. A právě kompromitované účty jsou pro sociální inženýrství extrémně cenné: zpráva od reálné osoby s historií kontaktů působí věrohodněji než nově založený účet bez kontextu.
LinkedIn je zároveň zlatý důl na průzkum cílů. Útočník si snadno projde strukturu firmy, role, popisy pracovních pozic a zjistí, kdo pravděpodobně drží vyšší oprávnění nebo přístup k citlivým systémům. Pro spear-phishing je to ideální prostředí, protože kontaktování cíle je přímé a často bez „mezivrstvy“ typu asistentky, sdílené schránky nebo jiných bariér.
Psychologie hraje také velkou roli. Na LinkedIn lidé očekávají, že je budou oslovovat neznámí profesionálové – náboráři, obchodní partneři, lidé z oboru. To snižuje přirozenou ostražitost, která se u e-mailu za roky vybudovala. U vedoucích pracovníků to může být ještě silnější: odpovědět na zprávu v profesní síti je „normální“, zatímco další e-mail navíc často automaticky spadne do škatulky spamu nebo rutinní administrativy. Pokud je zpráva navíc odeslaná z účtu, který patří známému kontaktu (protože byl převzat), šance na reakci výrazně roste.
A to nejdůležitější: výplata může být obrovská. Útočníci často nemíří na LinkedIn účet jako takový, ale používají LinkedIn jako vstupní bod k získání přístupů k firemním identitám a cloudovým účtům – typicky Microsoft Entra, Google Workspace nebo identity providerům typu Okta. Jakmile získají jeden takový účet, často se přes SSO dostanou i do dalších napojených aplikací. Z „jedné zprávy“ se tak může stát přístup k interním datům, nástrojům a dalším uživatelům, a útok se pak šíří dál už zevnitř prostředí firmy.
Výsledkem je nepříjemná realita: i když LinkedIn působí jako „osobní“ platforma, v praxi se stal efektivním doručovacím kanálem pro cílený phishing, protože kombinuje nízkou viditelnost pro bezpečnostní týmy, snadný průzkum cílů a vysokou míru důvěry v profesním kontextu.
Zdroj: Bleeping Computer
