Cuando un extraño total sale de la nada con una solicitud de conexión sin ninguna forma de introducción en LinkedIn, lo ignoramos sistemáticamente. Y tú también deberías. Y, por cierto, esto no es solo desde un punto de vista de seguridad de TI puro. En términos más generales, se debe construir una red de contactos significativa . La calidad debe prevalecer sobre la cantidad. Tener una red de 800-1,200 personas con las que te hablas (como mínimo) gana sobre tener una red de 8,000 a 10,000 con las que nunca te has involucrado.
Ahora, más específicamente en ingeniería social y seguridad informática. LinkedIn es una fantástica plataforma profesional de redes sociales, PERO también es una gran plataforma de descubrimiento con el propósito de la ingeniería social Y un vector de ataque para penetrar en su empleador a través de phishing, spear phishing y Executive “Whaling”
Hechos:
• LinkedIn es un tesoro de datos que son utilizados por agentes maliciosos para investigar posibles objetivos para atacar
• Los agentes de fraude y los ciberdelincuentes están aprovechando LinkedIn para iniciar varios tipos de estafas, implementando campañas de ingeniería social, phishing, phishing, Whaling contra todos los que somos usuarios legítimos de LinkedIn.
¿Cuál es el objetivo final del actor del fraude?
De manera inequívoca, es infiltrarse en los sistemas de tu organización traspasando las soluciones de seguridad implementadas por tu equipo de TI o tu proveedor de servicios de TI.
Una vez que los ciberdelincuentes han obtenido acceso a tu computadora, pueden moverse lateralmente dentro de los sistemas de tu empleador. Todas las opciones se abren según su motivo: robar datos, cifrar archivos, apoderarse de recursos informáticos, explotar criptomonedas en tu computadora, robar efectivo a través del fraude de CEO / esquema de compromiso de correo electrónico comercial.
¿Cómo lo hicieron?
Fase 1 – Establecimiento de Factor de Confianza y Validación Social. Reconocimiento cibernético.
Existe una fé implícita en que todas las cuentas en LinkedIn son legítimas . Además, tiende a parecer inofensivo cuando una persona que trabaja en una industria similar a la tuya, o que tiene conexiones comunes contigo, o que un reclutador realiza una solicitud de conexión.
Bueno, esto es cuando empiezan los problemas. Los delincuentes cibernéticos son expertos en:
• Construir validación social
• Aprovechar al máximo una prueba de credibilidad con sus conexiones existentes y conexiones comunes
• Reconocimiento cibernético : se trata de selección de objetivos y espionaje. Recopilar tanta información sobre el objetivo como sea posible, comenzando con pasivo y avanzando hacia un reconocimiento activo más agresivo.
Lo conocen muy bien, su red, posiblemente sus viajes de negocios y destinos, el nombre de su jefe y sus colegas, y crean un perfil completo del objetivo.
Hace que la Fase 2 (el golpe real) sea muy creíble y convincente. Esta es la razón por la que probablemente el 90% del tiempo se invierte en la Fase 1 haciendo investigaciones y preparándose para lo que vendrá a continuación
Fase 2: el ataque en sí o “el golpe”.
Los ciberdelincuentes pueden lanzar una campaña de phishing dirigida con un correo electrónico de phishing que contiene un enlace malicioso. También pueden ser más específicos con los correos electrónicos de phishing o de caza de ballenas (gracias a la característica InMail de confianza de LinkedIn ) sin la necesidad de estar conectado a ese miembro de LinkedIn.
Finalmente, en algunos casos, los ciberdelincuentes pueden usar el teléfono antiguo: se puede hacer un seguimiento de un correo electrónico de Whaling con una llamada telefónica que confirme la solicitud del correo electrónico.
En cualquier caso, la fase 2 es corta y al punto. Pasar más tiempo investigando durante la Fase 1 aumenta la tasa de éxito de la Fase 2.
A tener en cuenta:
1. NO aceptes solicitudes de conexión de extraños que no hayas conocido o con los que hayas hablado en LinkedIn.
2. La conexión parece inofensiva, pero corres el riesgo de meterte en problemas y convertirte en otra víctima de la ingeniería social.
3. Tu red debe ser un activo, no un pasivo potencial.
En Geyma Conectamos Contigo.
