Serangan phishing tidak lagi terbatas pada kotak masuk email saja 34% serangan phishing kini terjadi melalui saluran non-email seperti media sosial, mesin pencari, dan aplikasi perpesanan.
LinkedIn khususnya telah menjadi sarang serangan phishing, dan untuk alasan yang bagus. Para penyerang melancarkan serangan spear-phishing yang canggih terhadap para eksekutif perusahaan, dan kampanye baru-baru ini terlihat menargetkan perusahaan-perusahaan di dalamnya jasa keuangan Dan teknologi vertikal.
Namun phishing di luar email masih sangat jarang dilaporkan — hal ini tidak mengejutkan mengingat sebagian besar metrik phishing di industri ini berasal dari alat keamanan email.
Pikiran awal Anda mungkin adalah “mengapa saya peduli jika karyawan terkena phishing di LinkedIn?” Meskipun LinkedIn adalah aplikasi pribadi, LinkedIn secara rutin digunakan untuk tujuan kerja, diakses dari perangkat perusahaan, dan penyerang secara khusus menargetkan akun bisnis seperti Microsoft Entra dan Google Workspace.
Jadi, phishing LinkedIn adalah ancaman utama yang perlu dipersiapkan oleh bisnis saat ini. Berikut 5 hal yang perlu Anda ketahui tentang alasan penyerang melakukan phishing di LinkedIn — dan mengapa hal ini sangat efektif.
1: Ini melewati alat keamanan tradisional
DM LinkedIn sepenuhnya mengabaikan alat keamanan email yang diandalkan sebagian besar organisasi untuk perlindungan phishing. Dalam praktiknya, karyawan mengakses LinkedIn melalui laptop kerja dan ponsel, namun tim keamanan tidak dapat melihat komunikasi tersebut. Artinya, karyawan dapat menerima pesan dari pihak luar di perangkat kerja mereka tanpa risiko intersepsi email.
Lebih buruk lagi, perangkat phishing modern menggunakan serangkaian teknik kebingungan, anti-analisis, dan penghindaran deteksi untuk menyiasati kontrol anti-phishing berdasarkan pemeriksaan laman web (seperti bot keamanan perayapan web), atau analisis lalu lintas web (seperti proksi web). Hal ini membuat sebagian besar organisasi bergantung pada pelatihan dan pelaporan pengguna sebagai garis pertahanan utama mereka — bukan situasi yang bagus.
Namun meskipun terlihat dan dilaporkan oleh pengguna, apa yang sebenarnya dapat Anda lakukan terhadap phish LinkedIn? Anda tidak dapat melihat akun lain mana yang menjadi target atau sasaran di basis pengguna Anda. Tidak seperti email, tidak ada cara untuk mengingat atau mengkarantina pesan yang sama yang mengenai banyak pengguna. Tidak ada aturan yang dapat Anda ubah, atau pengirim yang dapat Anda blokir. Anda dapat melaporkan akun tersebut, dan mungkin akun jahat tersebut akan dibekukan — tetapi penyerang mungkin sudah mendapatkan apa yang mereka butuhkan saat itu dan melanjutkan.
Kebanyakan organisasi hanya memblokir URL yang terlibat. Namun hal ini tidak terlalu membantu ketika penyerang dengan cepat merotasi domain phishing mereka — saat Anda memblokir satu situs, beberapa situs lainnya telah menggantikannya. Ini adalah permainan pukulan telak — dan itu dirancang untuk merugikan Anda.
2: Murah, mudah, dan terukur bagi penyerang
Ada beberapa hal yang membuat phishing melalui LinkedIn lebih mudah diakses dibandingkan serangan phishing berbasis email.
Dengan email, biasanya penyerang membuat domain email terlebih dahulu, melalui periode pemanasan untuk membangun reputasi domain dan lolos filter email. Perbandingannya dengan aplikasi media sosial seperti LinkedIn adalah membuat akun, membuat koneksi, menambahkan postingan dan konten, dan mendandaninya agar terlihat sah.
Hanya saja, sangat mudah untuk mengambil alih akun yang sah. 60% kredensial dalam log infostealer ditautkan ke akun media sosialbanyak di antaranya yang tidak memiliki MFA (karena penerapan MFA jauh lebih rendah pada aplikasi “pribadi” karena pengguna tidak didorong untuk menambahkan MFA oleh perusahaan mereka). Hal ini memberikan penyerang landasan yang kredibel untuk kampanye mereka, masuk ke jaringan akun yang ada dan mengeksploitasi kepercayaan tersebut.
Menggabungkan pembajakan akun sah dengan peluang yang diberikan oleh pesan langsung yang didukung AI berarti penyerang dapat dengan mudah memperluas jangkauan LinkedIn mereka.
3: Akses mudah ke target bernilai tinggi
Seperti yang diketahui oleh profesional penjualan mana pun, pengintaian LinkedIn adalah hal yang sepele. Sangat mudah untuk memetakan profil LinkedIn suatu organisasi dan memilih target yang sesuai untuk didekati.
Faktanya, LinkedIn sudah menjadi alat terbaik bagi tim merah dan penyerang ketika mencari target potensial rekayasa sosial — misalnya meninjau peran dan deskripsi pekerjaan untuk memperkirakan akun mana yang memiliki tingkat akses dan hak istimewa yang Anda perlukan untuk meluncurkan serangan yang berhasil.
Tidak ada penyaringan atau pemfilteran pesan LinkedIn, tidak ada perlindungan spam, atau asisten yang memantau kotak masuk untuk Anda. Ini bisa dibilang cara paling langsung untuk menjangkau kontak yang Anda tuju, dan karena itu salah satu tempat terbaik untuk meluncurkan serangan spear-phishing yang sangat bertarget.
4: Pengguna lebih cenderung tertipu
Sifat aplikasi jaringan profesional seperti LinkedIn adalah Anda berharap untuk terhubung dan berinteraksi dengan orang-orang di luar organisasi Anda. Faktanya, seorang eksekutif dengan kekuasaan tinggi jauh lebih mungkin untuk membuka dan menanggapi DM LinkedIn dibandingkan email spam lainnya.
Terutama jika digabungkan dengan pembajakan akun, pesan dari kontak yang dikenal lebih mungkin mendapat tanggapan. Hal ini setara dengan mengambil alih akun email untuk kontak bisnis yang sudah ada — yang telah menjadi sumber banyak pelanggaran data di masa lalu.
Nyatanya, dalam beberapa kasus baru-baru ini, kontak tersebut adalah sesama karyawan — jadi ini lebih seperti penyerang yang mengambil alih salah satu akun email perusahaan Anda dan menggunakannya untuk melakukan spear-phishing pada eksekutif C-Suite Anda.
Dikombinasikan dengan alasan yang tepat (misalnya meminta persetujuan mendesak, atau meninjau dokumen) dan peluang keberhasilan akan meningkat secara signifikan.
5: Potensi imbalannya sangat besar
Hanya karena serangan ini terjadi pada aplikasi “pribadi” bukan berarti dampaknya terbatas. Penting untuk memikirkan gambaran yang lebih besar.
Sebagian besar serangan phishing berfokus pada platform cloud perusahaan inti seperti Microsoft dan Google, atau Penyedia Identitas khusus seperti Okta. Pengambilalihan salah satu akun ini tidak hanya memberikan akses ke aplikasi inti dan data dalam aplikasi masing-masing, namun juga memungkinkan penyerang memanfaatkan SSO untuk masuk ke aplikasi terhubung mana pun yang digunakan karyawan untuk login.
Hal ini memberi penyerang akses ke hampir semua fungsi bisnis inti dan kumpulan data di organisasi Anda. Dan mulai saat ini, akan lebih mudah untuk menargetkan pengguna lain dari aplikasi internal ini — menggunakan aplikasi perpesanan bisnis seperti Slack atau Timatau teknik sejenisnya Pembajakan SAML untuk mengubah aplikasi menjadi sumber air bagi pengguna lain yang mencoba masuk.
Jika digabungkan dengan karyawan eksekutif yang melakukan spear phishing, hasilnya akan signifikan. Kompromi satu akun dapat dengan cepat berkembang menjadi pelanggaran bisnis yang bernilai jutaan dolar.
Dan meskipun penyerang hanya berhasil menjangkau karyawan Anda melalui perangkat pribadinya, hal ini masih dapat dianggap sebagai penyusupan akun perusahaan. Lihat saja Pelanggaran Okta 2023saat penyerang mengeksploitasi fakta bahwa karyawan Okta telah masuk ke profil Google pribadi di perangkat kerja mereka.
Ini berarti kredensial apa pun yang disimpan di browser mereka akan disinkronkan ke perangkat pribadi mereka — termasuk kredensial untuk 134 penyewa pelanggan. Ketika perangkat pribadi mereka diretas, akun kerja mereka juga ikut diretas.
Ini bukan hanya masalah LinkedIn
Dengan pekerjaan modern yang terjadi di jaringan aplikasi internet terdesentralisasi, dan saluran komunikasi yang lebih bervariasi di luar email, kini semakin sulit untuk menghentikan pengguna berinteraksi dengan konten berbahaya.
Penyerang dapat mengirimkan tautan melalui aplikasi perpesanan instan, media sosial, SMS, iklan berbahaya, dan menggunakan fungsi perpesanan dalam aplikasi, serta mengirim email langsung dari layanan SaaS untuk melewati pemeriksaan berbasis email.
Demikian pula, kini ada ratusan aplikasi per perusahaan yang ditargetkan, dengan berbagai tingkat konfigurasi keamanan akun.
Hentikan phishing di tempat yang terjadi: di browser
Phishing telah berpindah ke luar kotak surat — keamanan juga harus melakukan hal yang sama.
Untuk mengatasi serangan phishing modern, organisasi memerlukan solusi yang mendeteksi dan memblokir phishing di seluruh aplikasi dan vektor pengiriman.
Dorong Keamanan melihat apa yang dilihat pengguna Anda. Tidak peduli saluran pengiriman atau metode penghindaran deteksi apa yang digunakan, Push menghentikan serangan secara real-time, saat pengguna memuat halaman berbahaya di browser web mereka — dengan menganalisis kode halaman, perilaku, dan interaksi pengguna secara real-time.
Bukan hanya itu yang kami lakukan: Push memblokir serangan berbasis browser seperti phishing AiTM, penjejalan kredensial, ekstensi browser berbahaya, pemberian OAuth berbahaya, ClickFix, dan pembajakan sesi.
Anda juga dapat menggunakan Push untuk secara proaktif menemukan dan memperbaiki kerentanan di seluruh aplikasi yang digunakan karyawan Anda, seperti login hantu, kesenjangan cakupan SSO, kesenjangan MFA, dan kata sandi yang rentan.
Anda bahkan dapat melihat di mana karyawan telah masuk ke akun pribadi di browser kerja mereka (untuk mencegah situasi seperti pelanggaran Okta 2023 yang disebutkan sebelumnya).
Untuk mempelajari lebih lanjut tentang Dorong, lihat ikhtisar produk terbaru kami atau pesan waktu bersama salah satu tim kami untuk demo langsung.
Disponsori dan ditulis oleh Dorong Keamanan.
