Existem várias formas pelas quais os criminosos podem obter informações pessoais dos usuários, como número de celular ou endereço de e-mail, sendo a principal delas por meio de vazamentos de dados que ocorreram em diferentes sites e que são vendidos entre os criminosos. Porém, a ESET alerta para o uso inadequado do LinkedIn, que pode tornar a rede social em uma grande fonte de informações para os cibercriminosos.
“O LinkedIn é geralmente usado com propósitos profissionais, onde os usuários buscam expandir suas redes de contatos ou encontrar oportunidades de trabalho. Com isso em mente, muitos usuários configuram seus perfis para serem receptivos e repletos de informações de contato, fator que pode ser explorado por criminosos virtuais”, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.
O especialista explica que um criminoso, sem precisar comprar uma lista de informações vazadas, só precisaria usar um dos Web Crawlers (software automatizado que navega pela internet de forma metódica e automatizada para indexar informações sobre sites e seus conteúdos) para o LinkedIn e assim coletar todas as informações de contato disponíveis de seus alvos.
“Além disso, a intenção pode não ser apenas enganar o usuário do qual as informações foram obtidas, mas também atacar a empresa na qual eles trabalham. Dessa forma, as informações obtidas poderiam resultar em um ataque mais eficaz, já que os ataques digitais pessoais podem ter características diferentes “, detalha Camilo Gutiérrez Amaya.
Dentre as possibilidades de obtenção de dados realizadas pelo Web Crawler, destacam-se dois métodos que podem obter dados específicos: Criação de uma lista dos funcionários atuais da empresa e Lista de alvos na cadeia de suprimentos relacionados ao objetivo. Nesse primeiro caso, o criminoso só precisa configurar o software de coleta para acessar a aba ‘Pessoas’ da empresa-alvo. Isso resultará em uma lista de funcionários muito atualizada, já que é quase um procedimento padrão fazer alterações na rede social para mostrar onde se trabalha atualmente.
além do esforço inicial de coleta, é possível revisar as interações feitas nos posts da empresa para identificar possíveis fornecedores e parceiros, obtendo assim novos alvos principais ou possibilidades de atacar a cadeia de suprimentos do objetivo inicial.
Ao examinar mais detalhadamente as possibilidades de coleta de dados, os criminosos basicamente se deparam com três formas diferentes de obter informações. A ESET ressalta que é importante lembrar que as formas mencionadas podem ser tornadas públicas ou ser mais restritas, sendo reveladas apenas aos perfis que estão na lista de contatos.
Optar por não fornecer nenhum dado de contato fora da plataforma significa que o número de informações que os criminosos podem coletar é consideravelmente reduzido. No entanto, muitas vezes, eles ainda conseguem reunir dados como nome completo, cargo e região onde a empresa está localizada.
Embora o LinkedIn seja uma rede voltada para fornecer informações de contato pessoais, alguns usuários também disponibilizam seu atual endereço de e-mail corporativo. Independentemente do e-mail fornecido, isso permite que pessoas mal-intencionadas realizem interações mais específicas com suas vítimas.
Segundo a ESET, uma das complicações ao fornecer o endereço de e-mail corporativo é que os criminosos saberão com certeza a estrutura dos e-mails pertencentes à empresa. A maioria das empresas utiliza o formato padrão ‘nome.sobrenome@empresa.com’ ou variações, como a primeira letra do nome seguida do sobrenome ou todas as iniciais, além do sobrenome completo. Ter essa informação economiza tempo para os criminosos.
Das opções mencionadas anteriormente, fornecer números de telefone é, sem dúvida, a mais crítica, pois além de permitir interações em tempo real, os criminosos podem coletar esses dados para vendê-los como uma lista de clientes ou algo equivalente.
Como proteger os dados?
A própria natureza desse tipo de interação nas redes sociais, independentemente de quais sejam, permite que os criminosos acessem alguns dados se tivermos perfis registrados nelas. No entanto, existem algumas medidas que podem ser tomadas para evitar que os criminosos tenham acesso a informações mais valiosas. Como:
Configurar a privacidade no LinkedIn: existem várias opções de privacidade que ajudam a evitar que pessoas mal-intencionadas interajam com sucesso. A principal é configurar a rede para não fornecer muitas informações a quem não pertence à lista de contatos. E é importante lembrar que este conselho se aplica a todas as redes sociais.
Ser criterioso: não adianta configurar corretamente todas as opções de privacidade e segurança se aceitarmos qualquer solicitação de contato sem critério. Existem muitos bots e perfis falsos registrados na rede, então é importante estabelecer critérios antes de aceitar uma conexão.
Limitar a quantidade de informações que o sistema tem sobre você: sendo uma rede social, a própria plataforma permite interações entre os usuários, seja para contato ou para oferecer/buscar oportunidades de emprego. Considere priorizar o contato através das ferramentas fornecidas pela plataforma e evite fornecer dados externos.
Avaliar as conexões: já existem muitos perfis falsos circulando na rede, revise periodicamente sua lista de conexões e remova contatos que pareçam suspeitos.
Avaliar se a informação em tempo real é essencial: analise se é realmente necessário alterar o status do local de trabalho no mesmo dia em que você começa. Alguns criminosos observam ativamente esse tipo de mudança e podem aproveitar o conhecimento limitado do ambiente para enviar conteúdo malicioso.
