A maior rede social voltada para o mundo dos negócios, LinkedIn, está trabalhando para corrigir uma falha de segurança que permite o uso de spear phishing através de mensagens privadas e comentários. A notícia foi publicada por Ido Naor, na Secure List, citando pesquisa da Kaspersky Lab. O problema pode representar uma ameaça aos mais de 360 milhões de usuários da rede, que podem ser alvo de campanhas de phishing, dentro da própria plataforma, visando obter credenciais e informações sobre vítimas selecionadas.
Pesquisadores descobriram a vulnerabilidade depois de perceber diferenças em códigos Java Scrip ou HTML ao postar comentários ou ao enviar mensagens privadas. O alerta expõe uma falha no analisador de back-end da plataforma, que simplesmente interpreta o código malicioso anexando-o ao texto.
Ao inserir um comentário malicioso em uma publicação de determinado usuário, automaticamente uma notificação é enviada para a conta de email. Isso acontece independentemente do provedor de email ou do nível de conexão entre a vítima e o phisher na rede. Ou seja, qualquer um pode ser exposto a esse tipo de golpe.
A rede social vem tentando mitigar a ameaça emitindo uma correção para a plataforma.
Porém, o risco ainda parece estar longe de ser eliminado. Embora pareça ser uma pequena falha para os leigos, este tipo de abertura atrai phishers experts, sedentos por falhas para implantar suas campanhas de phishing. Poucos usuários do LinkedIn suspeitariam de uma solicitação maliciosa de senha inserida através de comentários ou mensagens privadas.
Redes sociais são um grande alvo para hackers. Diariamente elas são atingidas por golpistas profissionais que tentam desafiar sua segurança. Os criminosos exploram a criatividade e técnicas de engenharia social para encontrar formas diferentes de enganar as vítimas. E quando a rede reúne milhões de homens e mulheres de negócios, juntamente com os seus títulos, contatos profissionais e informações sobre carreira, como é o LinkedIn, pode ser extremamente valiosa para os atacantes.
Uma das formas de evitar esse tipo de ataque é educando a sua equipe a não cair em golpes, como faz a plataforma educativa contra phishing, El Pescador. Através dela é possível testar a sua equipe e identificar quem está mais vulnerável a sofrer esse tipo de ataque. Solicite um teste clicando aqui.
