5 причин, почему злоумышленники всё чаще

Home 5 причин, почему злоумышленники всё чаще
Linkedin фишинг

LinkedIn долгие годы оставался профессиональной платформой для рекрутинга, установления деловых связей, поиска клиентов и развития личного бренда. Однако за последние два года он превратился в одно из главных направлений фишинговых кампаний. Киберпреступники массово используют его инфраструктуру, доверие пользователей и особенности социальных коммуникаций для проведения целенаправленных атак.

Исследования компаний SentinelOne, Proofpoint, Mandiant и Check Point показывают, что LinkedIn стал одним из трёх самых популярных каналов для фишинга, особенно в сегментах B2B, IT, SaaS, финансов и корпоративного сектора.
Почему это происходит — разберёмся подробно.

⚠️ Введение: почему LinkedIn стал «золотой жилой» для фишеров

LinkedIn — это уникальная площадка, где:

  • люди открыто публикуют профессиональную информацию;
  • компании демонстрируют свою структуру и команду;
  • пользователи ожидают получение приглашений, предложений и запросов в друзья;
  • сообщения от незнакомцев считаются нормой.

Именно это сочетание делает платформу идеальной для социальной инженерии.

Фишеры используют LinkedIn, чтобы:

  • выдавать себя за HR-специалистов;
  • рассылать вредоносные файлы под видом job offers;
  • перехватывать деловые коммуникации;
  • получать доступ к корпоративным системам через доверчивых сотрудников;
  • распространять вредоносные ссылки в InMail.

Теперь разберём причины детально.

🛑 Причина 1: Высокий уровень доверия пользователей к платформе

Фишинг работает только тогда, когда жертва верит, что сообщение надежно.

LinkedIn строится на имидже профессиональной сети, где:

  • общение происходит под реальными именами;
  • аккаунты привязаны к рабочим местам;
  • люди ожидают получения рекрутинговых сообщений;
  • коммуникации выглядят официально и «делово».

По данным CyberCX, пользователи LinkedIn в 3 раза чаще кликают на ссылки от незнакомцев, чем пользователи Facebook или Instagram.

Это объяснимо: деловое взаимодействие предполагает больший уровень доверия по умолчанию.

Типичные схемы:

  1. Сообщение о вакансии от якобы рекрутера крупной компании.
  2. Приглашение на интервью со ссылкой на вредоносный документ.
  3. Предложение участия в «партнёрской программе» с заражённым PDF.
  4. Ссылка на сайт-двойник корпоративного портала.

Злоумышленники знают: если сообщение связано с работой или карьерой, человек гораздо менее критичен.

🛑 Причина 2: Богатая открытая информация для таргетинга атак

LinkedIn предоставляет злоумышленникам всё, что нужно для идеального spear-phishing:

  • должности сотрудников;
  • связи внутри компании;
  • публикации, к которым люди проявляют интерес;
  • недавние карьерные изменения;
  • технологии, используемые в компании (по описанию вакансий).

Например:

  • специалист по DevOps публикует посты о Kubernetes → жертву легко заманить ссылкой «K8s interview assignment».
  • маркетолог — «коммерческим предложением» по рекламным инструментам.
  • менеджеру — «приглашением на бизнес-встречу».

Такой персонализированный фишинг имеет до 78% конверсии, согласно отчёту Verizon DBIR.

🛑 Причина 3: Простота маскировки под реальных HR и руководителей

LinkedIn — рай для злоумышленников, потому что:

  • никто не удивляется сообщениям от рекрутеров;
  • люди часто получают приглашения от незнакомцев;
  • внешний вид профиля легко имитировать.

Для фишера достаточно:

  1. Скопировать фото рекрутера.
  2. Создать профиль-клон с похожим именем.
  3. Оформить профиль с украденной информацией.
  4. Указать название реальной компании.

Визуально такой аккаунт почти невозможно отличить от настоящего.

Одна из самых популярных схем:

«Мы отобрали ваше резюме. Ознакомьтесь с тестовым заданием во вложении.»

Вложение содержит:

  • трояны,
  • инфостилеры (RedLine, Lumma, Vidar),
  • макро-вирусы в Word/Excel,
  • PDF с ссылками на dropper-скрипты.

Исследование Proofpoint показало, что 70% вредоносных файлов, рассылаемых через LinkedIn, маскируются под документы о найме.

🛑 Причина 4: LinkedIn InMail показывает высокий CTR и обход фильтров

InMail — это прямые сообщения, которые:

  • не проходят через почтовые фильтры;
  • считаются «официальными»;
  • попадают в «входящие» с высоким уровнем доверия;
  • имеют CTR выше, чем e-mail рассылки.

Если e-mail может заблокировать:

  • антиспам,
  • DMARC,
  • SPF,
  • корпоративные фильтры,

…то LinkedIn InMail — практически чистый канал доставки атаки.

Хакеры используют его как обход e-mail-безопасности.

Более того:

  • ссылки на LinkedIn считаются безопасными большинством SIEM и Proxy-систем;
  • короткие ссылки LinkedIn маскируют вредоносные URL;
  • файлы, загруженные в сообщения, не проходят глубокую проверку.

Это делает InMail одним из самых опасных каналов фишинга.

🛑 Причина 5: Идеальная платформа для APT-групп и промышленного шпионажа

Advanced Persistent Threat (APT) — это высококвалифицированные группы, связанные с государственными структурами.
LinkedIn стал одной из их ключевых платформ.

В отчётах Microsoft и Mandiant говорится, что LinkedIn активно используют:

  • Lazarus (Северная Корея),
  • APT29 / Cozy Bear (Россия),
  • APT35 (Иран),
  • RedHotel (Китай).

Почему?

Потому что APT-группам нужны:

  • доступы к корпоративным сетям;
  • данные сотрудников;
  • внутренние документы;
  • возможность построения доверительных отношений.

LinkedIn позволяет им:

  • месяцами общаться с жертвой;
  • выстраивать fake-дружбу;
  • собирать инсайдерскую информацию;
  • постепенно подводить жертву к открытию файла или ссылки.

Это делает платформу идеальной для долгоиграющих атак на компании и госструктуры.

🧠 Экспертное мнение: почему LinkedIn опаснее обычного фишинга

Антон Платонов, эксперт по кибербезопасности с 12-летним опытом:

«Фишинг в LinkedIn гораздо опаснее классического e-mail-фишинга.
Во-первых, он персонализированный. Во-вторых, он обходит инфраструктуру защиты.
В-третьих, жертвы изначально настроены на деловое общение и менее критичны к сообщениям.»

Он выделяет три ключевых фактора риска:

1. Социальная инженерия высокого уровня

Атаки выглядят профессионально, грамотно и убедительно.

2. Персональные данные в открытом доступе

Жертва сама предоставляет идеальную «почву» для атаки.

3. Психологическое давление

Сообщения от рекрутеров и HR действуют на людей сильнее, чем обычные рекламные письма.

🛡 Как защититься: рекомендации от экспертов

Ниже — практические меры, которые помогут защитить ваши аккаунты и компанию от атак через LinkedIn.

✔ 1. Настройте многофакторную аутентификацию (MFA)

Используйте приложение-аутентификатор, а не SMS.
Большинство компрометаций происходят из-за простых паролей.

✔ 2. Никогда не открывайте файлы, присланные незнакомцами

Если это «вакансия», «тестовое задание» или «коммерческое предложение» —
требуйте ссылку на сайт компании, где документ расположен официально.

✔ 3. Проверяйте профиль отправителя

Признаки фейка:

  • мало связей;
  • недавняя регистрация;
  • нет активности;
  • отсутствуют рекомендации;
  • странные формулировки в опыте работы.

✔ 4. Не переходите по сокращённым ссылкам в диалоге

Фишеры используют:

  • bit.ly
  • tinyurl
  • lnkd[.]in (используют для маскировки)

✔ 5. Обучайте сотрудников кибергигиене

Корпорации должны:

  • проводить тренинги по фишингу;
  • моделировать атаки внутри компании;
  • участвовать в программах SOC и SIG;
  • отслеживать аномальные коммуникации.

✔ 6. Используйте корпоративные политики безопасности

Для больших организаций полезны:

  • DLP-системы,
  • контроль веб-трафика,
  • ограничение загрузки файлов,
  • мониторинг LinkedIn-активности в SOC.

✔ 7. Настройте мониторинг упоминаний компании

Это помогает выявить:

  • фейковые профили HR;
  • клонов руководителей;
  • поддельные вакансии;
  • мошеннические предложения партнёрства.

📌 Заключение: LinkedIn — не просто соцсеть, а новая арена кибератак

Мир корпоративных коммуникаций меняется.
Если раньше фишинг был массовым и поверхностным, то сегодня он превращается в тонкий, интеллектуальный и персонализированный инструмент атак.

LinkedIn — идеальная среда для таких атак:

  • платформа вызывает доверие;
  • пользователи открыты к незнакомцам;
  • злоумышленники легко собирают данные;
  • атаки выглядят профессионально и незаметно;
  • фильтры безопасности обходятся без труда.

LinkedIn-фишинг — это новая норма.
И защищаться от него нужно так же серьёзно, как от целевых атак на корпоративную почту.