500 milioni di utenti LinkedIn in vendita. ESET mette in guardia sull’esposizione dei dati e avvisa su una campagna di phishing che prende di mira i professionisti di LinkedIn e utilizza false offerte di lavoro come esca.
500 milioni di utenti LinkedIn in vendita
Analogamente a quanto accaduto giorni fa con il caso Facebook e la divulgazione di dati personali di 533 milioni di utenti nei forum di hacking, ESET mette in guardia sul marketing in questo tipo di forum, dati di 500 milioni di utenti LinkedIn.
Le informazioni vengono offerte tramite quattro file e includono nomi completi, sesso, indirizzo e-mail, numero di telefono, dati sul posto di lavoro e descrizione del lavoro, collegamenti a profili LinkedIn e anche ad altri social network.
Inoltre, un file di esempio viene offerto in cambio di $ 2 in crediti all’interno del forum. Questo campione contiene i dati di due milioni di utenti, ma apparentemente per ottenere le informazioni complete il prezzo minimo supera 1000. Sebbene l’attore che commercializza i dati affermi che sono stati estratti da LinkedIn, non è noto se i dati siano aggiornati o meno, o se è stato ottenuto da precedenti violazioni subite dal social network.
“Come abbiamo detto questa settimana, quando la divulgazione dei dati di Facebook è diventata nota, queste informazioni possono essere utilizzate da malintenzionati per eseguire attacchi di ingegneria sociale. Ad esempio, e-mail di phishing personalizzate che includono dati specifici della potenziale vittima per convincerla che è legittima, per impersonare l’identità della vittima e cercare di ingannare i suoi contatti creando account clonati. In questo senso, utilizzando i numeri di telefono potrebbero anche inviare messaggi SMS, comunicare tramite WhatsApp o effettuare truffe telefoniche ”, ha spiegato Josep Albors, specialista di ESET.
Recentemente è stata avvertita una campagna di phishing rivolta ai professionisti di LinkedIn e che utilizza false offerte di lavoro come esca. Il messaggio falso include un file ZIP dannoso e tenta di convincere le potenziali vittime ad aprirlo per scaricare finalmente la backdoor con più uova, creata da Golden Chickens, sul computer della vittima. La stessa backdoor è stata distribuita lo scorso anno da gruppi APT come Evilnum in attacchi contro società finanziarie.
L’uso di LinkedIn da parte dei criminali per contattare le loro vittime non è una novità. L’anno scorso ESET ha segnalato come altri gruppi di spionaggio hanno lanciato attacchi contro società militari e aerospaziali utilizzando l’ingegneria sociale tramite LinkedIn. “Pertanto, questo tipo di informazioni può essere utile per diversi profili criminali, alcuni più sofisticati, ma soprattutto per i truffatori. L’utilizzo di password univoche per ogni account, l’autenticazione a più fattori e un buon software di sicurezza, come ESET, ti aiuteranno a proteggerti. E, se non riesci a ricordare le password o a creare password univoche e complesse, considera un gestore di password “, aggiunge Tony Anscombe, Chief Security Evangelist di ESET.