Image credit: Freepix
Waspada!! LinkedIn Jadi Incaran Spionase Digital – Baru-baru ini, dinas rahasia Inggris (MI5) memperingatkan anggota parlemen tentang skema pengumpulan intelijen asing yang sangat berani melalui LinkedIn.
Dua profil palsu terdeteksi mendekati individu di lingkungan politik untuk mencuri “informasi orang dalam”. Kasus ini memicu pemerintah Inggris untuk menggelontorkan dana sebesar £170 juta demi membendung ancaman spionase di parlemen.
Namun, ancaman ini tidak hanya menyasar politisi. LinkedIn kini telah menjadi tambang emas data korporat yang dieksploitasi oleh peretas untuk penipuan dan serangan siber skala besar.
|
Baca juga: Phising AI Canggih Quantum Route Redirect |
Mengapa LinkedIn Menjadi Target Empuk?
Dengan lebih dari satu miliar pengguna, LinkedIn adalah “taman bermain” yang ideal bagi aktor ancaman karena beberapa alasan:
Peretas bisa memetakan struktur perusahaan, mengetahui siapa yang baru bergabung, hingga memahami hubungan antar-karyawan. Data ini menjadi bahan bakar utama untuk serangan spear-phishing.
Orang lebih cenderung membuka pesan (DM/InMail) di LinkedIn dibandingkan email asing. Ini seringkali menjadi satu-satunya jalur langsung untuk mendekati petinggi perusahaan (C-suite) yang emailnya biasanya difilter oleh asisten.
Pesan di LinkedIn masuk melalui server internal LinkedIn, bukan sistem email perusahaan. Artinya, departemen IT tidak bisa memantau jika ada tautan berbahaya atau malware yang dikirimkan ke karyawan.
Siapa pun bisa membuat profil palsu atau membajak akun lama untuk menyamar sebagai rekruter atau pencari kerja. Dengan bantuan AI dan alat otomatisasi, serangan bisa dilakukan secara masif.
Modus Serangan Paling Populer
Seperti yang telah disebutkan, ada berbagai cara yang dapat digunakan pelaku ancaman untuk menjalankan kampanye jahat mereka melalui LinkedIn. Cara-cara tersebut meliputi:
- Phising & Malware: Mengirim link lowongan kerja palsu yang sebenarnya berisi infostealer (pencuri data).
- Serangan Langsung: Mendekati karyawan untuk dijadikan “orang dalam” atau informan.
- BEC (Business Email Compromise): Menggunakan informasi jabatan untuk membuat skenario penipuan transfer uang yang sangat meyakinkan.
- Deepfakes: Mengambil video profil target untuk membuat video palsu guna menipu rekan kerja atau atasan.
- Serangan Rantai Pasok: Mencari data mitra atau pemasok perusahaan target, lalu menyerang mereka sebagai “pintu masuk” tidak langsung.
|
Baca juga: RAT Baru Gunakan Trik SMS Curi Data |
Langkah Aman Berjejaring Profesional
Karena IT perusahaan sulit memantau DM LinkedIn, keamanan ada di tangan Anda:
- Batasi Berbagi Informasi: Jangan terlalu detail membagikan proyek sensitif atau struktur internal tim di profil publik.
- Waspadai Akun Palsu: Cek keaslian profil sebelum menerima koneksi. Jika ada tawaran kerja yang terlalu menggiurkan, verifikasi lewat jalur resmi perusahaan tersebut.
- Aktifkan MFA: Pastikan akun LinkedIn Anda menggunakan autentikasi dua faktor agar tidak mudah dibajak.
- Edukasi Khusus Eksekutif: Para pemimpin perusahaan harus mendapatkan pelatihan khusus karena mereka adalah target utama (High Value Target).
Seperti yang telah disebutkan, tantangan dengan ancaman LinkedIn adalah sulit bagi IT untuk mendapatkan wawasan nyata tentang seberapa luas risiko yang dihadapi karyawan, dan taktik apa yang digunakan untuk menargetkan mereka.
Namun, akan lebih masuk akal untuk memasukkan skenario ancaman LinkedIn seperti yang dijelaskan di atas ke dalam pelatihan kesadaran keamanan.
Karyawan juga harus diperingatkan tentang berbagi informasi berlebihan di situs tersebut, dan diberikan bantuan tentang cara mengenali akun palsu dan jebakan phishing yang umum.
Untuk menghindari akun mereka sendiri diretas, mereka juga harus mengikuti kebijakan tentang pembaruan perangkat lunak secara berkala, menginstal perangkat lunak keamanan di semua perangkat (dari penyedia tepercaya), dan mengaktifkan otentikasi multi-faktor.
Mungkin ada baiknya mengadakan kursus pelatihan khusus untuk para eksekutif, yang seringkali lebih sering menjadi target. Yang terpenting, pastikan karyawan Anda menyadari bahwa, bahkan di jaringan tepercaya seperti LinkedIn, tidak semua orang memiliki niat baik terhadap mereka.
Sumber berita:
