Nagy mennyiségű hamis CISO (Chief Information Security Officer) profil jelent meg a közelmúltban a LinkedInen, adta hírül Brian Krebs, IT-biztonsági szakíró a blogján. A jelenség azért különösen érdekes, mert a kamu profilok szinte kizárólag a Fortune 500 listán szereplő cégekhez kötődnek. Mint Krebs írja, egyelőre rejtély, hogy ki áll hamisítás mögött, ahogy az elérendő célról is csak találgatások vannak. A hamisított LinkedIn-identitások azonban összezavarják a keresőmotorok találatait, sőt még a különböző adathalász-források is elfogadják igaznak.

Krebs több példát is hoz. A Chevron információbiztonsági vezetőjét keresve például a LinkedIn feldob egy Victor Sites név alatt futó profilt, aki az ohiói Westerville-ből származik, és a Texas A&M Egyetemen szerzett diplomát. A Chevron valódi CISO-ja eközben Christopher Lukas a kaliforniai Danville-ből. De az igazán érdekes, hogy amikor Krebs rákeresett a Google Serach-ön, hogy ki a Chevron jelenlegi információbiztonsági igazgatója, az első találat a hamis profil volt. (Mi is elvégeztük a keresést, nekünk második helyre futott be Victor Sites).

A IT-biztonsági szakíró azt is kiderítette, hogy a LinkedIn valamiféleképpen össze is kapcsolja a hamis profilokat. A  "People Also Viewed" oszlopban más hamis profilokat is felajánl. Victor Sites mellett például egy Maryann Robles nevűt, aki állítólag az ExxonMobil CISO-ja lenne (a profilt azóta törölték, de a Google e sorok írásakor még őt azonosította a vállalat globális CIOS-jának). A profil létrehozói nem fektettek nagy energitá a profil hitelesítésére, összelopkodták más profilokról a leírásokat. Az állítólagos Robles esetében például egy Baltimore-i cég, a Centers for Medicare & Medicaid Services valódi CISO-jának profiljából másoltak át elemeket.
 

Victor Sites és Maryann Robles a Google keresési találatai között

Viszont ez a profil annyira jól sikerült, hogy Maryann Robles még a Cybercrime Magazine CISO 500-as listája is felkerült.

Egy CISO fedezte fel a hamisítást

A hamis profilokra Rich Mason, a Honeywell cég korábbi CISO-ja figyelt fel, és riasztotta is kollégáit. Ő is azt emelte ki, hogy egy csomó mértékadónak elfogadott oldal veszi át ezeket a hamis LinkedIn-tartalmakat.

A hamis profilok egyébként sok esetben gyenge tákolmányok. A Jennie Biller név alatt futó LinkedIn-profil például azt állítja, hogy tulajdonosa a Biogen biotechnológiai óriáscég CISO-ja (a valódi CISO Russell Koste). Miközben Billerről neve alapján azt gondolnánk, hogy nő, a személyről adott leírásban férfi névmást használnak. Az is segíthet hamisként azonosítani a profilt, írja Krebs, hogy mindössze 18 kapcsolata van, ami egy ilyen beosztásban dolgozó embertől minimum furcsa.

A hamisítás okára eddig egyetlen támpont a Mandiant kiberbiztonsági cég (márciusban vette meg a Google) nyilatkozata, miszerint észak-koreai hekkerek önéletrajzokat és profilokat loptak a LinkedIn és az Indeed állásközvetítő platformról, hogy kriptovalutás cégeknél szerezzenek állást.

Kissé nehézkes az ellenőrzési mechanizmus

A LinkedIn azt nyilatkozta Krebsnek, hogy aktívan dolgoznak a hamis fiókokat azonosításán és eltávolításán (Maryann Robles profilját pl. pénteken már nem találtuk). A Microsoft tulajdonában lévő közösségi oldal válaszában állította, hogy a hamis fiókok mintegy 96 százalékát, a spamek és csalások 99,1 százalékát tudják automatizált rendszereikkel azonosítani. Brian Krebs ugyanakkor megjegyzi, a LinkedIn egy egyszerű lépéssel is sokat segíthetne a hamis fiókok azonosításában: minden profilnál kiírhatná létrehozása dátumát.

Az esetet felfedező Rich Mason szerint aggasztó, hogy sok CISO-t megtévesztettek a hamis profilok: Maryann Robles profiljának szakmai hálózata például pár nap alatt száz kapcsolattal nőtt. És ha az információbiztonsági szakemberek bedőlnek egy ilyen átverésnek, akkor milyen esélyei vannak a nem szakmabeli tömegeknek? – teszi fel a kérdés Krebs.

A LinkedIn ráadásul lassan reagál: amikor egy cégvezető le akart vetetni egy hamis profilt, amelynek tulajdonosa állította, hogy cégénél dolgozik, azt a választ kapta a közösségi oldaltól, hogy fel kell vennünk a kapcsolatot az illetővel, és utána majd döntenek. A procedúra átfutása több mint két hét volt.