HomeServer.pt – Informática e Tecnologia

AI Artigos Campanhas Dispositivos Móveis Hardware Notícias Software Tecnologia Tutoriais Linux Tutoriais Windows

LinkedIn, o novo paraíso do phishing

Home Server

Os ataques de phishing já não vivem confinados à caixa de entrada do e-mail. Hoje, 34% destes ataques explodem em canais alternativos, desde redes sociais e motores de pesquisa a apps de mensagens onde a vigilância é praticamente inexistente. E entre todas as plataformas, o LinkedIn tornou-se o palco preferido dos cibercriminosos, um terreno fértil onde executivos e equipas técnicas são alvos de campanhas cada vez mais cirúrgicas e perigosamente convincentes.

O fenómeno é massivo, mas continua gravemente subnotificado, sobretudo porque a maioria das métricas de segurança ainda depende de ferramentas de e-mail — precisamente aquilo que estes ataques conseguem contornar com facilidade. E apesar de o LinkedIn ser visto como uma aplicação pessoal, a realidade é que é usado diariamente em ambiente profissional, a partir de dispositivos corporativos, com contas empresariais como Microsoft Entra ou Google Workspace na mira dos atacantes.

O resultado? Um vetor de ataque altamente eficaz, invisível aos olhos das equipas de segurança e capaz de comprometer organizações inteiras sem deixar rasto. Eis os 5 motivos que explicam porque o LinkedIn é hoje um dos campos de caça mais lucrativos para os atacantes — e porque esta ameaça está a escalar a um ritmo preocupante.

1. Contorna totalmente as ferramentas de segurança tradicionais

As mensagens privadas do LinkedIn passam por fora dos sistemas de segurança que as empresas usam para bloquear phishing via e-mail. Os colaboradores utilizam o LinkedIn em portáteis e smartphones da empresa, mas as equipas de segurança ficam completamente cegas: não há monitorização, não há alertas, não há filtros.

Os atacantes enviam mensagens diretamente para dispositivos corporativos, sem qualquer risco de interceção. E com kits de phishing modernos capazes de usar obfuscação, anti-análise e evasão de deteção, mesmo ferramentas que analisam páginas web ou tráfego conseguem ser enganadas facilmente.

E quando um utilizador finalmente identifica e reporta o ataque? Nada pode ser feito.
Não há como ver quem mais recebeu a mesma mensagem.
Não há forma de a “recordar” ou colocar em quarentena, como acontece no e-mail.
Não pode bloquear o remetente de forma eficaz.

O melhor que a organização pode fazer é bloquear URLs — mas os atacantes trocam de domínio tão rapidamente que este processo se transforma num jogo interminável de “acerta-no-alvo”, onde os defensores estão sempre a perder.

2. É barato, simples e altamente escalável para os atacantes

Criar campanhas de phishing por e-mail exige preparação: registar domínios, aquecê-los, criar reputação e enganar filtros. No LinkedIn, seria expectável que os atacantes tivessem de investir tempo a criar perfis falsos robustos — mas nem isso é necessário.

Basta roubar contas legítimas, algo cada vez mais fácil.
De facto, 60% das credenciais encontradas em logs de infostealers pertencem a redes sociais, muitas delas sem MFA, porque os utilizadores raramente o ativam em apps consideradas “pessoais”. Assim, os atacantes infiltram-se em perfis reais, com conexões reais, e exploram essa confiança para lançar ataques quase impossíveis de distinguir de uma interação genuína.

Somando a isto a capacidade de gerar mensagens ultraconvincentes com IA generativa, a escala torna-se assustadora: um único atacante pode atingir centenas ou milhares de alvos em poucas horas.

3. Acesso direto e facilitado a alvos de alto valor

No LinkedIn, o reconhecimento é ridiculamente simples.
Basta alguns minutos para mapear equipas inteiras, identificar responsáveis, perceber funções críticas e escolher exatamente quem abordar.

É por isso que a plataforma é uma das ferramentas favoritas de red teamers e criminosos: os perfis revelam níveis de acesso, responsabilidades, tecnologias usadas e potenciais vulnerabilidades humanas, tudo exposto de forma voluntária pelos próprios colaboradores.

E para os atacantes, não existem barreiras:
Não há filtros anti-spam.
Não há assistentes a gerir a caixa de mensagens.
Não há mecanismos de triagem.

É a via mais direta para chegar ao alvo pretendido — perfeita para ataques de spear-phishing altamente personalizados, onde cada detalhe reforça a ilusão de legitimidade.

Hashtags:
#phishing #linkedin #ciberseguranca #ataquesinformaticos #engenhariasocial #segurancadigital #proteccaodados #empresas #tecnologia

Artigos Relacionados