W listopadzie 2025 roku brytyjski kontrwywiad ostrzegł parlamentarzystów, że znaleźli się na celowniku chińskich służb. Polem działania agentów Państwa Środka stał się... LinkedIn.
Fortuna za raport
Okazało się, że LinkedIn stał się dla chińskich służb wygodną platformą do typowania i werbowania szpiegów - czasem wręcz nieświadomych tego, że właśnie przekazali bezcenne informacje obcemu wywiadowi. Za pomocą umiejętnie wytworzonych fałszywych tożsamości agenci nawiązywali kontakty z osobami decyzyjnymi i ich współpracownikami. Pod przykrywką networkingu zdobywali zaufanie ofiar i usypiali ich czujność, by zdobyć poufne informacje o strukturach organizacji, projektach i tajemnicach handlowych.
MI5 ujawnił też, że nie tylko osoby "na świeczniku" mogą znaleźć się na liście zainteresowań agentów obcych służb. Fałszywe profile rekruterek tworzone były na potęgę, a zasięg działania ogromny. Tylko w latach 2020-2021 chińscy agenci podjęli ponad 10 tys. prób kontaktu z Brytyjczykami, usiłując pozyskać tajemnice polityczne, przemysłowe i wojskowe. Swoich ofiar szukali w różnych mediach społecznościowych, w tym na portalu LinkedIn, który jawił się jako miejsce nawiązywania profesjonalnych kontaktów i budowania ścieżki kariery. Mechanizm działania agentów był prosty: ofiara dostawała wiadomość od "konsultantki ds. rekrutacji", która oferowała wysokie zarobki (nawet 20 tys. funtów) za pisanie raportów, zawierających "niepubliczne" dane lub "niejawne" strategie działania firm - a to wszystko podlewane socjotechnicznym sosem pochwał i budowania ego ofiary.
Fałszywe profile, prawdziwe zagrożenie
Skala działania obcych wywiadów jest ogromna. Brytyjski MI5 oszacował, że tylko chiński wywiad zatrudnia ok. 300 tys. osób. Nie ma danych o poziomie zatrudnienia w rosyjskich czy północnokoreańskich "farmach trolli", wiadomo jednak, że ataków z roku na rok jest coraz więcej.
Coraz częściej media społecznościowe stają się też polem działania grup przestępczych. W 2022 r. administratorzy LinkedIn usunęli ponad 80 milionów fałszywych profili - o 152 proc. więcej niż w poprzednim roku. Tylko w pierwszej połowie 2024 r. zidentyfikowano kolejne 70,1 miliona fałszywych kont już podczas rejestracji, zanim jeszcze zostały one aktywowane. Co to oznacza dla banków i instytucji finansowych? Warto mieć świadomość, że każda interakcja online może być wstępem do poważnego incydentu bezpieczeństwa.
Jedną z najbardziej wyrafinowanych metod ataku jest podszywanie się pod rekruterów (tzw. fake recruiters). Grupy przestępcze, takie jak Golden Chickens, celują w profesjonalistów, wysyłając im oferty pracy idealnie dopasowane do ich doświadczenia opisanego w profilu. Atak ten jest szczególnie niebezpieczny dla sektora finansowego, ponieważ z usług tej grupy korzystają organizacje takie jak FIN6 (znana z ataków na systemy płatności) oraz Cobalt Group (celująca w banki).
Polecane oferty pracy ze specjalizacji: Cyberbezpieczeństwo
Niechciana niespodzianka
Scenariusz jest często podobny: ofiara otrzymuje wiadomość o atrakcyjnym stanowisku, a następnie plik ZIP, który ma zawierać opis oferty. W rzeczywistości plik instaluje wirusy typu trojan (np. more_eggs), który daje przestępcom tylną furtkę (backdoor) do systemu banku lub instytucji finansowej. Jeszcze bardziej zaawansowane techniki stosuje powiązana z Koreą Północną grupa Lazarus. Tworzą oni fałszywe oferty pracy w obszarach kryptowalut i finansów, zachęcając wysokimi zarobkami i pracą zdalną. W trakcie "procesu rekrutacyjnego" kandydat proszony jest o pobranie repozytorium z kodem, rzekomo w celu rozwiązania zadania technicznego. Kod ten instaluje złośliwe oprogramowanie, które kradnie poświadczenia i umożliwia dalszą infiltrację sieci firmowej.
Używanie prywatnych urządzeń do celów zawodowych sprawia, że działy IT tracą wgląd w potencjalne zagrożenia płynące z mediów społecznościowych. Nawet jeśli firma stosuje rygorystyczne filtry poczty e-mail, nie mają one wpływu na to, co pracownik otrzyma w prywatnej wiadomości w serwisie LinkedIn. Użytkownik, ufając renomie serwisu, znacznie chętniej klika w linki czy pobiera pliki, które mogą zawierać złośliwe oprogramowanie. Łączenie się z siecią firmową za pomocą zainfekowanego prywatnego urządzenia stanowi ryzyko – ostrzega w raporcie firmy Dagma Kamil Sadkowski, analityk cyberzagrożeń ESET.
Szpiedzy w IT
Zjawiskiem, które w 2024 roku stało się szczególnie palącym problemem, jest zatrudnianie pracowników IT z Korei Północnej, którzy posługują się skradzionymi lub fałszywymi tożsamościami. Mandiant (Google Cloud) zidentyfikował takich pracowników w sektorze usług finansowych, gdzie często uzyskiwali oni wysokie uprawnienia administracyjne.
Osoby te wykorzystują tzw. "farmy laptopów" zlokalizowane w USA lub Europie, aby ukryć swoje rzeczywiste położenie i udawać, że pracują z lokalizacji akceptowalnej dla pracodawcy. Choć ich głównym celem jest generowanie dewiz dla reżimu w Pjongjangu, ryzyko dla pracodawcy jest ogromne. Zaobserwowano przypadki, w których po zwolnieniu lub wykryciu, pracownicy ci kradli wrażliwe dane firmowe i żądali okupu za ich nieujawnianie.
Porywacze w akcji
Dla grup przestępczych LinkedIn stał się narzędziem do darmowego mapowania struktur korporacyjnych. Analiza opisów stanowisk i historii projektów pozwala atakującym identyfikować osoby decyzyjne i nowo zatrudnionych, co jest fundamentem ataków typu BEC (Business Email Compromise). Co istotne, 16 proc. wszystkich włamań w 2024 roku zaczęło się od skradzionych poświadczeń, a LinkedIn stał się ich głównym inkubatorem. Platforma stanowi "szarą strefę" bezpieczeństwa, ponieważ logujemy się na nią z prywatnych urządzeń, omijając korporacyjne filtry e-mail i systemy ochrony.
Napastnicy wykorzystują nasze zaufanie do "profesjonalnego" otoczenia, stosując wyrafinowane techniki, np.:
- deepfake’i w rekrutacji i wyłudzanie opłat rekrutacyjnych,
- ataki na łańcuchy dostaw: mapowanie partnerów biznesowych pozwala uderzyć w mniejszego dostawcę, by uzyskać dostęp do głównego celu,
- account hijacking: przejęcie realnego profilu lidera opinii i rozsyłanie fałszywych treści, w tym zlecanie przelewów.
Kto wydaje polecenie?
Coraz częstszym zagrożeniem staje się także podszywanie się pod kadrę zarządzającą. Przestępcy lub agenci tworzą wiarygodne profile C-level executives, by zdobyć zaufanie pracowników, partnerów i klientów, po czym np. wyłudzają opłaty rekrutacyjne albo manipulują fakturami. Podszywając się pod CEO zlecają przelewy na konta przestępców,
Dla instytucji finansowych poważnym zagrożeniem jest również podszywanie się pod kadrę zarządzającą (C-level executives). Atakujący budują wiarygodne profile dyrektorów finansowych lub prezesów, aby zdobyć zaufanie pracowników, partnerów i klientów.
Fałszywe profile są wykorzystywane jako "drzwi wejściowe" do oszustw finansowych, takich jak wyłudzanie opłat rekrutacyjnych czy manipulacje fakturami. Ponieważ interakcja odbywa się na profesjonalnej platformie, ofiary są mniej podejrzliwe, co ułatwia przestępcom działanie. Tego typu incydenty prowadzą nie tylko do strat finansowych, ale także erozji zaufania klientów i partnerów biznesowych, którzy mogą uznać markę za niewiarygodną.
Jak firmy tracą pieniądze?
Skutki działań zarówno działających w pojedynkę hakerów, jak i grup przestępczych, oznaczają dla firm bolesne straty finansowe i wizerunkowe. Według Mandiant M-Trends 2025 Report, w 2024 roku ponad jedna trzecia ataków na przedsiębiorstwa i korporacje służyła zdobyciu pieniędzy, a co piąty polegał na wymuszeniu okupu (ransomware). Firmy mają zazwyczaj tylko 5 dni na wykrycie takiego włamania, co daje im minimalne szanse na obronę. W prawie 40% przypadków przestępcy kradną dane. Coraz częściej stosują pułapkę: najpierw żądają od firm okupu za oddanie plików, a potem żądają drugiej wpłaty za niewrzucanie danych do sieci.
Utrata danych często nie kończy problemu - firmy muszą np. płacić gigantyczne kary za brak odpowiednich zabezpieczeń. Utrata płynności finansowej może też prowadzić do decyzji o konieczności ograniczenia lub zamknięcia biznesu.
Czy są jednak sposoby, by ochronić się przed szpiegami i przestępcami w sieci? Jak podkreślają eksperci, najważniejsze elementy obrony w internecie, to:
- weryfikacja kontaktów i sprawdzanie profili osób zapraszających do znajomych
- czujność - podejrzane są zwłaszcza nowe konta bez historii aktywności albo oferta wysokich zarobków bez konkretnych warunków,
- wprowadzenie kilkuetapowej weryfikacji podczas logowania,
- ograniczenie widoczności i weryfikacja ustawień prywatności profilu, zwłaszcza w przypadku osób na kluczowych stanowiskach w organizacji,
- w przypadku logowania się na LinkedIn i inne media społecznościowe, dbanie o odpowiednie zabezpieczenia na urządzeniach, mających dostęp do danych firmy.
W czasach, gdy informacja staje się bezcennym zasobem, a pomysłowość przestępców przekracza kolejne granice wyobraźni, warto kierować się zasadą ograniczonego zaufania, by nie otworzyć im drzwi nie tylko do prywatnego, ale i służbowego skarbca.
Polecane oferty pracy ze specjalizacji: Ryzyko rynkowe
Autor
Agnieszka Szypielewicz
Redaktorka, KarierawFinansach.pl
Dziennikarka i twórczyni treści z ponad 15-letnim doświadczeniem w mediach i projektach dla marek, łącząca analityczne podejście z angażującą narracją opartą na storytellingu. Specjalizuje się w tematach HR i nowoczesnych rozwiązań technicznych. Prywatnie pasjonuje się podcastami, zwłaszcza gatunkiem true crime.
