Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

sicurezza nei social

Profili LinkedIn sotto attacco: come difendersi davvero

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Dal phishing via email alle operazioni di spionaggio di Stato, la piattaforma professionale più usata al mondo è diventata uno dei vettori d’attacco più pericolosi del panorama cyber. Una guida operativa per utenti, professionisti e team di sicurezza aziendale

Pubblicato il 29 apr 2026
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

1012_linkedin
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il 34% degli attacchi phishing arriva da canali non-email, inclusi i social. Più di 1 miliardo di profili autenticati su LinkedIn: una miniera di dati per gli attaccanti. Oltre 10mila cittadini tedeschi contattati da profili fake cinesi in una sola operazione. 6 categorie di attacco documentate nell’ultimo anno.

Questo è lo scenario che ci si prospetta davanti, nella vita quotidiana all’interno dei social network.

Cosa succede davvero su LinkedIn: le sei tecniche d’attacco documentate

LinkedIn aggrega oltre un miliardo di profili autenticati, dati professionali pubblici e relazioni di fiducia consolidate. È la piattaforma dove ci si aspetta serietà, colleghi verificati, opportunità legittime.

Ed è esattamente per questo che è diventata uno degli strumenti offensivi più versatili del panorama della cyber security: dai criminali comuni ai gruppi APT, dagli hacktivisti agli apparati di intelligence stranieri.

La fiducia degli utenti abbassa strutturalmente la soglia di guardia. Ed è esattamente questa aspettativa che gli attaccanti hanno imparato a monetizzare.

Ecco le sei categorie di attacco più documentate dai ricercatori di sicurezza nell’ultimo anno, ordinate per livello di sofisticazione crescente.

Phishing via notifiche email false

Email che replicano con precisione quasi perfetta le notifiche ufficiali di LinkedIn – font, logo, formattazione, oggetto del messaggio identici agli originali. Il pretesto è sempre una presunta opportunità di lavoro.

Cliccando, l’utente atterra su una pagina di login contraffatta ospitata su domini scelti per la somiglianza visiva con quello reale (es. inedin[.]digital).

La leva psicologica centrale è l’urgenza.

Phishing via commenti pubblici

Account bot si spacciano per LinkedIn stessa pubblicando commenti sotto i post degli utenti: il profilo sarebbe stato “temporaneamente ristretto per violazioni delle policy”.

Spesso usano il legittimo shortener lnkd.in di LinkedIn per mascherare la destinazione.

L’AI ha reso possibile inondare le sezioni commenti a una velocità che supera la capacità di moderazione della piattaforma.

LinkedIn ha confermato: non comunica mai restrizioni di account tramite commenti pubblici.

Messaggi diretti con RAT (Remote Access Trojan)

Il vettore non è l’email ma il DM di LinkedIn. L’attacco inizia con un messaggio che porta al download di un archivio auto-estraente WinRAR.

Tramite DLL sideloading, viene caricata una DLL malevola che si avvia ad ogni boot. Il malware opera in memoria (fileless), si connette a un server C2 e può esfiltrare dati o aprire un accesso persistente.

Su LinkedIn non esiste modo di richiamare o mettere in quarantena un messaggio già inviato.

AiTM con redirect chain su servizi legittimi

La vittima riceve via DM un invito a una finta opportunità di investimento.

Cliccando, viene reindirizzata tre volte attraverso un open redirect di Google, poi a un dominio intermedio, poi a una landing page su firebasestorage.googleapis.com.

La pagina finale è un sito Microsoft AiTM (Adversary-in-the-Middle) che intercetta le sessioni e bypassa l’autenticazione multifattore. Nessun gateway email, nessun URL scanner avrebbe potuto rilevarlo.

Lazarus Group: falsi recruiter per crypto e spionaggio

Il gruppo nordcoreano usa LinkedIn per avvicinare sviluppatori blockchain con false offerte di lavoro da società fittizie (es. “Veltrix Capital”).

Ai candidati viene chiesto di completare una prova tecnica installando pacchetti npm/PyPI contenenti payload malevolo. Il malware deployato è un RAT cross-platform capace di rilevare wallet di criptovaluta nel browser.

L’obiettivo: finanziare il programma nucleare nordcoreano attraverso il furto di cripto.

MSS cinese: recruiter fittizi contro NATO e UE

Profili falsi che si presentano come recruiter di società di consulenza inesistenti prendono di mira dipendenti di istituzioni NATO e UE.

Inizialmente richiedono report a pagamento su temi geopolitici, poi sollecitano informazioni non pubbliche o classificate. Un pattern ricorrente: il profilo dell’agente usa il nome di una giovane donna con nome anglicizzato.

Operazione attiva almeno dal 2014, confermata da una fonte UE nel marzo 2026.

Come funziona un attacco phishing LinkedIn: anatomia step by step

Scomporre la campagna più comune – phishing via email con finta notifica LinkedIn – passo per passo serve a capire quanto ogni fase sia progettata per abbattere la resistenza dell’utente.


01		Ricezione dell’email Il mittente è un dominio fraudolento attivo da pochi giorni. L’email riproduce graficamente la notifica ufficiale LinkedIn: stesso logo, stesso font, stessa struttura. L’oggetto è una presunta offerta di lavoro da un’azienda reputabile.
02Creazione del senso di urgenza Il testo invita a rispondere entro 24-48 ore. In casi avanzati, l’email include screenshot Google Maps dell’indirizzo di casa della vittima, estratti da fonti OSINT, per aumentare la pressione psicologica.
03Click sul link Il link porta a un dominio visivamente simile a LinkedIn (es. inedin[.]digital, linkedln[.]com). L’utente viene reindirizzato a una pagina di login contraffatta, graficamente identica all’originale, servita tramite HTTPS.
04Inserimento delle credenziali L’utente inserisce email e password convinto di fare il login su LinkedIn. I dati vengono trasmessi in tempo reale agli attaccanti. In varianti AiTM, viene intercettata anche la sessione autenticata con MFA.
05Redirect trasparente Per non insospettire la vittima, il falso sito reindirizza su LinkedIn reale dopo aver catturato i dati. L’utente pensa di aver avuto un problema di connessione.
06Sfruttamento dell’account compromesso L’account rubato può essere usato per nuove campagne verso i contatti della vittima, per accesso a piattaforme aziendali collegate tramite SSO, o per raccolta di informazioni sensibili.

I segnali che un messaggio o un profilo LinkedIn è falso

La maggior parte degli attacchi – anche i più sofisticati – presenta pattern riconoscibili, se si sa dove guardare. La difficoltà è che richiedono attenzione attiva in un contesto dove siamo abituati a fidarci.

  • L’URL dell’email di notifica non è esattamente linkedin.com – anche una lettera diversa è un campanello d’allarme.
  • Il recruiter propone un’offerta non sollecitata con stipendio insolitamente alto e urgenza di risposta.
  • Il profilo del contatto ha poche connessioni, è stato creato di recente o ha una storia professionale vaga o incoerente.
  • Viene richiesto di scaricare un file (archivio ZIP, SFX, PDF “protetto”) come parte di un processo di selezione.
  • Un commento sotto un tuo post ti informa di restrizioni al profilo e ti chiede di cliccare un link.
  • La foto del profilo sembra generata da AI (simmetria quasi perfetta del viso, sfondo artificiale, texture innaturale).
  • La conversazione si sposta rapidamente su argomenti geopolitici o richieste di informazioni sul tuo datore di lavoro.
  • Il “test tecnico” per un colloquio include l’esecuzione di codice da repository GitHub o l’installazione di pacchetti npm/PyPI.

Cosa fare concretamente: checklist per utenti e team aziendali

La difesa si articola su due livelli: quello individuale, applicabile da qualsiasi utente di LinkedIn, e quello organizzativo, pensato per i team di sicurezza e i responsabili IT aziendali. Le misure non si escludono – si sommano.

Per l’utente individuale

  • Verifica sempre l’URL prima di inserire le credenziali. L’unico dominio legittimo è www.linkedin.com. Controlla nella barra del browser, non nel testo dell’email. Un carattere diverso, un trattino insolito, un’estensione strana: non procedere.
  • Attiva l’autenticazione a due fattori (2FA) con un’app authenticator. L’SMS è meno sicuro (SIM swap). Usa Google Authenticator, Authy o Microsoft Authenticator. Ricorda che il 2FA non è sufficiente contro gli attacchi AiTM.
  • Non aprire archivi o eseguire codice ricevuto tramite DM LinkedIn. Nessun processo di recruiting legittimo richiede di installare software o eseguire script come parte di una selezione. Se ti viene chiesto, è un attacco.
  • Segnala i profili sospetti tramite la funzione nativa di LinkedIn. Più segnalazioni accelerano la rimozione. Un profilo rimosso non colpisce altri tuoi colleghi.
  • Limita le informazioni pubbliche nel profilo. Il numero di telefono, i progetti specifici, l’indirizzo: sono dati che gli attaccanti usano per personalizzare i messaggi di phishing.
  • Usa una password unica per LinkedIn, non condivisa con altri servizi. Se le tue credenziali LinkedIn vengono rubate, non devono funzionare da nessun’altra parte.

Per i team di sicurezza e i responsabili IT

  • Integrare LinkedIn e i social professionali nel programma di security awareness. La maggior parte dei training aziendali si concentra sull’email. I social restano un blind spot. Includi scenari specifici: finto recruiter, richiesta di download, commento sospetto.
  • Definire una policy aziendale sull’uso di LinkedIn da dispositivi corporate. Aprire archivi ricevuti via DM dovrebbe essere esplicitamente vietato nelle policy di sicurezza.
  • Estendere il monitoraggio di threat intelligence ai canali social. Valuta soluzioni di social media threat intelligence o un CASB che includa i social professionali.
  • Implementare protezioni anti-AiTM per gli accessi aziendali. L’MFA tradizionale non è sufficiente contro gli attacchi Adversary-in-the-Middle. Valuta token hardware FIDO2/passkey per gli account ad alto rischio.
  • Avvisare il personale dei ruoli a rischio elevato (executive, HR, finance, R&D). Queste figure sono i target preferenziali sia per gruppi criminali che per APT statali.
  • Stabilire un canale interno di segnalazione per contatti LinkedIn sospetti. Se un dipendente riceve un DM anomalo, deve sapere a chi segnalarlo e in quanto tempo.

LinkedIn in azienda: il problema che le policy di sicurezza ignorano

Il 34% degli attacchi phishing intercettati di recente è arrivato attraverso canali non-email: social media, app di messaggistica, inserzioni pubblicitarie malevole, comunicazioni in-app. LinkedIn è uno dei due canali non-email più sfruttati. Eppure la stragrande maggioranza delle organizzazioni monitora il traffico email con gateway dedicati, sandboxing degli allegati – e non applica niente di simile ai social.

Quanto più un’organizzazione è attiva su LinkedIn – per recruiting, marketing, business development – tanto più ampia è la superficie d’attacco esposta. I dipendenti con profili pubblici ricchi di informazioni professionali sono, involontariamente, una fonte di intelligence per gli attaccanti.

Target ad alto rischio in azienda

Executive e C-suite, HR e talent acquisition, finance e treasury, R&D e sviluppatori, chiunque abbia accesso a sistemi critici.

Questi profili sono i preferiti sia dai gruppi criminali che dagli APT statali.

Il rischio dell’SSO aziendale

Molte aziende usano LinkedIn come provider di identità per accedere ad altri sistemi interni.

Se le credenziali LinkedIn vengono rubate, l’attaccante può potenzialmente accedere all’intero ecosistema aziendale connesso tramite Single Sign-On.

Il rischio nel recruiting tecnico

I developer sono target della campagna Contagious Interview di Lazarus.

Un “test tecnico” che richiede di clonare repository ed eseguire codice è uno scenario di attacco reale. I team HR devono essere informati.

Il rischio per enti pubblici e PA

Le operazioni di spionaggio di Stato (MSS cinese, ma non solo) prendono di mira esplicitamente funzionari di istituzioni europee, NATO, ministeri.

Il contatto inizia sempre come networking innocuo, una progressione lenta e metodica.

La fiducia è il vettore: perché il problema è strutturale

Il thread comune che attraversa tutte le tecniche d’attacco documentate è uno solo: la fiducia. LinkedIn funziona perché ci aspettiamo di trovare persone reali, opportunità legittime, comunicazioni professionali verificate.

Gli attaccanti non hanno dovuto inventare un nuovo vettore – hanno semplicemente imparato a indossare la sua uniforme.

L’intelligenza artificiale ha amplificato drammaticamente questo problema. Profili falsi con foto AI-generated, messaggi scritti senza errori grammaticali in qualsiasi lingua, campagne di commenti bot che saturano la moderazione della piattaforma: la soglia operativa è crollata.

La risposta non può essere smettere di usare LinkedIn. La risposta è usarlo con la stessa consapevolezza critica con cui trattiamo le email. Per le organizzazioni, il messaggio è altrettanto chiaro: il perimetro di sicurezza include i social professionali. Le policy, i training e i sistemi di monitoraggio devono adeguarsi a questa realtà.

“Nel 2017 era relativamente facile identificare gli attaccanti nordcoreani per gli errori grammaticali. Ora sembrerebbe che si siano laureati a Oxford”Michael Shaulov, CEO Fireblocks · CNBC, gennaio 2026

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Dario Fadda
Research Infosec, fondatore Insicurezzadigitale.com

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • Gestione fornitori, conformità al Decreto NIS 2 e al Gdpr: la fase della qualifica dinamica

  • La Guida

    Gestione fornitori, la fase di qualifica dinamica per la conformità al Decreto NIS 2 e al GDPR

    06 Mag 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Garante Privacy: sanzione di 5 milioni per il chatbot Replika

  • sanzioni

    Garante Privacy: ecco cosa contesta al chatbot Replika

    20 Mag 2025

    di Rosario Palumbo

    Condividi
  • Vulnerabilità critica nel boot Linux

  • L'ANALISI TECNICA

    Vulnerabilità critica nel boot Linux: quando il male entra dalla porta principale

    09 Lug 2025

    di Sandro Sana

    Condividi
0
Lascia un commento, la tua opinione conta.x