Можете ли вы доверять LinkedIn свои личные данные?
LinkedIn по-прежнему остается самой надежной социальной платформой согласно отчету Digital Trust за 2020 год. В течение многих лет он неизменно занимал первое место, опережая других гигантов социальных сетей, таких как Facebook и Twitter.
По мнению многих потребителей, платформа для мирового бизнес-сообщества – это платформа, на которую люди наиболее уверены в безопасном хранении своих личных данных. Но насколько вы действительно можете доверять LinkedIn?
Бывали ли в LinkedIn когда-либо серьезные утечки данных?
LinkedIn не застрахован от утечки данных. На самом деле, чудовищное нарушение в 2012 году, которое, как впервые предполагалось, привело к утечке 6.5 миллионов учетных данных, оказалось намного хуже.
Первоначальная утечка, содержащая 6,5 миллиона паролей учетных записей, была первоначально опубликована на российском форуме по борьбе с киберпреступностью в 2012 году. LinkedIn подтвердила нарушение и призвала пользователей сменить пароли. Но спустя годы выяснилось, что это только верхушка айсберга.
В 2016 году хакер по имени «Мир» продал остальные украденные учетные данные LinkedIn в темной сети. Хакер утверждал, что у него была информация о 167 миллионах пользователей LinkedIn. Сообщается, что 90% несоленых паролей были взломаны в течение 72 часов.
Почему киберпреступники нацелены на LinkedIn?
Помимо массовой утечки данных, LinkedIn стал фаворитом киберпреступников, поскольку профили содержат кладезь информации об организациях.
А поскольку многие пользователи очень доверяют LinkedIn, они включают в свои профили очень конкретные детали своей карьеры. Это упрощает создание всевозможных фишинговых кампаний, нацеленных на людей и компании.
Мошенничество LinkedIn, отправленное на вашу электронную почту
Многие фишинговые мошенничества совершаются за пределами платформы. Банды делают вид, что работают на LinkedIn, и создают электронные письма с логотипом LinkedIn, чтобы украсть информацию у пользователей.
Эти электронные письма обычно содержат ссылку на поддельный веб-сайт, предназначенный для сбора вашей информации или загрузки вредоносного программного обеспечения на ваше устройство.
Не переходите по ссылкам в электронных письмах . Если вы не уверены, войдите в свою учетную запись, используя другую вкладку, браузер или другое устройство.
Электронные письма с просьбой подтвердить вашу учетную запись
Не существует такой вещи, как подтверждение по электронной почте @LinkedIn . Продолжается крупная фишинговая кампания. pic.twitter.com/j4L2LoEBEs
– Zerospam (@Zerospam) 1 апреля 2014 г.
Помимо обычных предупреждений системы безопасности, которые предупреждают вас о попытке входа в систему с неизвестного устройства, есть поддельное фишинговое письмо с просьбой подтвердить свой адрес электронной почты.
В них часто говорится, что платформа была обновлена и вам необходимо подтвердить свою учетную запись. Вам будет предоставлена ссылка и предложено подтвердить учетную запись в течение 72 часов, или «LinkedIn закроет неподтвержденные учетные записи».
Но ссылка не ведет на сайт LinkedIn: вы можете увидеть это, наведя на него указатель мыши.
Также есть фишинговое письмо с предупреждением о том, что LinkedIn деактивирует вашу учетную запись из-за бездействия.
Поддельные запросы на контакт
Фишинговые письма от LinkedIn могут даже содержать поддельные запросы. Вы получите электронное письмо с уведомлением о запросе контакта от кого-то в LinkedIn.
Он будет включать кнопку, которая позволит вам одобрить запрос; наведите на него курсор, и вы увидите, что он ссылается на сайт за пределами LinkedIn.
Некоторые изощренные мошенничества используют подмену URL, чтобы ссылка выглядела более достоверной. Так что стоит повторить: не переходите по ссылкам в письмах . Любые реальные запросы будут ждать вас, когда вы войдете в настоящий LinkedIn.
Какие виды мошенничества в LinkedIn наиболее распространены?
Более гнусные виды мошенничества запускаются операторами, которые проникают на платформу. Они создают поддельные профили, отправляют запросы на контакт и общаются через сообщения LinkedIn или LinkedIn InMail.
Многие из них успешны, потому что по-прежнему легко создать поддельный профиль в LinkedIn, и люди доверяют платформе, поэтому они автоматически предполагают, что все есть законные.
Мошенничество с вакансиями
Если сегодня к вам обратились в LinkedIn с предложением о работе, игнорируйте его. Вот # афера : http://t.co/0s9zMeWl6o pic.twitter.com/5Xod7pNcdo
– Scam Detector (@ConDetector) 29 августа 2014 г.
Самым распространенным мошенничеством, совершаемым в приложении, является мошенничество с вакансиями. Поскольку LinkedIn часто используется для поиска работы, хакеры используют свое отчаяние, выдавая себя за поддельных рекрутеров.
Они создадут фальшивый профиль, свяжутся с соискателями через InMail или сообщение, а затем предложат высокооплачиваемую работу, требующую небольшого количества работы.
Некоторые изучают ваш профиль и предлагают вам работу на основе ваших данных, чтобы сделать мошенничество более эффективным. Один из наиболее распространенных видов мошенничества предлагает пользователям возможность стать тайным покупателем или личным помощником по работе на дому.
Большинство из них отправляет вам ссылку на поддельный сайт, предназначенный для сбора вашей информации.
Другие подделки просят вас загрузить вложение с полным описанием должности. Другие скажут, что приложение – это форма заявки, которую нужно заполнить и отправить обратно. Однако, как только вы откроете вложение, вредоносное ПО загрузится в вашу систему.
Что такое мошенничество с тайным покупателем?
Что очень странно, я только что получил сообщение LinkedIn от @SekouSmithNBA с просьбой стать тайным покупателем. Хотя я ценю попытку Секу направить меня к прибыльной карьере, я предпочитаю быть очевидным и заметным покупателем. pic.twitter.com/u4bM3z48OI
– Кент Стерлинг (@KentSterling) 15 ноября 2018 г.
Некоторые из этих мошенничеств с вакансиями могут быть настолько сложными и убедительными, что люди в конечном итоге теряют тысячи долларов.
Например, мошенничество с таинственным покупателем работает путем отправки ничего не подозревающего пользователя LinkedIn сообщения, предлагающего ему работу в качестве тайного покупателя.
Затем мошенники отправляют чек, который жертвы должны положить на свой банковский счет. Им будет предложено вычесть комиссию и использовать оставшуюся часть либо для покупки перезагружаемых карт и подарочных карт, либо для тестирования службы денежных переводов в магазине.
Мошенники инструктируют жертву отправить часть депонированных денег через магазин Western Union или MoneyGram. Если их попросят купить подарочные карты, им придется прислать номера карт.
Перенесемся через несколько дней, и жертва получит сообщение из своего банка о том, что чек, который они положили, был фальшивым, и поэтому деньги будут изъяты со счета.
Поддельные профили LinkedIn, используемые для фишинга
Киберпреступники также создают поддельные профили для изучения ваших учетных данных и учетных данных ваших контактов для целевой фишинг-кампании.
Такие кампании, как целевой фишинг, китобойный промысел и мошенничество со стороны генерального директора , более сложны по сравнению с обычными мошенническими электронными письмами. Они нацелены на то, чтобы сделать их более эффективными, и хакерам необходимо будет изучить организацию или человека перед атакой.
Один из самых простых способов получить информацию об организации и ее сотрудниках – это изучить профили LinkedIn. И, приняв контактный запрос от хакера, вы даете ему доступ к информации в вашем профиле и ваших контактах.
Когда вы общаетесь с вами, они также выглядят законными и заслуживающими доверия.
Как распознать поддельный профиль в LinkedIn
Существуют явные признаки того, что профиль может быть поддельным – одним из которых является очень мало информации и слишком мало контактов (обычно менее или немногим более 100).
Другой признак – нулевое или очень низкое участие. Вы можете проверить рекомендации в их профиле, чтобы узнать, что бывшие коллеги говорят о человеке … или есть ли у них вообще бывшие коллеги.
Вы можете проверить в разделе «Действия» в их профиле прошлые публикации, взаимодействия, комментарии и взаимодействия с другими пользователями. Отсутствие взаимодействия часто является признаком того, что этого человека больше никто не знает или что профиль новый.
У некоторых вообще не будет фотографий, но у большинства есть фотографии, которые иногда украдены с сайтов стоковых изображений. Чтобы проверить, не была ли фотография взята из Интернета, вы можете выполнить быстрый поиск изображений в обратном направлении. Вот полезный список приложений и сайтов , которые помогут вам в этом.
Какие меры безопасности есть в LinkedIn?
После взлома 2012 года LinkedIn внедрила несколько функций безопасности, чтобы защитить данные своих пользователей. До взлома LinkedIn использовала систему базы данных паролей с простыми хэшами, которые легко взломать, поэтому они перешли на систему, которая хэшировала и подслащивала пароли.
Вскоре они включили двухфакторную аутентификацию (2FA), позволяя пользователям предотвращать попытки несанкционированного входа в систему с помощью дополнительного кода, который им необходимо ввести.
Дополнительная вкладка безопасности позволяет пользователям видеть свои активные сеансы. С помощью этой функции пользователи могут проверять устройства, которые в настоящее время вошли в их учетную запись LinkedIn, включая подробную информацию об устройстве, например, приблизительное местоположение, браузер, ОС и IP-адрес. Вы можете выйти из любого, если не узнаете их.
LinkedIn также представила функцию блокировки пользователей. Используя это, вы можете скрыть профили и перестать получать сообщения (и надоедливый спам) от определенных пользователей.
LinkedIn URL Detector и автоматическое обнаружение фальшивых аккаунтов
Чтобы защитить пользователей от фишинговых кампаний, LinkedIn теперь использует внутреннюю службу, которая сканирует весь пользовательский контент на наличие вредоносных программ, фишинга и другого опасного контента. Они запускают свой алгоритм определения URL-адресов через большие фрагменты текста, чтобы проверить URL-адреса.
Помимо детектора URL-адресов, LinkedIn использует систему обнаружения поддельных учетных записей, которая определяет профили, контролируемые хакерами. Попытки регистрации новых пользователей оцениваются с помощью модели машинного обучения, которая предотвращает массовое создание поддельных учетных записей. Большинство кампаний по борьбе с киберпреступностью включают создание нескольких поддельных учетных записей, которые перехватываются системой.
Небольшие партии фейковых аккаунтов фильтруются с использованием других методов, включая вмешательство человека. Пользователи могут сообщать о подозрительной активности на сайте или отрывочных профилях.
Можете ли вы доверять людям в LinkedIn?
Как и любая другая платформа социальных сетей, LinkedIn не застрахован от утечек данных и атак киберпреступников. Даже при наличии мер безопасности некоторые атаки могут оставаться незамеченными системами LinkedIn, и вам решать, как защитить себя.
Прежде чем принимать приглашения на подключение, проверьте настройки безопасности, включите 2FA и просмотрите профили. То, что это якобы сайт для профессионалов, не означает, что вы можете расслабиться.