Puoi fidarti di LinkedIn con i tuoi dati personali?
LinkedIn è ancora la piattaforma social più affidabile secondo il Digital Trust Report 2020. Si è costantemente classificato al primo posto, davanti ad altri giganti dei social media come Facebook e Twitter, per anni.
Secondo molti consumatori, la piattaforma per la comunità imprenditoriale mondiale è quella che le persone hanno più fiducia nell'archiviare i propri dati privati in modo sicuro. Ma quanto puoi fidarti davvero di LinkedIn?
LinkedIn ha mai subito una grave violazione dei dati?
LinkedIn non è immune alle fughe di dati. In effetti, una mostruosa violazione nel 2012 che si credeva avesse fatto trapelare 6,5 milioni di credenziali dell'account, si è rivelata molto peggio.
La fuga iniziale che conteneva 6,5 milioni di password di account è stata inizialmente pubblicata in un forum russo sulla criminalità informatica nel 2012. LinkedIn ha confermato la violazione e ha incoraggiato gli utenti a modificare le proprie password. Ma anni dopo, hanno scoperto che era solo la punta dell'iceberg.
Nel 2016, un hacker di nome "Peace" ha venduto il resto delle credenziali di LinkedIn rubate sul dark web. L'hacker ha affermato di aver avuto le informazioni di 167 milioni di utenti LinkedIn. È stato riferito che il 90% delle password non salate è stato violato entro 72 ore.
Perché i criminali informatici prendono di mira LinkedIn?
A parte la massiccia fuga di dati, LinkedIn è diventato uno dei preferiti tra i criminali informatici poiché i profili contengono una miniera d'oro di informazioni sulle organizzazioni.
E poiché molti utenti si fidano così tanto di LinkedIn, includono dettagli molto specifici sulla loro carriera nei loro profili. Ciò semplifica la creazione di tutti i tipi di campagne di phishing rivolte a persone e aziende.
Truffe LinkedIn inviate alla tua email
Molte truffe di phishing vengono eseguite al di fuori della piattaforma. Le gang fingono di lavorare per LinkedIn e creano e-mail, complete del logo di LinkedIn, per rubare informazioni agli utenti.
Queste e-mail di solito hanno un collegamento a un sito Web falso progettato per raccogliere le tue informazioni o scaricare software dannoso sul tuo dispositivo.
Non fare clic sui collegamenti nelle e-mail . Se non sei sicuro, accedi al tuo account utilizzando una scheda, un browser o un dispositivo diverso.
Email che ti chiedono di convalidare il tuo account
Non esiste una e – mail di conferma @LinkedIn . È in corso un'ampia campagna di phishing. pic.twitter.com/j4L2LoEBEs
– Zerospam (@Zerospam) 1 aprile 2014
A parte i soliti avvisi di sicurezza che ti avvisano di un tentativo di accesso da un dispositivo sconosciuto, c'è la falsa email di phishing che ti chiede di confermare la tua email.
Spesso dicono che la piattaforma è stata aggiornata e che è necessario convalidare il tuo account. Ti verrà fornito un collegamento e ti verrà chiesto di convalidare l'account entro 72 ore o "LinkedIn chiuderà gli account non confermati".
Ma il collegamento non porta a un sito LinkedIn: puoi vederlo quando ci passi sopra con il mouse.
C'è anche un'e-mail di phishing che ti avvisa che LinkedIn ha disattivato il tuo account a causa di inattività.
Richieste di contatto false
Le e-mail di phishing di LinkedIn possono persino contenere richieste false. Riceverai un'email che ti avvisa di una richiesta di contatto da qualcuno su LinkedIn.
Comprenderà un pulsante che dovrebbe consentire di approvare la richiesta; passa il mouse su di esso e vedrai che si collega a un sito esterno a LinkedIn.
Alcune truffe sofisticate utilizzano lo spoofing dell'URL per rendere il collegamento più legittimo. Quindi vale la pena ripeterlo: non fare clic sui collegamenti nelle e-mail . Eventuali richieste reali ti aspetteranno quando accedi al vero LinkedIn.
Quali sono le truffe LinkedIn più comuni?
I tipi più nefasti di truffe vengono lanciati dagli operatori che si infiltrano nella piattaforma. Creano profili falsi, inviano richieste di contatto e comunicano tramite messaggi LinkedIn o LinkedIn InMail.
Molti di questi hanno successo perché è ancora facile creare un profilo falso su LinkedIn e le persone si fidano della piattaforma, quindi presumono automaticamente che tutti siano legittimi.
Truffe sul lavoro
Se oggi vieni contattato su LinkedIn con un'offerta di lavoro, ignorala. Ecco il #scam : http://t.co/0s9zMeWl6o pic.twitter.com/5Xod7pNcdo
– Scam Detector (@ScamDetector) 29 agosto 2014
Le truffe più comuni fatte in-app sono le truffe sul lavoro. Poiché LinkedIn viene spesso utilizzato per cercare lavoro, gli hacker sfruttano la loro disperazione fingendosi falsi reclutatori.
Creeranno un profilo falso, raggiungeranno le persone in cerca di lavoro tramite messaggi InMail o messaggi e quindi offriranno lavori ben pagati che richiedono poco lavoro.
Alcuni studiano il tuo profilo e ti offrono lavori in base alle tue credenziali per rendere la truffa più efficace. Una delle truffe più comuni offrirà agli utenti la possibilità di essere un mystery shopper o un assistente personale che lavora da casa.
La maggior parte ti invia un collegamento a un sito falso progettato per raccogliere le tue informazioni.
Altri falsi ti chiedono di scaricare un allegato con quella che dovrebbe essere la descrizione completa del lavoro. Altri diranno che l'allegato è un modulo di domanda che devi compilare e rispedire. Tuttavia, una volta aperto l'allegato, il malware verrà scaricato sul tuo sistema.
Cos'è il Mystery Shopper Scam?
In un momento molto particolare, ho appena ricevuto un messaggio LinkedIn da @SekouSmithNBA che mi chiedeva di diventare un mystery shopper. Sebbene apprezzi il tentativo di Sekou di indirizzarmi verso una carriera redditizia, preferisco essere un acquirente evidente e visibile. pic.twitter.com/u4bM3z48OI
– Kent Sterling (@KentSterling) , 15 novembre 2018
Alcune di queste truffe sul lavoro possono essere così elaborate e convincenti che le persone finiscono per perdere migliaia di dollari.
La truffa del mystery shopper, ad esempio, funziona inviando a un ignaro utente di LinkedIn un messaggio che offre loro un lavoro come acquirente segreto.
I truffatori inviano quindi un assegno che le vittime devono depositare sul loro conto bancario. Gli verrà detto di detrarre la commissione e utilizzare il resto per acquistare carte ricaricabili e carte regalo o testare il servizio di trasferimento di denaro in negozio.
I truffatori chiedono alla vittima di inviare parte del denaro depositato tramite il servizio Western Union o MoneyGram in negozio. Se è stato chiesto loro di acquistare carte regalo, dovranno inviare i numeri sulle carte.
Avanzando rapidamente fino a pochi giorni dopo, la vittima riceverà un messaggio dalla sua banca che le informa che l'assegno che ha depositato era falso e quindi il denaro verrà recuperato dal conto.
Profili LinkedIn falsi utilizzati per il phishing
I cybercriminali creano anche profili falsi per studiare le tue credenziali e quelle dei tuoi contatti per una campagna di phishing mirata.
Campagne come lo spear phishing, la caccia alle balene e il phishing fraudolento del CEO sono più complicate rispetto alle normali e-mail fraudolente. Questi sono mirati a renderli più efficaci e gli hacker dovranno studiare l'organizzazione o la persona prima dell'attacco.
Uno dei modi più semplici per ottenere informazioni su un'organizzazione e sui suoi dipendenti è studiare i profili LinkedIn. E accettando una richiesta di contatto da un hacker, gli dai accesso alle informazioni sul tuo profilo e sui tuoi contatti.
Essere il tuo contatto li fa anche sembrare legittimi e affidabili.
Come individuare un profilo LinkedIn falso
Ci sono segnali rivelatori che un profilo può essere falso, uno dei quali è avere pochissime informazioni e troppi pochi contatti (di solito meno o poco più di 100).
Un altro segno sta avendo zero o pochissimo impegno. Puoi controllare sotto i consigli nel loro profilo per vedere cosa hanno da dire gli ex colleghi sulla persona … o se hanno ex colleghi.
Puoi controllare nella sezione "Attività" del loro profilo per vedere i post passati, gli impegni, i commenti e le interazioni con altri utenti. La mancanza di interazione sarà spesso un segno che nessun altro conosce questa persona o che il profilo è nuovo.
Alcuni non avranno alcuna foto, ma la maggior parte ne avrà una rubata, a volte da siti di immagini stock. Per verificare se la foto è stata prelevata da qualche altra parte online, puoi eseguire una rapida ricerca inversa delle immagini. Ecco un utile elenco di app e siti che ti aiuteranno a farlo.
Quali misure di sicurezza ha LinkedIn?
Dopo la violazione del 2012, LinkedIn ha implementato alcune funzionalità di sicurezza per proteggere i dati dei propri utenti. Prima della violazione, LinkedIn utilizzava un sistema di database delle password con hash semplici che venivano facilmente violati, quindi sono passati a un sistema che eseguiva sia l'hash che le password.
Ben presto hanno abilitato l'autenticazione a due fattori (2FA), consentendo agli utenti di contrastare i tentativi di accesso non autorizzati con un codice aggiuntivo da inserire.
Una scheda di sicurezza aggiuntiva consente agli utenti di vedere le loro sessioni attive. Attraverso questa funzione, gli utenti possono controllare i dispositivi attualmente connessi al proprio account LinkedIn, inclusi i dettagli sul dispositivo, ovvero posizione approssimativa, browser, sistema operativo e indirizzo IP. Puoi disconnetterti da qualsiasi se non li riconosci.
LinkedIn ha anche introdotto la funzione di blocco degli utenti. In questo modo, puoi scegliere di nascondere i profili e interrompere la ricezione di messaggi (e fastidiosi spam) da determinati utenti.
Rilevatore di URL LinkedIn e rilevamento automatico di account falsi
Per proteggere gli utenti dalle campagne di phishing, LinkedIn ora utilizza un servizio di back-end che analizza tutti i contenuti generati dagli utenti alla ricerca di malware, phishing e altri contenuti pericolosi. Eseguono il loro algoritmo di rilevamento URL attraverso grandi porzioni di testo per verificare la presenza di URL.
Oltre al rilevatore di URL, LinkedIn utilizza un sistema di rilevamento di account falsi che identifica i profili controllati dagli hacker. I nuovi tentativi di registrazione utente vengono valutati da un modello di apprendimento automatico che impedisce la creazione di account falsi in blocco. La maggior parte delle campagne di criminalità informatica comporta la creazione di più account falsi e vengono intercettati dal sistema.
I lotti più piccoli di account falsi vengono filtrati utilizzando altri metodi, compreso l'intervento umano. Gli utenti possono segnalare attività sospette sul sito o profili imprecisi.
Puoi fidarti delle persone su LinkedIn?
Proprio come qualsiasi altra piattaforma di social media, LinkedIn non è immune da fughe di dati e attacchi da parte di criminali informatici. Anche con le misure di sicurezza in atto, alcuni attacchi possono non essere rilevati dai sistemi di LinkedIn e spetta a te proteggerti.
Controlla le tue impostazioni di sicurezza, abilita 2FA e controlla i profili prima di accettare inviti a connettersi. Solo perché si suppone sia il sito per professionisti non significa che puoi abbassare la guardia.
