Diese LinkedIn-Stellenanzeige könnte ein Phishing-Betrug sein
Der Verifizierungsprozess von LinkedIn für neue Konten ist praktisch nicht vorhanden, ein Problem, das die Website zu einer Brutstätte für Betrüger und Imitatoren gemacht hat. Aber als ob das nicht genug wäre, zeigt ein neuer Bericht von BleepingComputer, dass zufällige Personen LinkedIn-Stellenangebote unter fast jedem Firmennamen veröffentlichen können, was Phishing-Angriffen und Einstellungsbetrug Tür und Tor öffnet.
Dieses „Feature” dürfte einigen bekannt sein, aber Harman Singh, ein Sicherheitsexperte bei Cyphere, war der erste, der es öffentlich ansprach. In seinen Worten: „Jeder kann einen Job unter dem LinkedIn-Konto eines Unternehmens veröffentlichen, und es erscheint genau so genauso wie eine von einem Unternehmen ausgeschriebene Stelle.”
Unternehmen können diese gefälschten Stellenangebote nicht entfernen, ohne sich direkt an LinkedIn zu wenden. Und das ist ein großes Problem, denn Betrüger können Bewerber mit diesen gefälschten Einträgen auf jede Website oder E-Mail-Adresse leiten.
Wenn Sie beispielsweise eine gefälschte Stellenanzeige für Apple erstellen, könnten Sie Bewerber auf eine gefälschte Apple-Anmeldeseite umleiten, die Benutzernamen und Passwörter sammelt. Mithilfe von E-Mail-Korrespondenz könnten Sie Bewerber davon überzeugen, persönliche oder finanzielle Informationen wie Sozialversicherungsnummern (für „Hintergrundprüfungen”) oder Bankinformationen (um eine „Direkteinzahlung” einzurichten) weiterzugeben.
Standardmäßig gibt LinkedIn Unternehmen keine Kontrolle über nicht autorisierte Stellenangebote. Einige Unternehmen wie Google sind jedoch vor dieser Bedrohung geschützt. Das liegt daran, dass sie über zusätzliche Steuerelemente für Stellenanzeigen verfügen, die durchschnittlichen Konten nicht zur Verfügung stehen. Die einzige Möglichkeit, diese Kontrollen für Stellenangebote zu entsperren, besteht darin, die private E-Mail-Adresse des Vertrauens- und Sicherheitsteams von LinkedIn ([email protected]) aufzuspüren und sich über die schlechte Sicherheit der Stellenangebote auf der Website zu beschweren. Kein Witz.
LinkedIn könnte dieses Problem lösen oder zumindest abmildern, indem nicht autorisierte Stellenangebote sofort für alle Unternehmen gesperrt werden. Aber die Website scheint nicht allzu sehr an Sicherheit interessiert zu sein! Für das, was es wert ist, teilt LinkedIn BleepingComputer mit, dass es „automatische und manuelle Abwehrmaßnahmen” verwendet, um gefälschte Stellenangebote zu blockieren, aber diese Abwehrmaßnahmen hielten die Autoren von BleepingComputer nicht davon ab, betrügerische Stellenangebote für ihre Untersuchung einzurichten.
Quelle: BleepingComputer