Que la oferta de trabajo de LinkedIn puede ser una estafa de phishing
El proceso de verificación de LinkedIn para cuentas nuevas es prácticamente inexistente, un problema que ha convertido a la web en un hervidero de estafadores y suplantadores de identidad. Pero si eso no es suficiente, un nuevo informe de BleepingComputer muestra que personas aleatorias pueden publicar ofertas de empleo en LinkedIn con el nombre de casi cualquier empresa, lo que abre la puerta a ataques de phishing y fraudes de contratación.
Varias personas pueden estar al tanto de esta "característica", pero Harman Singh, un experto en seguridad de Cyphere, fue la primera persona en abordarla públicamente. En sus palabras, "cualquiera puede publicar un trabajo en la cuenta de LinkedIn de una empresa y aparece exactamente como lo mismo que un trabajo anunciado por una empresa".
Las empresas no pueden eliminar estas ofertas de trabajo falsas sin ponerse en contacto directamente con LinkedIn. Y ese es un gran problema, porque los estafadores pueden dirigir a los solicitantes a cualquier sitio web o dirección de correo electrónico utilizando estos listados falsos.
Si hiciera una lista de trabajo falsa para Apple, por ejemplo, podría redirigir a los solicitantes a una página de inicio de sesión falsa de Apple que recopila nombres de usuario y contraseñas. Mediante la correspondencia por correo electrónico, puede convencer a los solicitantes de que compartan información personal o financiera, como números de seguro social (para "verificaciones de antecedentes") o información bancaria (para configurar "depósito directo").
De forma predeterminada, LinkedIn otorga a las empresas control nulo sobre las ofertas de trabajo no autorizadas. Pero algunas empresas, como Google, están protegidas de esta amenaza. Esto se debe a que tienen controles de listado de trabajos adicionales que no están disponibles para las cuentas promedio. La única forma de desbloquear estos controles de la lista de trabajos es buscar la dirección de correo electrónico privada del equipo de Confianza y seguridad de LinkedIn ([email protected]) y quejarse de la mala seguridad de la lista de trabajos del sitio. No es broma.
LinkedIn podría resolver este problema, o al menos mitigarlo, bloqueando de inmediato las ofertas de trabajo no autorizadas para todas las empresas. ¡Pero el sitio web no parece tan interesado en la seguridad! Si sirve de algo, LinkedIn le dice a BleepingComputer que utiliza "defensas automáticas y manuales" para bloquear anuncios de trabajo falsos, pero estas defensas no impidieron que los escritores de BleepingComputer crearan anuncios de trabajo fraudulentos para su investigación.
Fuente: BleepingComputer