See LinkedIni tööpakkumine võib olla andmepüügipettus
LinkedIni uute kontode kinnitusprotsess on praktiliselt olematu, probleem, mis on muutnud veebisaidi petturite ja matkijate levialaks. Kuid kui sellest ei piisa, näitab BleepingComputeri uus aruanne, et juhuslikud inimesed saavad LinkedIni tööpakkumisi postitada peaaegu iga ettevõtte nime all, avades ukse andmepüügirünnakutele ja värbamispettustele.
Paljud inimesed võivad sellest "funktsioonist" teadlikud olla, kuid Cyphere’i turbeekspert Harman Singh oli esimene inimene, kes seda avalikult käsitles. Tema sõnul võib igaüks postitada töökoha ettevõtte LinkedIni konto kaudu ja see näib täpselt sama mis ettevõtte kuulutatud töö."
Ettevõtted ei saa neid võltsitud tööpakkumisi eemaldada ilma LinkedIniga otse ühendust võtmata. Ja see on suur probleem, sest petturid saavad neid võltskirjeid kasutades suunata taotlejad mis tahes veebisaidile või meiliaadressile.
Kui koostaksite näiteks Apple’i jaoks võltsitud tööpakkumiste, võite suunata taotlejad Apple’i võltsitud sisselogimislehele, mis kogub kasutajanimesid ja paroole. E-kirjade abil saate veenda taotlejaid jagama isiklikku või finantsteavet, näiteks sotsiaalkindlustuse numbreid ("taustakontrolliks") või pangateavet (otsemakse seadistamiseks).
Vaikimisi annab LinkedIn ettevõtetele nullkontrolli volitamata tööpakkumiste üle. Kuid mõned ettevõtted, nagu Google, on selle ohu eest kaitstud. Seda seetõttu, et neil on täiendavad tööloendi juhtelemendid, mis pole tavapäraste kontode jaoks saadaval. Ainus viis nende töökuulutuste juhtelementide avamiseks on otsida üles LinkedIni usaldus- ja ohutusmeeskonna privaatne e-posti aadress ([email protected]) ja kaevata saidi tööpakkumiste halva turvalisuse üle. Ilma naljata.
LinkedIn võiks selle probleemi lahendada või vähemalt leevendada, blokeerides kohe kõigi ettevõtete volitamata tööpakkumiste avaldamise. Kuid veebisait ei tundu turvalisusest eriti huvitatud! Mis see väärt on, ütleb LinkedIn BleepingComputerile, et see kasutab võltsitud tööpakkumiste blokeerimiseks automatiseeritud ja käsitsi kaitsemehhanisme, kuid need kaitsemeetmed ei takistanud BleepingComputeri kirjanikke koostamast uurimise jaoks petturlikke tööpakkumisi.
Allikas: BleepingComputer