Quell’elenco di lavoro su LinkedIn potrebbe essere una truffa di phishing
Il processo di verifica di LinkedIn per i nuovi account è praticamente inesistente, un problema che ha reso il sito un focolaio di truffatori e imitatori. Ma se ciò non bastasse, un nuovo rapporto di BleepingComputer mostra che persone casuali possono pubblicare annunci di lavoro su LinkedIn con il nome di quasi tutte le aziende, aprendo la porta ad attacchi di phishing e frodi di reclutamento.
Diverse persone potrebbero essere a conoscenza di questa "funzione", ma Harman Singh, un esperto di sicurezza presso Cyphere, è stata la prima persona a parlarne pubblicamente. Nelle sue parole, "chiunque può pubblicare un lavoro con l’account LinkedIn di un’azienda e sembra esattamente il come un lavoro pubblicizzato da un’azienda.
Le aziende non possono rimuovere questi annunci di lavoro falsi senza contattare direttamente LinkedIn. E questo è un grosso problema, perché i truffatori possono indirizzare i candidati a qualsiasi sito Web o indirizzo e-mail utilizzando questi elenchi falsi.
Ad esempio, se dovessi creare un annuncio di lavoro falso per Apple, potresti reindirizzare i candidati a una pagina di accesso Apple falsa che raccoglie nomi utente e password. Utilizzando la corrispondenza e-mail, potresti convincere i candidati a condividere informazioni personali o finanziarie, come numeri di previdenza sociale (per "controlli precedenti") o informazioni bancarie (per impostare "deposito diretto").
Per impostazione predefinita, LinkedIn offre alle aziende il controllo zero sugli annunci di lavoro non autorizzati. Ma alcune aziende, come Google, sono protette da questa minaccia. Questo perché hanno controlli extra per l’elenco dei lavori che non sono disponibili per gli account medi. L’unico modo per sbloccare questi controlli dell’elenco di lavoro è cercare l’indirizzo e-mail privato del team Trust and Safety di LinkedIn ([email protected]) e lamentarsi della scarsa sicurezza dell’elenco di lavoro del sito. Nessun scherzo.
LinkedIn potrebbe risolvere questo problema, o almeno attenuarlo, bloccando immediatamente gli annunci di lavoro non autorizzati per tutte le aziende. Ma il sito web non sembra molto interessato alla sicurezza! Per quel che vale, LinkedIn dice a BleepingComputer che utilizza "difese automatizzate e manuali" per bloccare annunci di lavoro falsi, ma queste difese non hanno impedito agli autori di BleepingComputer di creare elenchi di lavoro fraudolenti per le loro indagini.
Fonte: BleepingComputer