Цей список вакансій LinkedIn може бути фішинговим шахрайством
Процес верифікації нових облікових записів у LinkedIn практично не існує, і ця проблема зробила веб-сайт розсадником для шахраїв та імітаторів. Але якщо цього недостатньо, новий звіт від BleepingComputer показує, що випадкові люди можуть публікувати в LinkedIn оголошення про вакансію майже під назвою будь-якої компанії, відкриваючи двері для фішингових атак і шахрайства з підбору персоналу.
Декілька людей можуть знати про цю «функцію», але Харман Сінгх, експерт із безпеки Cyphere, був першою людиною, яка публічно звернулася до неї. За його словами, «будь-який може опублікувати роботу в обліковому записі компанії в LinkedIn, і це точно те саме, що вакансія, оголошена компанією».
Компанії не можуть видалити ці підроблені списки вакансій, не зв’язавшись безпосередньо з LinkedIn. І це велика проблема, оскільки шахраї можуть направити заявників на будь-який веб-сайт або адресу електронної пошти, використовуючи ці підроблені списки.
Наприклад, якщо ви створите фальшивий список вакансій для Apple, ви можете перенаправити кандидатів на підроблену сторінку входу в Apple, яка збирає імена користувачів і паролі. Використовуючи листування електронною поштою, ви можете переконати заявників поділитися особистою або фінансовою інформацією, як-от номери соціального страхування (для «довідкових чеків») або банківську інформацію (щоб налаштувати «прямий депозит»).
За замовчуванням LinkedIn надає компаніям нульовий контроль над несанкціонованими списками вакансій. Але деякі компанії, як-от Google, захищені від цієї загрози. Це тому, що вони мають додаткові елементи керування списком вакансій, які недоступні для звичайних облікових записів. Єдиний спосіб розблокувати ці елементи керування списком вакансій — знайти приватну адресу електронної пошти для команди з питань довіри та безпеки LinkedIn ([email protected]) і поскаржитися на погану безпеку вакансії на сайті. Без жартів.
LinkedIn міг би вирішити цю проблему або принаймні пом’якшити її, негайно заблокувавши неавторизовані списки вакансій для всіх компаній. Але веб-сайт, здається, не дуже зацікавлений у безпеці! Щодо того, LinkedIn повідомляє BleepingComputer, що він використовує «автоматичні та ручні засоби захисту», щоб блокувати фальшиві списки вакансій, але цей захист не завадив авторам BleepingComputer створювати шахрайські списки вакансій для їх розслідування.
Джерело: BleepingComputer