31 maja 2022

Oszustwa na LinkedIn – strzeż się ataków phishingowych i fałszywych ofert pracy

W Polsce z platformy specjalizującej się w kontaktach zawodowo-biznesowych korzysta ok. 4,5 mln użytkowników. Ich liczba stale rośnie, nawet o kilka, kilkanaście tysięcy każdego miesiąca. LinkedIn wyróżnia opinia, że to środowisko bezpieczne dla użytkowników. Niestety rzeczywistość nie jest tak jednoznaczna. Według eksperta firmy ESET w ostatnich miesiącach gwałtownie wzrosła liczba ataków wykorzystujących markę LinkedIn, a model działania cyberprzestępców nieustannie ewoluuje.

Poszukiwanie pracy to nierzadko żmudne i wymagające zajęcie. Przechodzenie przez kolejne oferty pracy oraz wypełnianie formularzy rekrutacyjnych mogą być czasochłonne i niekiedy wyczerpujące, co obniża naszą koncentrację. Jak wskazuje ekspert cyberbezpieczeństwa ESET, taka sytuacja sprawia, że wiele osób może być bardziej podatna na oszustwa wykorzystujące serwisy tego rodzaju, jak na przykład LinkedIn. Szczególnie narażone na niebezpieczeństwo mogą być osoby, które starają się jak najszybciej znaleźć wymarzoną pracę.

Niektórzy oszuści mogą odnieść sukces wykorzystując proste sztuczki, jak np. proszenie o podanie danych w zamian za pozornie uczciwą rozmowę o pracę w „atrakcyjnej” firmie. Inni bywają bardziej wyrafinowani w swoich działaniach. Dlatego w trakcie naszych poszukiwań powinniśmy być ostrożni wobec ofert, które otrzymujemy, nawet jeśli pozornie wydają się pochodzić z zaufanego serwisu, jakim jest LinkedIn

Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa ESET

Cyberprzestępcy wykorzystują fałszywe powiadomienia

Każdy z nas otrzymuje codziennie na swoją skrzynkę e-mail liczne powiadomienia. Firmy zajmujące się mediami społecznościowymi doskonale zdają sobie sprawę z rosnącej konkurencji o uwagę użytkowników i wymyślają coraz bardziej atrakcyjne hasła, np. „Wystąpiłeś w 30 wyszukiwaniach w tym tygodniu” lub „Pogratuluj użytkownikowi nowej pracy”. Wszystko po to, aby skłonić nas do zalogowania na konto i sprawdzenia, kto przeglądał nasz profil i czy nie wiąże się z tym korzystna okazja do zmiany pracy. Takie okoliczności wykorzystują również przestępcy.

Cyberprzestępcy doskonale wiedzą w jaki sposób formułowane są takie powiadomienia i stosują je w swoich wiadomościach phishingowych wysyłanych do potencjalnych ofiar. Celem fałszywych powiadomień jest m.in. kradzież danych lub zainstalowanie złośliwego oprogramowania przez nieświadomego użytkownika. Gdy klikniemy link zawarty w takiej wiadomości, możemy zostać przekierowani na fałszywą stronę, do złudzenia przypominającą witrynę LinkedIn, która poprosi o podanie naszych danych logowania. Kilka sekund później nieświadomie przekazujemy nie tylko nasz adres email (lub numer telefonu) oraz hasło, ale często także dostęp do wszystkich innych usług, w których używamy tych samych danych logowania. Tym sposobem prosty trik przestępców staje się wytrychem otwierającym prawdziwy skarbiec

Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa ESET

Atrakcyjne oferty pracy wabikiem na użytkowników

Innym sposobem kradzieży danych logowania są rzekome oferty pracy, będące w zasięgu ręki po odpowiedzeniu na bezpośrednią wiadomość pochodzącą od fałszywego headhuntera. Zazwyczaj ofiara ataku otrzymuje przekonująco brzmiącą wiadomość, że spełnia wszystkie wymagania nieprawdziwej firmy oferującej atrakcyjne wynagrodzenie. Jednak, aby dostać pracę musi albo wpłacić zaliczkę za wstępne przeszkolenie lub podać dane osobowe za pośrednictwem, na przykład, formularza Google.

W przypadku tego rodzaju ofert zaleca się, aby zawsze weryfikować czy firma, do której aplikujesz naprawdę istnieje. Można w tym celu przeprowadzić szybkie sprawdzenie za pomocą wyszukiwarki. Poza tym należy zwracać również uwagę na wszelkie znamiona oszustwa, takie jak błędy gramatyczne lub sprzeczne informacje. Ponadto pamiętajmy, że żadna firma nie zaoferuje pieniędzy ani nie poprosi o podanie danych bankowych przy pierwszym kontakcie, a także, że nie ma kandydatów, którzy spełniają wszystkie wymagania

Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa ESET

Co możesz zrobić, aby zachować bezpieczeństwo na LinkedIn?

Każdy z nas może paść ofiarą oszustwa. Świadomość tego faktu jest pierwszym krokiem w kierunku ochrony przed oszustami, czy to na LinkedIn, czy w jakimkolwiek innym serwisie. Według ekspertów cyberbezpieczeństwa ESET warto także pamiętać o kilku innych „złotych zasadach”, których stosowanie pozwala zmniejszyć szanse przestępców.

  • Zachowaj ostrożność na LinkedIn, tak jak na każdej innej platformie mediów społecznościowych
  • Jeśli otrzymasz wiadomość e-mail, która wydaje się pochodzić z LinkedIn, ale nie masz pewności, czy jest prawdziwa, nie klikaj w żaden link. Zamiast tego otwórz bezpośrednio LinkedIn i sprawdź swoje powiadomienia
  • Traktuj z ostrożnością prośby o dodanie do kontaktów od osób, których nie rozpoznajesz. Jeśli skontaktują się z Tobą, nie klikaj żadnego linku. Zamiast tego przeprowadź wyszukiwanie w Google dotyczące pracodawcy i tego, jak zaufany jest to kontakt. Zadaj sobie pytanie „jak ta osoba mnie znalazła? Dlaczego się ze mną kontaktuje?”. Sprawdź, czy macie wspólne kontakty, które pomogłyby zweryfikować tożsamość tej osoby
  • Sprawdź ustawienia prywatności i upewnij się, że tylko niezbędne informacje są pokazywane osobom spoza Twoich kontaktów. Na przykład możesz chcieć, aby inni widzieli wyłącznie Twoje doświadczenie zawodowe i wykształcenie, ale niekoniecznie Twój numer telefonu
  • Użyj silnego i unikalnego hasła
  • Korzystaj z uwierzytelniania dwuskładnikowego. Nawet jeśli Twoje hasło wycieknie, hakerzy nie będą w stanie go wykorzystać do włamania się na Twoje konto
  • Nigdy nie podawaj danych teleadresowych ani danych kart płatniczych. Prawdziwi pracodawcy nie proszą o dane logowania w celu wypłaty wynagrodzenia
  • Zawsze zgłaszaj oszustwo do LinkedIn
  • Jeśli dana oferta wygląda zbyt dobrze, aby mogła być prawdziwa, najprawdopodobniej masz do czynienia z oszustwem

Grzegorz Klocek
product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34