Você pode confiar no LinkedIn para seus dados pessoais?
O LinkedIn ainda é a plataforma social mais confiável de acordo com o 2020 Digital Trust Report. Ela tem consistentemente classificado como número 1, à frente de outros gigantes da mídia social como Facebook e Twitter, por anos.
De acordo com muitos consumidores, a plataforma para a comunidade empresarial mundial é aquela que as pessoas têm mais confiança para armazenar seus dados privados com segurança. Mas até que ponto você pode realmente confiar no LinkedIn?
O LinkedIn já teve uma grande violação de dados?
O LinkedIn não está imune a vazamentos de dados. Na verdade, uma violação monstruosa em 2012, que inicialmente se acreditava ter vazado 6,5 milhões de credenciais de conta, acabou sendo muito pior.
O vazamento inicial, que continha 6,5 milhões de senhas de contas, foi postado inicialmente em um fórum de crimes cibernéticos na Rússia em 2012. O LinkedIn confirmou a violação e incentivou os usuários a alterar suas senhas. Mas, anos depois, eles descobriram que era apenas a ponta do iceberg.
Em 2016, um hacker chamado "Peace" vendeu o resto das credenciais roubadas do LinkedIn na dark web. O hacker alegou ter as informações de 167 milhões de usuários do LinkedIn. Foi relatado que 90% das senhas sem sal foram quebradas em 72 horas.
Por que os cibercriminosos visam o LinkedIn?
Além do vazamento massivo de dados, o LinkedIn se tornou o favorito entre os cibercriminosos, pois os perfis contêm uma mina de ouro de informações sobre as organizações.
E como muitos usuários confiam tanto no LinkedIn, eles incluem detalhes muito específicos sobre suas carreiras em seus perfis. Isso facilita a criação de todos os tipos de campanhas de phishing que têm como alvo pessoas e empresas.
Fraudes do LinkedIn enviadas para seu e-mail
Muitos golpes de phishing são feitos fora da plataforma. As gangues fingem trabalhar para o LinkedIn e criam e-mails, completos com o logotipo do LinkedIn, para roubar informações dos usuários.
Esses e-mails geralmente têm um link para um site falso que foi projetado para coletar suas informações ou baixar software malicioso para o seu dispositivo.
Não clique em links em emails . Se você não tiver certeza, faça login em sua conta usando uma guia, navegador ou dispositivo diferente.
Emails solicitando que você valide sua conta
Não existe confirmação por e-mail @LinkedIn . Grande campanha de phishing em andamento. pic.twitter.com/j4L2LoEBEs
– Zerospam (@Zerospam) 1 de abril de 2014
Além dos alertas de segurança usuais que avisam sobre uma tentativa de login de um dispositivo desconhecido, existe o e-mail de phishing falso solicitando a confirmação do seu e-mail.
Isso costuma dizer que a plataforma foi atualizada e que você precisa validar sua conta. Você receberá um link para validar a conta em 72 horas ou "o LinkedIn encerrará contas não confirmadas".
Mas o link não leva a um site do LinkedIn: você pode ver isso quando passa o mouse sobre ele.
Há também um e-mail de phishing que avisa sobre a desativação de sua conta pelo LinkedIn devido à inatividade.
Solicitações de contato falsas
Os e-mails de phishing do LinkedIn podem conter solicitações falsas. Você receberá um e-mail alertando sobre uma solicitação de contato de alguém no LinkedIn.
Ele incluirá um botão que deve permitir que você aprove a solicitação; passe o mouse sobre ele e você verá que ele está vinculado a um site fora do LinkedIn.
Alguns golpes sofisticados usam falsificação de URL para fazer o link parecer mais legítimo. Portanto, vale a pena repetir: não clique em links em e-mails . Todas as solicitações reais estarão esperando por você quando você entrar no LinkedIn genuíno.
Quais são os golpes mais comuns do LinkedIn?
Os tipos mais nefastos de golpes são lançados por operadores que se infiltram na plataforma. Eles criam perfis falsos, enviam solicitações de contato e se comunicam por meio de mensagens do LinkedIn ou do LinkedIn InMail.
Muitos deles são bem-sucedidos porque ainda é fácil fazer um perfil falso no LinkedIn e as pessoas confiam na plataforma, então assumem automaticamente que todos são legítimos.
Golpes de trabalho
Se você for abordado no LinkedIn com uma oferta de trabalho hoje, ignore. Aqui está o #scam : http://t.co/0s9zMeWl6o pic.twitter.com/5Xod7pNcdo
– Detector de fraude (@ScamDetector) 29 de agosto de 2014
Os golpes mais comuns feitos no aplicativo são golpes de emprego. Como o LinkedIn é frequentemente usado para procurar empregos, os hackers exploram seu desespero se passando por falsos recrutadores.
Eles criarão um perfil falso, entrarão em contato com quem procura emprego por meio do InMail ou mensagem e, então, oferecerão empregos com altos salários e que exigem pouco trabalho.
Alguns estudam seu perfil e oferecem empregos com base em suas credenciais para tornar o golpe mais eficaz. Um dos golpes mais comuns oferece aos usuários a chance de ser um cliente misterioso ou um assistente pessoal que trabalha em casa.
A maioria envia a você um link para um site falso projetado para coletar suas informações.
Outras falsificações pedem que você baixe um anexo com o que deve ser a descrição completa do cargo. Outros dirão que o anexo é um formulário de inscrição que você precisa preencher e enviar de volta. Assim que você abrir o anexo, o malware será baixado em seu sistema.
O que é o Scam do Mystery Shopper?
Em uma virada muito peculiar, acabei de receber uma mensagem no LinkedIn de @SekouSmithNBA pedindo que eu me tornasse um cliente misterioso. Embora aprecie a tentativa de Sekou de me conduzir a uma carreira lucrativa, prefiro ser um comprador óbvio e visível. pic.twitter.com/u4bM3z48OI
– Kent Sterling (@KentSterling) 15 de novembro de 2018
Alguns desses golpes de emprego podem ser tão elaborados e convincentes que as pessoas acabam perdendo milhares de dólares.
O esquema do cliente misterioso, por exemplo, funciona enviando a um usuário desavisado do LinkedIn uma mensagem oferecendo-lhe um emprego como comprador secreto.
Os golpistas enviam então um cheque que as vítimas devem depositar em suas contas bancárias. Eles serão instruídos a deduzir a comissão e usar o restante para comprar cartões recarregáveis e vales-presente ou testar o serviço de transferência de dinheiro na loja.
Os golpistas instruem a vítima a enviar parte do dinheiro depositado por meio do serviço Western Union ou MoneyGram na loja. Se eles forem solicitados a comprar cartões-presente, eles terão que enviar os números dos cartões.
Alguns dias depois, a vítima receberá uma mensagem do banco informando que o cheque que depositou era falso e que o dinheiro será retirado da conta.
Perfis falsos do LinkedIn usados para phishing
Os cibercriminosos também criam perfis falsos para estudar suas credenciais e as de seus contatos para uma campanha de phishing direcionada.
Campanhas como spear phishing, whaling e phishing de fraude de CEO são mais complicadas em comparação com seus e-mails fraudulentos comuns. Eles são direcionados para torná-los mais eficazes e os hackers precisarão estudar a organização ou pessoa antes do ataque.
Uma das maneiras mais fáceis de obter informações sobre uma organização e seus funcionários é estudar os perfis do LinkedIn. E, ao aceitar uma solicitação de contato de um hacker, você dá a ele acesso às informações sobre seu perfil e seus contatos.
Ser seu contato também os torna legítimos e confiáveis.
Como identificar um perfil falso do LinkedIn
Existem sinais reveladores de que um perfil pode ser falso – um dos quais é ter muito poucas informações e poucos contatos (geralmente menos ou um pouco mais de 100).
Outro sinal é ter zero ou muito pouco engajamento. Você pode verificar as recomendações em seus perfis para ver o que ex-colegas têm a dizer sobre a pessoa … ou se eles têm ex-colegas.
Você pode verificar a seção "Atividade" em seu perfil para ver postagens anteriores, compromissos, comentários e interações com outros usuários. A falta de interação costuma ser um sinal de que ninguém mais conhece essa pessoa ou que o perfil é novo.
Alguns não terão nenhuma foto, mas a maioria tem uma que foi roubada, às vezes, de sites de imagens. Para verificar se a foto foi retirada de outro lugar online, você pode fazer uma rápida busca reversa de imagens. Aqui está uma lista útil de aplicativos e sites que o ajudarão a fazer isso.
Quais medidas de segurança o LinkedIn possui?
Após a violação de 2012, o LinkedIn lançou alguns recursos de segurança para ajudar a proteger os dados de seus usuários. Antes da violação, o LinkedIn usava um sistema de banco de dados de senhas com hashes simples que eram facilmente quebrados, então eles mudaram para um sistema que fazia hash e sal nas senhas.
Eles logo habilitaram a autenticação de dois fatores (2FA), permitindo aos usuários impedir tentativas de login não autorizadas com um código extra que eles precisam inserir.
Uma guia de segurança extra permite que os usuários vejam suas sessões ativas. Por meio desse recurso, os usuários podem verificar os dispositivos atualmente conectados à sua conta do LinkedIn, incluindo detalhes sobre o dispositivo, ou seja, localização aproximada, navegador, sistema operacional e endereço IP. Você pode sair de qualquer um se não os reconhecer.
O LinkedIn também introduziu o recurso de bloqueio do usuário. Usando isso, você pode optar por ocultar perfis e parar de receber mensagens (e spam irritante) de certos usuários.
Detector de URL do LinkedIn e detecção automatizada de contas falsas
Para proteger os usuários contra campanhas de phishing, o LinkedIn agora usa um serviço de back-end que verifica todo o conteúdo gerado pelo usuário em busca de malware, phishing e outros conteúdos perigosos. Eles executam seu algoritmo de detector de URL por meio de grandes pedaços de texto para verificar se há URLs.
Além do detector de URL, o LinkedIn usa um sistema de detecção de conta falsa que identifica perfis controlados por hackers. Novas tentativas de registro de usuário são avaliadas por um modelo aprendido por máquina que impede a criação de contas falsas em massa. A maioria das campanhas de crimes cibernéticos envolve a criação de várias contas falsas e elas são interceptadas pelo sistema.
Lotes menores de contas falsas são filtrados usando outros métodos, incluindo intervenção humana. Os usuários podem relatar atividades suspeitas no site ou perfis incompletos.
Você pode confiar nas pessoas no LinkedIn?
Assim como qualquer outra plataforma de mídia social, o LinkedIn não é imune a vazamentos de dados e ataques de cibercriminosos. Mesmo com as medidas de segurança em vigor, alguns ataques podem permanecer não detectados pelos sistemas do LinkedIn, e depende de você se proteger.
Verifique suas configurações de segurança, habilite 2FA e analise os perfis antes de aceitar convites para se conectar. Só porque é supostamente o site para profissionais não significa que você pode baixar a guarda.
